把所有用戶的公鑰保存在 authorized_keys 文件的做法,只能湊和一陣子,當用戶數量達到幾百人的規模時,管理起來就會十分痛苦。每次改刪用戶都必須登錄服務器不去說,這種做法還缺少必要的權限管理 — 每個人都對所有項目擁有完整的讀寫權限。
幸好我們還可以選擇應用廣泛的 Gitosis 項目。簡單地說,Gitosis 就是一套用來管理 authorized_keys 文件和實現簡單連接限制的腳本。有趣的是,用來添加用戶和設定權限的并非通過網頁程序,而只是管理一個特殊的 Git 倉庫。你只需要在這個特殊倉庫內做好相應的設定,然后推送到服務器上,Gitosis 就會隨之改變運行策略,聽起來就很酷,對吧?
Gitosis 的安裝算不上傻瓜化,但也不算太難。用 Linux 服務器架設起來最簡單 — 以下例子中,我們使用裝有 Ubuntu 8.10 系統的服務器。
Gitosis 的工作依賴于某些 Python 工具,所以首先要安裝 Python 的 setuptools 包,在 Ubuntu 上稱為 python-setuptools:
`$ apt-get install python-setuptools`
接下來,從 Gitosis 項目主頁克隆并安裝:
~~~
$ git clone https://github.com/tv42/gitosis.git
$ cd gitosis
$ sudo python setup.py install
~~~
這會安裝幾個供 Gitosis 使用的工具。默認 Gitosis 會把 `/home/git` 作為存儲所有 Git 倉庫的根目錄,這沒什么不好,不過我們之前已經把項目倉庫都放在 `/opt/git` 里面了,所以為方便起見,我們可以做一個符號連接,直接劃轉過去,而不必重新配置:
`$ ln -s /opt/git /home/git/repositories`
Gitosis 將會幫我們管理用戶公鑰,所以先把當前控制文件改名備份,以便稍后重新添加,準備好讓 Gitosis 自動管理 authorized_keys 文件:
`$ mv /home/git/.ssh/authorized_keys /home/git/.ssh/ak.bak`
接下來,如果之前把 git 用戶的登錄 shell 改為 `git-shell` 命令的話,先恢復 'git' 用戶的登錄 shell。改過之后,大家仍然無法通過該帳號登錄(譯注:因為 authorized_keys 文件已經沒有了。),不過不用擔心,這會交給 Gitosis 來實現。所以現在先打開 /etc/passwd 文件,把這行:
`git:x:1000:1000::/home/git:/usr/bin/git-shell`
改回:
`git:x:1000:1000::/home/git:/bin/sh`
好了,現在可以初始化 Gitosis 了。你可以用自己的公鑰執行 `gitosis-init` 命令,要是公鑰不在服務器上,先臨時復制一份:
~~~
$ sudo -H -u git gitosis-init < /tmp/id_dsa.pub
Initialized empty Git repository in /opt/git/gitosis-admin.git/
Reinitialized existing Git repository in /opt/git/gitosis-admin.git/
~~~
這樣該公鑰的擁有者就能修改用于配置 Gitosis 的那個特殊 Git 倉庫了。接下來,需要手工對該倉庫中的 post-update 腳本加上可執行權限:
~~~
$ sudo chmod 755 /opt/git/gitosis-admin.git/hooks/post-update
~~~
基本上就算是好了。如果設定過程沒出什么差錯,現在可以試一下用初始化 Gitosis 的公鑰的擁有者身份 SSH 登錄服務器,應該會看到類似下面這樣:
~~~
$ ssh git@gitserver
PTY allocation request failed on channel 0
ERROR:gitosis.serve.main:Need SSH_ORIGINAL_COMMAND in environment.
Connection to gitserver closed.
~~~
說明 Gitosis 認出了該用戶的身份,但由于沒有運行任何 Git 命令,所以它切斷了連接。那么,現在運行一個實際的 Git 命令 — 克隆 Gitosis 的控制倉庫:
在你本地計算機上
~~~
$ git clone git@gitserver:gitosis-admin.git
~~~
這會得到一個名為 `gitosis-admin` 的工作目錄,主要由兩部分組成:
~~~
$ cd gitosis-admin
$ find .
./gitosis.conf
./keydir
./keydir/scott.pub
~~~
`gitosis.conf` 文件是用來設置用戶、倉庫和權限的控制文件。keydir 目錄則是保存所有具有訪問權限用戶公鑰的地方— 每人一個。在 keydir 里的文件名(比如上面的 scott.pub)應該跟你的不一樣 — Gitosis 會自動從使用 `gitosis-init` 腳本導入的公鑰尾部的描述中獲取該名字。
看一下 `gitosis.conf` 文件的內容,它應該只包含與剛剛克隆的 gitosis-admin 相關的信息:
~~~
$ cat gitosis.conf
[gitosis]
[group gitosis-admin]
members = scott
writable = gitosis-admin
~~~
它顯示用戶 scott — 初始化 Gitosis 公鑰的擁有者 — 是唯一能管理 gitosis-admin 項目的人。
現在我們來添加一個新項目。為此我們要建立一個名為 mobile 的新段落,在其中羅列手機開發團隊的開發者,以及他們擁有寫權限的項目。由于 'scott' 是系統中的唯一用戶,我們把他設為唯一用戶,并允許他讀寫名為 iphone_project 的新項目:
~~~
[group mobile]
members = scott
writable = iphone_project
~~~
修改完之后,提交 gitosis-admin 里的改動,并推送到服務器使其生效:
~~~
$ git commit -am 'add iphone_project and mobile group'
[master 8962da8] add iphone_project and mobile group
1 file changed, 4 insertions(+)
$ git push origin master
Counting objects: 5, done.
