Die einfachste Methode, einen Client zu authentifizieren geht über den HTTP-Basic-Authentifikations-Mechanismus, der einfach einen Anwendernamen und ein Passwort verwendet, um die Identität eines Anwenders sicherzustellen. Apache stellt das Dienstprogramm htpasswd^[66] zur Verfügung, welches die Verwaltung von Dateien übernimmt, die Anwendernamen und Passwörter beinhalten.

	Warnung
	Die einfache Authentifikation ist extrem unsicher, da Passwörter fast im Klartext über das Netz geschickt werden. Siehe „Digest Authentifikation“ für Details zur Verwendung des wesentlich sichereren Digest Mechanismus.

Legen Sie zunächst eine Passwort-Datei und erlauben Sie den Zugriff für die Anwender Harry und Sally:

$ ### Beim 1. Mal: -c verwenden, um die Datei anzulegen
$ ### -m für die sicherere MD5-Verschlüsselung des Passwortes verwenden
$ htpasswd -c -m /etc/svn-auth.htpasswd harry
New password: *****
Re-type new password: *****
Adding password for user harry
$ htpasswd -m /etc/svn-auth.htpasswd sally
New password: *******
Re-type new password: *******
Adding password for user sally
$

Stellen Sie als nächstes sicher, dass Apache Zugriff auf die Module hat, die die einfache Authentifikation und damit zusammenhängende Funktionalität liefern: mod_auth_basic, mod_authn_file und mod_authz_user. Vielfach sind diese Module in httpd selbst hineinkompiliert worden, aber falls nicht, könnte es sein, dass Sie explizit eins oder mehrere von ihnen mit der Direktive LoadModule laden müssen:

LoadModule auth_basic_module   modules/mod_auth_basic.so
LoadModule authn_file_module   modules/mod_authn_file.so
LoadModule authz_user_module   moduels/mod_authz_user.so

Nachdem sichergestellt ist, dass Apache Zugriff auf die benötigte Funktionalität hat, müssen Sie noch ein paar Direktiven innerhalb des Blocks <Location> hinzufügen, um Apache mitzuteilen, welche Art der Authentisierung Sie verwenden möchten, und wie das gemacht werden soll:

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Basic
  AuthName "Subversion repository"
  AuthType Basic
  AuthBasicProvider file
  AuthUserFile /etc/svn-auth.htpasswd
</Location>

Diese Direktiven funktionieren wie folgt:

Allerdings bewirkt dieser <Location>-Block noch nichts sinnvolles. Er teilt Apache lediglich mit, dass es sich den Anwendernamen und das Passwort vom Subversion-Client besorgen soll, falls eine Autorisierung benötigt wird. (Wenn eine Autorisierung erforderlich ist, benötigt Apache auch eine Authentifikation.) Was hier jedoch noch fehlt, sind Direktiven, die Apache sagen, welche Arten von Client-Anfragen eine Autorisierung erfordern; momentan sind das keine. Das Einfachste ist es, anzugeben, dass alle Anfragen eine Autorisierung erfordern, indem dem Block die Anweisung Require valid-user hinzugefügt wird:

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Basic
  AuthName "Subversion repository"
  AuthType Basic
  AuthBasicProvider file
  AuthUserFile /etc/svn-auth.htpasswd

  # Authorization: Authenticated users only
  Require valid-user
</Location>

Zu Details über die Direktive Require und anderen Möglichkeiten, Autorisierungsrichtlinien festzulegen, sehen Sie unter „Autorisierungs-Optionen“ nach.

	Anmerkung
	Der Standardwert für die Option AuthBasicProvider ist file, also werden wir es in künftigen Beispielen nicht anführen. Sie sollten sich aber bewusst sein, dass, wenn Sie diesen Wert in einem erweiterten Kontext auf etwas anderes gesetzt haben, ihn ausdrücklich wieder auf file in Ihrem <Location>-Block zurücksetzen müssen, falls Sie dieses Verhalten wünschen.

