git + gitweb + ldap - Benutzer nach Gruppen aufteilen

[hawkeye78]

Hallo,

ich versuche mich gerade in git ein bißchen herein zu finden und damit sich das auch lohnt gleich im Zusammenhang mit der Authentifierzung gegen LDAP. Nun habe ich diesen[1] Blog-Eintrag gefunden und offenbar scheint die Authentifizerung gegen LDAP von git im zusammenspiel mit gitweb zu funktionieren und Benutzer lassen sich in die Gruppe: "nur lese" und "lese und schreibrechte" unterteilen. Allerdings fehlen in diesem Artikel die ausführungen wie git selbst nun unterscheidet den für mich sehen beide Einträge:

Code: Alles auswählen

Require ldap-group CN=read-group,OU=Delegated Security Groups,OU=AD Security Delegation,DC=domain,DC=com
Require ldap-group CN=write-group,OU=Delegated Security Groups,OU=AD Security Delegation,DC=domain,DC=com

so aus das es nur den CN gibt wo sich beide Einträge drin unterscheiden und ich habe ehrlich gesagt nicht verstanden wie daran git oder gitweb (welches von beiden eigentlich?) unterscheiden soll ob der Benutzer der grupe write-group lesen und schreiben darf oder halt nur lesen wenn der Benutzer in der Gruppe "read-group" ist.
Vielleicht hat hier ja schon jemand git zusammen mit LDAP aufgesetzt und kann mich ein klein bißchen aufklären.
Viele Grüsse
Dan


[1] http://www.vanlune.com/tag/gitweb/

[TRex]

Mal kurz die Erkenntnisse ausm Chat ergänzen..

1. Ausschlaggebend ist wohl git-http-backend[1]
2. git-http-backend ist standardmäßig so eingerichtet, dass anonyme User Lesezugriff haben und authentifizierte Schreibzugriff.
3. gewünscht ist, dass auch für Lesezugriff eine Authentifikation gewünscht ist, gemappt auf eine bestimmte Usergruppe (von LDAP)

Und ich hab noch keine Idee, wo man da ansetzen könnte, wenn git-http-backend keine Userdaten prüft.

[1] http://www.kernel.org/pub/software/scm/ ... ckend.html

[Cae]

So mal als Idee: man kann Git durch SSH tunneln und die Authentifizierung über die normalen PAM-Mechanismen machen. Behaupte ich mal, probiert habe ich das nicht.

Gruß Cae