Compressing objects: 100% (3/3), done.
Writing objects: 100% (3/3), 272 bytes | 0 bytes/s, done.
Total 3 (delta 0), reused 0 (delta 0)
To git@gitserver:gitosis-admin.git
fb27aec..8962da8 master -> master
~~~
在新工程 iphone_project 里首次推送數據到服務器前,得先設定該服務器地址為遠程倉庫。但你不用事先到服務器上手工創建該項目的裸倉庫— Gitosis 會在第一次遇到推送時自動創建:
~~~
$ git remote add origin git@gitserver:iphone_project.git
$ git push origin master
Initialized empty Git repository in /opt/git/iphone_project.git/
Counting objects: 3, done.
Writing objects: 100% (3/3), 230 bytes | 0 bytes/s, done.
Total 3 (delta 0), reused 0 (delta 0)
To git@gitserver:iphone_project.git
* [new branch] master -> master
~~~
請注意,這里不用指明完整路徑(實際上,如果加上反而沒用),只需要一個冒號加項目名字即可 — Gitosis 會自動幫你映射到實際位置。
要和朋友們在一個項目上協同工作,就得重新添加他們的公鑰。不過這次不用在服務器上一個一個手工添加到 `~/.ssh/authorized_keys` 文件末端,而只需管理 keydir 目錄中的公鑰文件。文件的命名將決定在 `gitosis.conf` 中對用戶的標識。現在我們為 John,Josie 和 Jessica 添加公鑰:
~~~
$ cp /tmp/id_rsa.john.pub keydir/john.pub
$ cp /tmp/id_rsa.josie.pub keydir/josie.pub
$ cp /tmp/id_rsa.jessica.pub keydir/jessica.pub
~~~
然后把他們都加進 'mobile' 團隊,讓他們對 iphone_project 具有讀寫權限:
~~~
[group mobile]
members = scott john josie jessica
writable = iphone_project
~~~
如果你提交并推送這個修改,四個用戶將同時具有該項目的讀寫權限。
Gitosis 也具有簡單的訪問控制功能。如果想讓 John 只有讀權限,可以這樣做:
~~~
[group mobile]
members = scott josie jessica
writable = iphone_project
[group mobile_ro]
members = john
readonly = iphone_project
~~~
現在 John 可以克隆和獲取更新,但 Gitosis 不會允許他向項目推送任何內容。像這樣的組可以隨意創建,多少不限,每個都可以包含若干不同的用戶和項目。甚至還可以指定某個組為成員之一(在組名前加上 @ 前綴),自動繼承該組的成員:
~~~
[group mobile_committers]
members = scott josie jessica
[group mobile]
members = @mobile_committers
writable = iphone_project
[group mobile_2]
members = @mobile_committers john
writable = another_iphone_project
~~~
如果遇到意外問題,試試看把 `loglevel=DEBUG` 加到 `[gitosis]` 的段落(譯注:把日志設置為調試級別,記錄更詳細的運行信息。)。如果一不小心搞錯了配置,失去了推送權限,也可以手工修改服務器上的 `/home/git/.gitosis.conf` 文件` — Gitosis `實際是從該文件讀取信息的。它在得到推送數據時,會把新的` gitosis.conf` 存到該路徑上。所以如果你手工編輯該文件的話,它會一直保持到下次向 `gitosis-admin `推送新版本的配置內容為止。
- 1. 起步
- 1.1 關于版本控制
- 1.2 Git 簡史
- 1.3 Git 基礎
- 1.4 安裝 Git
- 1.5 初次運行 Git 前的配置
- 1.6 獲取幫助
- 1.7 小結
- 2. Git基礎
- 2.1 取得項目的 Git 倉庫
- 2.2 記錄每次更新到倉庫
- 2.3 查看提交歷史
- 2.4 撤消操作
- 2.5 遠程倉庫的使用
- 2.6 打標簽
- 2.7 技巧和竅門
- 2.8 小結
- 3. Git分支
- 3.1 何謂分支
- 3.2 分支的新建與合并
- 3.3 分支的管理
- 3.4 利用分支進行開發的工作流程
- 3.5 遠程分支
- 3.6 分支的衍合
- 3.7 小結
- 4. 服務器上的Git
- 4.1 協議
- 4.2 在服務器上部署 Git
- 4.3 生成 SSH 公鑰
- 4.4 架設服務器
- 4.5 公共訪問
- 4.6 GitWeb
- 4.7 Gitosis
- 4.8 Gitolite
- 4.9 Git 守護進程
- 4.10 Git 托管服務
- 4.11 小結
- 5. 分布式Git
- 5.1 分布式工作流程
- 5.2 為項目作貢獻
- 5.3 項目的管理
- 5.4 小結
- 6. Git工具
- 6.1 修訂版本(Revision)選擇
- 6.2 交互式暫存
- 6.3 儲藏(Stashing)
- 6.4 重寫歷史
- 6.5 使用 Git 調試
- 6.6 子模塊
- 6.7 子樹合并
- 6.8 總結
- 7. 自定義Git
- 7.1 配置 Git
- 7.2 Git屬性
- 7.3 Git掛鉤
- 7.4 Git 強制策略實例
- 7.5 總結
- 8. Git與其他系統
- 8.1 Git 與 Subversion
- 8.2 遷移到 Git
- 8.3 總結
- 9. Git 內部原理
- 9.2 Git 對象
- 9.3 Git References
- 9.4 Packfiles
- 9.5 The Refspec
- 9.6 傳輸協議
- 9.7 維護及數據恢復
- 9.8 總結
- 9.1 底層命令 (Plumbing) 和高層命令 (Porcelain)