Digest-Authentifikation ist eine Verbesserung der Basic-Authentifikation, die es dem Server ermöglicht, die Identität des Clients zu bestätigen, ohne das Passwort ungeschützt durch das Netz zu schicken. Sowohl Client als auch Server erzeugen einen nicht rückgängig zu machenden MD5-Hashwert des Anwendernamens, Passwortes, verlangter URI und einer Einwegnummer, die vom Server vergeben wird und jedes Mal geändert wird, wenn eine Authentifikation benötigt wird. Der Client sendet seinen Hash an den Server und der Server verifiziert dann, dass die Hashes zusammenpassen.

Die Konfigurierung von Apache für die Digest-Authentifikation ist unkompliziert. Sie müssen sicher stellen, dass das Modul mod_auth_digest (statt mod_auth_basic) verfügbar ist, und dann nur noch ein wenig von unserem vorangegangenen Beispiel abweichen:

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthDigestProvider file
  AuthUserFile /etc/svn-auth.htdigest

  # Authorization: Authenticated users only
  Require valid-user
</Location>

Beachten Sie, dass AuthType nun auf Digest gesetzt ist, und wir einen unterschiedlichen Pfad für AuthUserFile angegeben haben. Digest-Authentifikation verwendet ein unterschiedliches Dateiformat als einfache Authentifikation, erzeugt und verwaltet mit Apaches Dienstprogramm htdigest ^[67] statt mit htpasswd. Digest-Authentifikation besitzt auch das zusätzliche Konzept eines Bereichs, realm, der dem Wert der Direktive AuthName entsprechen muss.

Anmerkung

Für die Digest-Authentifikation wird der Anbieter mit der Direktive AuthDigestProvider ausgewählt, wie im vorangegangenen Beispiel gezeigt. Wie bei der Direktive AuthBasicProvider, ist auch hier file der Standardwert der Option AuthDigestProvider, so dass diese Zeile nicht unbedingt notwendig ist, es sei denn, Sie müssen einen aus einem weiteren Konfigurations-Kontext ererbten unterschiedlichen Wert angeben.

Die Passwort-Datei kann wie folgt erzeugt werden:

$ ### Beim ersten Mal: -c zum Erzeugen der Datei verwenden
$ htdigest -c /etc/svn-auth.htdigest "Subversion repository" harry
Adding password for harry in realm Subversion repository.
New password: *****
Re-type new password: *****
$ htdigest /etc/svn-auth.htdigest "Subversion repository" sally
Adding user sally in realm Subversion repository
New password: *******
Re-type new password: *******
$

Die einfachste Form der Zugriffskontrolle besteht darin, bestimmten Nutzern entweder nur Lesezugriff oder Lese- und Schreibzugriff auf ein Projektarchiv zu gewähren.

Sie können den Zugriff auf alle Operationen im Projektarchiv einschränken, indem Sie Require valid-user direkt dem <Location>-Block hinzufügen. Das Beispiel von „Digest Authentifikation“ erlaubt nur Clients, die sich erfolgreich authentifiziert haben, um irgendetwas mit dem Subversion-Projektarchiv zu machen:

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentifikation: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Autorisierung: Nur für authentifizierte Anwender
  Require valid-user
</Location>

Manchmal müssen Sie gar nicht so ein strenges Regiment führen. So erlaubt beispielsweise der Server, der das eigene Projektarchiv von Subversion unter http://svn.collab.net/repos/svn beherbergt, allen auf der Welt lesende Operationen (wie etwa das Auschecken von Arbeitskopien und das Stöbern im Projektarchiv), beschränkt jedoch Schreiboperationen auf authentifizierte Nutzer. Die Direktiven Limit und LimitExcept erlauben diese Art der selektiven Einschränkung. Ähnlich der Direktive Location haben diese Blöcke Start- und Ende-Tags, die Sie innerhalb Ihres <Location>-Blocks unterbringen.

Die für die Direktiven Limit und LimitExcept verfügbaren Parameter sind HTTP-Anfrage-Typen, die von diesem Block beeinflusst werden. Falls Sie beispielsweise anonyme Nur-Lese-Zugriffe erlauben wollen, so würden Sie die Direktive LimitExcept (mit den Anfrage-Parametern GET, PROPFIND, OPTIONS und REPORT) verwenden und die vorher erwähnte Direktive Require valid-user im Block <LimitExcept> statt nur innerhalb des <Location>-Blocks einfügen.

