(特定于VisualSVN。)您应该使用SVN身份验证还是Windows集成身份验证?
如果这里有错误,请更正,但是...
SVN auth的问题是,管理员基本上要么必须让开发人员在创建帐户时输入自己的密码,要么必须为其创建密码(这样他们才能知道开发人员的密码)。但是,当然,SVN服务器管理员仍然可以访问其代码,因为他们对存储库本身具有完全访问权限,这有关系吗?
如果您使用的是Windows集成身份验证,则我believe(?),这意味着您将为开发人员提供SVN服务器上的完全访问权限帐户(我可以看到肛门审计员认为这是不良做法,具体取决于其他原因)正在那里运行)。
那么哪种类型的身份验证适合大型组织?有关系吗?
使用DAV(dav_module,dav_svn_module)和AUTHZ(authz_svn_module)和SSPI(sspi_auth_model)在Apache上托管SVN,意味着您可以验证针对域控制器的用户请求。这意味着拥有域用户帐户的每个人都可以访问,密码策略和重置过程已经很好地定义了(并由其他人维护),并且您的管理开销确实很低。
您仍然需要定义谁在哪个组中,每个组被授予什么以及默认访问级别是什么,但这很简单,不需要您知道他们的密码,只需知道他们的用户名即可。
例如,在我们的其中一台服务器上,默认设置为读取访问权限(任何可以登录到域的人都可以登录SVN服务器并查看内容),而选定的一组用户(开发人员)则被授予提交/锁定权限。 / write更改。
Integrated Windows Authentication (IWA)被认为是最佳实践。
IWA启用Negotiate (SPNEGO)安全软件包。协商在Kerberos和NTLM身份验证协议之间进行选择。请阅读文章KB39:了解VisualSVN服务器身份验证选项,以获取更多信息。
注意,VisualSVN Server使用Windows API与Active Directory集成。阅读文章KB39: Understanding VisualSVN Server Authentication options,以获取有关VisualSVN Server中可用的身份验证方法的完整概述。
如果您使用的是Windows集成身份验证,我相信(?)这意味着您将在SVN服务器上为开发人员提供完全访问权限帐户(我可以看到肛门审计员根据其他情况称其为不良作法在那儿跑)。
[不,您不授予最终用户对服务器计算机的完全访问权限。这太奇怪了。 IWA的目的是安全。