让Git使用Trac账户进行授权

Trac安装2 - 账户管理中我们可以看到，Trac中可以很方便的进行账户管理，包括用户建立（甚至可注册）、账户信息更改等。搭建Git Http服务器告诉我们如何搭建一个Git的http服务托管。现在，如果能把Trac中的账户信息用作Git Http服务的认证该多好啊：给新人开一个Trac账户，指定相应的授权，那么他就可以检出/更新Git库了！下面就来实现这个想法吧。

 

原理

Trac的账户信息是存储在DB中的（比如MySQL），实际上，我们需要Apache2利用DB中存储的信息来做授权。 Apache的MySQL认证 告诉我们，这很还是简单的（遗憾的是目前只能用MySQL）。

 

但是，我们的Case还要稍微麻烦一点：

问题1）Trac中账户密码的加密方式可以自由选择，超出了Apache MySQL认证的支持（参考Trac 账户管理插件加密方式）；

问题2） Trac中账户信息不是简单的user专用表（选择SessionStore方式保存Auth信息时，账户信息在表session_attributes中），没有特定的username和password列。

 

对于问题1，我们需要做的是：指定Trac账户管理插件使用Apache MySQL认证支持的方式进行密码加密，比如MD5。而对于问题2，我想到的方案是：在MySQL中建立独立的用户信息表，利用MySQL触发器同步Trac账户的信息到此表中。

 

为了让Git使用到Trac中的用户权限设置，本例子中我们除了监控trac库中的session_attributes表外，也监控permissions表。下面我们就看一下配置过程：

 

配置Trac

1. 选择AuthStore为SesstionStore，具体参考Trac安装2 - 账户管理

 

2. 选择密码加密（hash）方式为“crypt”（注意MD5中明确告诉我们，Trac账户管理插件不是简单的md5密码，而是 用户名 + “::” + 密码）

 

配置MySQL

1. 创建用户信息表：

 

/*简单起见，这里将Git用户表建在Trac的库中，实际操作请自建另外的库*/
CREATE TABLE gituser(
       username char(100),
       passwd char(100),
       primary key (username)
);

 

2.创建MySQL触发器，同步Trac账户信息到我们自己创建的Git用户表中：

 

use trac_database; /*切换到trac库中*/

/*初始化gituser数据*/
INSERT INTO gituser (SELECT username, SUBSTRING(password, 2) FROM session_attributes where name="password");

/*监听trac账户权限记录的新建，将满足权限的用户同步到git用户表中*/
delimiter //
CREATE TRIGGER sync_user_on_insert AFTER INSERT ON permissions
FOR EACH ROW 
BEGIN
  IF action='BROSWER_VIEW' THEN
    INSERT INTO gituser (SELECT  sid, SUBSTRING(value, 2) FROM session_attributes WHERE sid=NEW.username);
  END IF;
END;//
delimiter ;

/*监听trac账户记录的更改，将更改后的账户信息同步到git用户表中*/
CREATE TRIGGER sync_user_on_update AFTER UPDATE ON session_attributes
FOR EACH ROW
UPDATE gituser SET username=NEW.sid, password=SUBSTRING(NEW.password, 2) WHERE username=OLD.sid;

/*监听trac账户权限记录的删除，将满足权限的用户记录从git用户表中删除*/
delimiter //
CREATE TRIGGER sync_user_on_delete AFTER DELETE ON permissions
FOR EACH ROW 
BEGIN
  IF action='BROSWER_VIEW' THEN
    DELETE FROM gituser WHERE username=OLD.username;
  END IF;
END;//
delimiter ;

 

 

配置Apache2的MySQL认证

1. 安装并激活MySQL认证插件：

 

sudo apt-get install libapache2-mod-auth-mysql

cd /etc/apache2/mods-enabled
sudo ln -s ../mods-available/auth_mysql.load .

2. 配置Git Http及其认证：

 

SetEnv GIT_PROJECT_ROOT /my_repos_root_path  
SetEnv GIT_HTTP_EXPORT_ALL  
ScriptAlias /repos/ /usr/lib/git-core/git-http-backend/  

<Directory /repos>
    Options Indexes FollowSymLinks MultiViews

    AuthType Basic
    AuthName "restricted git zone by apache"
    AuthUserFile /dev/null

    AuthBasicAuthoritative Off
    AuthMYSQL on
    AuthMySQL_Authoritative on
    AuthMySQL_DB trac_db
    Auth_MySQL_Host localhost
    Auth_MySQL_User dbuser
    Auth_MySQL_Password dbuserpwd
    AuthMySQL_Password_Table gituser
    AuthMySQL_Username_Field username
    AuthMySQL_Password_Field password
    AuthMySQL_Empty_Passwords off
    #AuthMySQL_Encryption_Types SHA1Sum
    AuthMySQL_Encryption_Types PHP_MD5 #注意此处必须和Trac账户管理的加密方式吻合，事实上，只有这个可用
    #Auth_MySQL_Encrypted_Passwords on

    # Standard auth stuff
    Require valid-user
</Directory>