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentifikation: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Autorisierung: Nur authentifizierte Anwender für nicht Nur-Lese
  #                (Schreib-) Operationen; anonymes Lesen zulassen
  <LimitExcept GET PROPFIND OPTIONS REPORT>
    Require valid-user
  </LimitExcept>
</Location>

Dies sind nur ein paar einfache Beispiele. Für tiefer gehende Informationen über Apaches Zugriffskontrolle und die Direktive Require sollten Sie im Abschnitt Security der Apache Lehrbuchsammlung unter http://httpd.apache.org/docs-2.0/misc/tutorials.html nachlesen.

Es ist möglich, detailliertere Zugriffsrechte mithilfe von mod_authz_svn einzurichten. Dieses Apache-Modul schnappt sich die verschiedenen undurchsichtigen URLs, die vom Client zum Server gereicht werden, fordert mod_dav_svn auf, sie zu dekodieren, und unterbindet dann möglicherweise Anforderungen entsprechend in einer Konfigurationsdatei definierter Zugriffsregeln.

Falls Sie Subversion aus Quellcode gebaut haben, ist mod_authz_svn automatisch neben mod_dav_svn gebaut und installiert worden. Viele binäre Distributionen installieren es ebenfalls automatisch. Um die korrekte Installation zu überprüfen, müssen Sie sicherstellen, dass es direkt hinter der LoadModule-Direktive von mod_dav_svn in httpd.conf auftaucht:

LoadModule dav_module         modules/mod_dav.so
LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so

Zur Aktivierung dieses Moduls müssen Sie Ihren <Location>-Block mit der Direktive AuthzSVNAccessFile konfigurieren, die eine einzelne Datei mit Zugriffs-Richtlinien für Pfade in Ihren Projektarchiven bezeichnet. Beginnend mit Subversion 1.7 können Sie auch die Direktive AuthzSVNReposRelativeAccessFile verwenden, um eine Zugriffsdatei per Projektarchiv zu spezifizieren. (Gleich werden wir auf das Format dieser Datei eingehen.)

Da Apache flexibel ist, haben Sie die Wahl, Ihren Block auf eine von drei Arten zu konfigurieren. Fangen Sie mit der Auswahl eines dieser grundlegenden Konfigurationsmuster an. (Die folgenden Beispiele sind sehr einfach gehalten; sehen Sie sich die mitgelieferte Apache-Dokumentation an, um wesentlich mehr Einzelheiten zu den Authentifikations- und Autorisierungs-Optionen von Apache zu erfahren.)

Der offenste Ansatz besteht aus Zugriff für jeden. Das bedeutet, dass Apache niemals Aufforderungen zur Authentifikation sendet, so dass alle Anwender als „anonymous“ behandelt werden. (Siehe Beispiel 6.2, „Eine Beispielkonfiguration für anonymen Zugriff“.)

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  # Authentifikation: keine

  # Autorisierung: pfad-basierte Zugriffskontrolle
  AuthzSVNAccessFile /path/to/access/file
</Location>

Am anderen Ende der Paranoia-Skala können Sie Apache dergestalt konfigurieren, dass er alle Clients authentifiziert. Dieser Block verlangt eine unbedingte Authentifikation durch die Direktive Require valid-user und definiert wie berechtigte Anwender authentifiziert werden sollen. (Siehe Beispiel 6.3, „Eine Beispielkonfiguration für authentifizierten Zugriff“.)

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  # Authentifikation: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Autorisierung: pfad-basierte Zugriffskontrolle; nur für authentifizierte Anwender
  AuthzSVNAccessFile /path/to/access/file
  Require valid-user
</Location>

Ein drittes sehr verbreitetes Muster ist es, eine Kombination aus authentifizierten und anonymen Zugriff zu erlauben. So möchten beispielsweise viele Administratoren für anonyme Anwender den Lesezugriff auf bestimmte Verzeichnisse des Projektarchivs freigeben, während für heikle Bereichen nur authentifizierte Anwender zugelassen werden. Bei dieser Einstellung greifen alle Anwender zunächst anonym auf das Projektarchiv zu. Falls Ihre Zugriffsrichtlinien an einer Stelle einen echten Anwendernamen erfordern sollte, fordert Apache den Client auf, sich zu authentisieren. Eingestellt wird dieses Verhalten mit den Direktiven Satisfy Any sowie Require valid-user. (Siehe Beispiel 6.4, „Eine Beispielkonfiguration für gemischten authentifizierten/anonymen Zugriff“.)

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  # Authentifikation: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Autorisierung: pfad-basierte Zugriffskontrolle; zunächst anonymen Zugriff
  #                versuchen, doch wenn nötig authentifizieren
  AuthzSVNAccessFile /path/to/access/file
  Satisfy Any
  Require valid-user
</Location>

Der nächste Schritt ist, eine Autorisierungsdatei zu erstellen, die Zugriffsregeln für bestimmte Pfade innerhalb des Projektarchivs enthält. Wie, beschreiben wir später in „Pfad-basierte Autorisierung“.

Das Modul mod_dav_svn unternimmt einen hohen Arbeitsaufwand, um sicherzustellen, dass Daten, die Sie als „nicht lesbar“ markiert haben, nicht versehentlich nach draußen geraten. Das bedeutet, dass es aufmerksam alle Pfade überwachen muss, die von Befehlen wie svn checkout und svn update zurückgegeben werden. Begegnen diese Befehle einem Pfad, der aufgrund einer Autorisierungsrichtlinie nicht lesbar ist, wird dieser Pfad üblicherweise vollständig unterdrückt. Im Fall der Historien- oder Umbenennungsverfolgung, z.B. mit einem Befehl wie svn cat -r OLD foo.c auf einer Datei, die vor langer Zeit umbenannt wurde, bleibt die Umbenennungsverfolgung einfach stehen, wenn einer der früheren Namen des Objektes als lesebeschränkt erkannt wird.

All diese Pfadüberprüfungen können manchmal sehr teuer werden, besonders mit svn log. Wenn eine Liste mit Revisionen erstellt wird, sieht der Server bei jedem geänderten Pfad in jeder Revision nach, ob er lesbar ist. Falls ein nicht lesbarer Pfad entdeckt wird, taucht er in der Liste der geänderten Pfade dieser Revision nicht auf (normalerweise sichtbar mit der Option --verbose (-v)), und die gesamte Protokollnachricht wird unterdrückt. Es bedarf wohl keiner Erwähnung, dass dies bei Revisionen, die eine große Anzahl an Pfaden betreffen, sehr zeitaufwändig sein kann. Das ist der Preis für Sicherheit: selbst wenn Sie überhaupt kein Modul wie mod_authz_svn konfiguriert haben, fordert das Modul mod_dav_svn Apache httpd auf, Autorisierungsüberprüfungen für jeden Pfad vorzunehmen. Das Modul mod_dav_svn weiß nicht, welche Autorisierungsmodule installiert wurden, also kann es lediglich Apache auffordern, all das aufzurufen, was vorhanden sein könnte.

Auf der anderen Seite gibt es auch eine Art Notausgang, der es Ihnen erlaubt, Sicherheitsmerkmale gegen Geschwindigkeit zu tauschen. Falls Sie nicht irgendeine Art verzeichnisbasierter Autorisierung durchsetzen möchten (d.h., mod_authz_svn oder ähnliche Module nicht verwenden), können Sie die gesamte Pfadüberprüfung abstellen. Verwenden Sie die Direktive SVNPathAuthz in Ihrer Datei httpd.conf wie in Beispiel 6.5, „Abstellen aller Pfadüberprüfungen“ gezeigt.

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  SVNPathAuthz off
</Location>

Standardmäßig steht die Direktive SVNPathAuthz auf „on“. Auf „off“ gesetzt, wird die gesamte pfad-basierte Autorisierungsüberprüfung abgestellt. mod_dav_svn beendet den Aufruf von Autorisierungsüberprüfungen für jeden entdeckten Pfad.

Beginnend mit Subversion 1.8 können Zugriffs-Dateien innerhalb eines Subversion-Projektarchivs gespeichert werden. Es ist möglich, die Zugriffs-Datei im selben Projektarchiv auf das die Zugriffsregeln angewendet werden zu speichen, oder in einem ganz anderen Projektarchiv. Dieser Ansatz ermöglicht die Versionierungs-Funktionalität von Subversion für die pfad-basierte Autorisierungs-Konfiguration.

Die Konfigurations-Direktiven AuthzSVNAccessFile und AuthzSVNReposRelativeAccessFile erlauben beide, einen Pfad innerhalb des Projektarchivs für die Zugriffs-Datei anzugeben. Die Direktiven akzeptieren absolute file://-URLs und URLs relativ zum Projektarchiv (solche, die mit ^/ beginnen).

Es ist beispielsweise möglich, einen absoluten URL zu einer Zugriffs-Datei in einem Projektarchiv anzugeben, wie in Beispiel 6.6, „Einzelne im Projektarchiv versionierte Zugriffs-Datei“ gezeigt.

<Location /repos>
  DAV svn
  SVNParentPath /var/svn
  AuthzSVNAccessFile file:///var/svn/authzrepo/authz
</Location>

Sie können auch einen relativen URL zu einer Zugriffs-Datei im Projektarchiv angeben, wie in Beispiel 6.7, „Verwendung von im Projektarchiv versionierten authz-Dateien pro Projektarchiv“ gezeigt.

<Location /repos>
  DAV svn
  SVNParentPath /var/svn
  AuthzSVNReposRelativeAccessFile ^/authz
</Location>

Es würde den Rahmen dieses Buches sprengen, wenn beschrieben würde, wie Client- und Server SSL-Zertifikate erzeugt werden und wie Apache für ihre Verwendung konfiguriert wird. Viele andere Bücher, darunter Apaches eigene Dokumentation (http://httpd.apache.org/docs/current/ssl/), erläutern diese Aufgabe.

	Tipp
	SSL-Zertifikate von wohlbekannten Instanzen sind in der Regel kostenpflichtig, doch können Sie als Minimallösung Apache so konfigurieren, das er ein selbstgezeichnetes Zertifikat verwendet, dass durch ein Werkzeug wie etwa OpenSSL erzeugt wurde (http://openssl.org).[68]

Bei einer Verbindung zu Apache über https:// kann ein Subversion-Client zwei unterschiedliche Arten von Antworten empfangen:

$ svn list https://host.example.com/repos/project

Fehler bei der Validierung des Serverzertifikats für »https://host.example.com:443«:
 - Das Zertifikat ist nicht von einer vertrauenswürdigen Instanz ausgestellt
   Überprüfen Sie den Fingerabdruck, um das Zertifikat zu validieren!
Zertifikats-Informationen:
 - Hostname: host.example.com
 - Gültig: von Jan 30 19:23:56 2004 GMT bis Jan 30 19:23:56 2006 GMT
 - Aussteller: CA, example.com, Sometown, California, US
 - Fingerabdruck: 7d:e1:a9:34:33:39:ba:6a:e9:a5:c4:22:98:7b:76:5c:92:a0:9c:7b

Ve(r)werfen, (t)emporär akzeptieren oder (p)ermanent akzeptieren?

[global]
ssl-authority-files = /path/to/CAcert1.pem;/path/to/CAcert2.pem

$ svn list https://host.example.com/repos/project

Anmeldebereich: https://host.example.com:443
Client Zertifikatsdatei: /path/to/my/cert.p12
Passphrase für »/path/to/my/cert.p12«:  ********

[groups]
examplehost = host.example.com

[examplehost]
ssl-client-cert-file = /path/to/my/cert.p12
ssl-client-cert-password = somepassword

Standardmäßig ist der Apache HTTP-Server so eingestellt, dass er es erlaubt, eine einzelne Verbindung zum Server für mehrere Anfragen wiederzuverwenden. Für Subversion ist das sehr vorteilhaft, da, anders als bei vielen HTTP=basierten Anwendungen, Subversion schnell für eine einzelne Operation hunderte oder tausende von Anfragen an einen Server erzeugen kann, und die Kosten beim Öffnen einer neuen Verbindung zum Server nicht trivial sind. Subversion versucht, so viele Anfragen wie möglich aus einer Verbindung herauszuquetschen, bevor der Server sie beendet. Die Direktive KeepAlive ist der boolesche Schalter, der diese Möglichkeit zur Wiederverwendung einer Verbindung ermöglicht oder unterbindet. Wie bereits erwähnt ist deren Wert standardmäßig On.

Es gibt aber noch eine weitere Direktive, die die Anzahl von Anfragen einschränkt, die ein Client über einer einzelne Verbindung übermitteln darf: die Direktive MaxKeepAliveRequests. Der Standardwert für diese Option ist 100. Das war wahrscheinlich ausreichend für ältere Subversion-Versionen, doch Subversion 1.8 setzt eine unterschiedliche Bibliothek für die HTTP-Kommunikation ein (Serf genannt), die es vorzieht, mehrere kleinere Anfragen für bestimmte Informationsschnipsel zu versenden, anstatt den Server darum zu bitten, große Datenbrocken mit einer einzelnen Antwort zu übertragen. Wir empfehlen, den Wert der Option MaxKeepAliveRequests auf mindestens 1000 zu erhöhen.

#
# KeepAlive: Durchgehende Verbindungen erlauben oder verbieten (mehr
# als eine Anfrage pro Verbindung). Zum verbieten auf "Off" setzen.
#
KeepAlive On

#
# MaxKeepAliveRequests: Die Maximalanzahl erlaubter Anfragen während
# einer durchgehenden Verbindung. Auf 0 setzen, um eine unbegrenzte
# Anzahl zu erlauben.
# Wir empfehlen, diese Zahl hoch zu halten, um maximale
# Leistungsfähigkeit zu gewährleisten.
#
MaxKeepAliveRequests 1000

Der größte Unterschied im Verhalten von Subversion 1.8 Clients und älteren Clients besteht in der Behandlung von Operationen ähnlich einer Aktualisierung (svn checkout, svn update, svn switch usw.). Ältere Clients, die die Bibliothek Neon HTTP zur Kommunikation verwendeten, bevorzugten es, vom Server die gesamte Informations-Nutzlast mit einer Abfrage anzufordern. Administratoren werden bemerkt haben, dass in den Protokolldateien des Servers zunächst einige Vermittlungsoperationen auftraten und dann eine REPORT-Anfrage mit einer massiven Antwort folgte. Diese Antwort umfasste den kompletten Datenumfang des Checkouts bzw. der Aktualisierung!

Subversion Clients, die die Bibliothek Serf HTTP verwenden – zu denen alle auf Subversion 1.8 gebauten Clients gehören – senden immer noch die REPORT-Anfrage, allerdings mit etwas anders gesetzten Schaltern innerhalb der Abfrage. Diese Schalter fordern den Server auf, nicht alle Daten für die Operation zu senden, sondern stattdessen nur eine Checkliste mit anderen, spezifischeren Dingen, die der Client im Folgenden vom Server abrufen muss, um die Operation zu vervollständigen. Im access_log des Servers folgen diesem REPORT viele kleinere Anfragen (GETs und, in älteren Versionen von Subversion, PROPFINDs).

Jeder dieser Ansätze hat Vor- und Nachteile. Wie bereits erwähnt, erzeugen sogenannte Massen-Aktualisierungen wesentlich weniger Information in den Protokolldateien des Servers, jedoch wird ein gegebener Kindprozess eines Apache-HTTP-Servers für die Dauer einer eventuell längeren Operation vollständig in Anspruch genommen. Normale Aktualisierungen bieten die Gelegenheit, Zwischenspeicher für Inhalte anzulegen (die an sich die Leistung erhöhen können), erzeugen jedoch eine Protokollnachrichten-Aufkommen auf dem Server, dass erheblich umfangreicher ist als bei dem Ansatz mit den Massen-Aktualisierungen. Aus verschiedenen Gründen könnten Administratoren etwas mehr Einfluss auf den clientseitig verwendeten Ansatz nehmen wollen. Subversion 1.6 führte die mod_dav_svn-Direktive SVNAllowBulkUpdates – ein einfacher boolescher Schalter – ein, damit Administratoren angeben können, ob der Server Anfragen für Massen-Aktualisierungen zulassen darf. In Subversion 1.8 wurde diese Direktive zusätzlich zu den bereits unterstützten Werten On und Off um den Wert Prefer erweitert. Wenn SVNAllowBulkUpdates auf Prefer gesetzt wird, versuchen Clients, die er unterstützen (1.8 oder neuer) den Ansatz der Massen-Aktualisierung, wenn nicht etwas anderes konfiguriert wurde.

Einer der nützlichsten Vorteile eines Apache/WebDAV Aufbaus für Ihr Subversion Projektarchiv besteht darin, dass Ihre versionierten Dateien und Verzeichnisse unmittelbar mit einem gewöhnlichen Webbrowser betrachtet werden können. Da Subversion zur Identifizierung versionierter Ressourcen URLs verwendet, können diese URLs für den HTTP-basierten Zugriff direkt im Webbrowser eingetippt werden. Ihr Browser verschickt daraufhin für diesen URL eine HTTP GET-Anfrage; je nachdem, ob dieser URL ein versioniertes Verzeichnis oder eine Datei repräsentiert, antwortet mod_dav_svn mit der Auflistung eines Verzeichnisinhalts oder mit dem Inhalt einer Datei.

http://host.example.com/repos/project/trunk/README.txt

http://host.example.com/repos/project/trunk/README.txt?r=1234

http://host.example.com/repos/project/trunk/deleted-thing.txt?p=321

http://host.example.com/repos/project/trunk/renamed-thing.txt?p=123&r=21

http://host.example.com/repos/project/trunk/README.txt?kw=1

<Location /svn>
  DAV svn
  SVNParentPath /var/svn
  SVNIndexXSLT "/svnindex.xsl"
  …
</Location>

<Location /svn>
  DAV svn
  SVNParentPath /var/svn
  SVNListParentPath on
  …
</Location>

Da Apache im Grunde genommen ein HTTP-Server ist, beinhaltet er fantastisch anpassungsfähige Protokollierungs-Möglichkeiten. Es würde den Rahmen dieses Buches sprengen, alle Protokollierungs-Einstellungen zu erörtern, doch soll darauf hingewiesen werden, dass selbst die gewöhnlichste httpd.conf-Datei Apache veranlasst, zwei Protokolldateien anzulegen: error_log und access_log. Diese Protokolldateien können an unterschiedlichen Orten liegen, werden normalerweise aber im Protokollbereich Ihrer Apache-Installation angelegt. (Unter Unix liegen sie oft in /usr/local/apache2/logs/.)

Die Datei error_log zeichnet sämtliche internen Fehler beim Betrieb von Apache auf. Die Datei access_log protokolliert jede von Apache empfangene eingehende HTTP-Abfrage. Das macht es einfach, festzustellen, von welchen IP-Adressen Subversion-Clients kommen, wie oft bestimmte Clients den Server benutzen, welche Anwender sich richtig anmelden und welche Abfragen erfolgreich sind oder fehlschlagen.

Da HTTP ein zustandsloses Protokoll ist, erzeugt selbst die einfachste Funktion eines Subversion Clients leider mehrere Netzwerkabfragen. Es ist sehr schwer, anhand der Datei access_log herzuleiten, was der Client tat; die meisten Funktionen sehen aus wie eine Folge kryptischer PROPPATCH-, GET-, PUT- und REPORT-Abfragen. Und, was alles noch komplizierter macht: viele Client-Funktionen schicken fast identische Anfragen, was ein Auseinanderhalten erschwert.

mod_dav_svn kann Ihnen jedoch helfen. Durch die Aktivierung einer „operativen Protokollierung“ können Sie mod_dav_svn veranlassen, eine gesonderte Protokolldatei anzulegen, die festhält, welche Art von Funktionen Ihre Clients auf höherer Ebene ausführen.

Um das zu bewerkstelligen, müssen Sie die Apache-Direktive CustomLog verwenden (die detailliert in der Dokumentation zu Apache beschrieben wird). Stellen Sie sicher, dass Sie die Direktive außerhalb Ihres Subversion Location-Blocks verwenden:

<Location /svn>
  DAV svn
  …
</Location>

CustomLog logs/svn_logfile "%t %u %{SVN-ACTION}e" env=SVN-ACTION

In diesem Beispiel veranlassen wir Apache, die spezielle Protokolldatei svn_logfile im standardmäßigen Verzeichnis für Apache Protokolldateien, logs, anzulegen. Die Variablen %t und %u werden durch die Zeit bzw. den Anwendernamen der Anfrage ersetzt. Die wirklich wichtigen Teile sind die zwei Instanzen von SVN-ACTION. Wenn Apache diese Variable sieht, ersetzt er den Wert der Umgebungsvariablen SVN-ACTION, die automatisch von mod_dav_svn belegt wird, wenn eine Client-Funktion auf hoher Ebene feststellt wird.

Statt also eine traditionelle access_log-Protokolldatei auswerten zu müssen, die etwa so aussieht:

[26/Jan/2007:22:25:29 -0600] "PROPFIND /svn/calc/!svn/vcc/default HTTP/1.1" 207 398
[26/Jan/2007:22:25:29 -0600] "PROPFIND /svn/calc/!svn/bln/59 HTTP/1.1" 207 449
[26/Jan/2007:22:25:29 -0600] "PROPFIND /svn/calc HTTP/1.1" 207 647
[26/Jan/2007:22:25:29 -0600] "REPORT /svn/calc/!svn/vcc/default HTTP/1.1" 200 607
[26/Jan/2007:22:25:31 -0600] "OPTIONS /svn/calc HTTP/1.1" 200 188
[26/Jan/2007:22:25:31 -0600] "MKACTIVITY /svn/calc/!svn/act/e6035ef7-5df0-4ac0-b811-4be7c823f998 HTTP/1.1" 201 227
…

können Sie eine weit verständlichere Datei svn_logfile durchgehen, die so aussieht:

[26/Jan/2007:22:24:20 -0600] - get-dir /tags r1729 props
[26/Jan/2007:22:24:27 -0600] - update /trunk r1729 depth=infinity
[26/Jan/2007:22:25:29 -0600] - status /trunk/foo r1729 depth=infinity
[26/Jan/2007:22:25:31 -0600] sally commit r1730

Zusätzlich zur Umgebungsvariablen SVN-ACTION besetzt mod_dav_svn auch die Variablen SVN-REPOS und SVN-REPOS-NAME, die den Dateisystempfad zum Projektarchiv bzw. dessen Basisnamen beinhalten. Es sei empfohlen, Referenzen auf eine oder beide dieser Variablen in Ihre CustomLog Formatbeschreibung einzufügen; besonders dann, falls Sie Informationen aus mehreren Projektarchiven in einer einzelnen Protokolldatei sammeln. Eine vollständige Liste mit allen protokollierten Aktionen finden Sie unter „Protokollierung auf hohem Niveau“.

Es leuchtet ein, dass je mehr Informationen Apache über Ihre Aktivitäten mit Subversion protokolliert, desto mehr Speicherplatz durch diese Protokolldateien auf Ihrem Server beansprucht wird. Es ist nicht ungewöhnlich für Subversion-Server mit hohem Verkehrsaufkommen, dass sie täglich mehrere Gigabytes an Protokollinformationen erzeugen. Es ist klar, dass Protokolldateien nur dann von Wert sind, wenn sie auch sinnstiftend ausgewertet werden können, und umfangreiche Protokolldateien können schnell unhandlich werden. Es gibt verschiedene Standardansätze für die Verwaltung der Apache HTTP-Server Protokollierung, die durch dieses Buch nicht behandelt werden. Den Administratoren wird nahegelegt, denjenigen Ansatz mit rotierenden und archivierten Protokolldateien zu wählen, der für sie am besten funktioniert.

Doch was ist, wenn Subversion einfach zu viel Protokolldaten erzeugt, um von Nutzen zu sein? So erwähnten wir beispielsweise in „Massen-Aktualisierungen“, dass bestimmte Ansätze, die Subversion-Clients bei Checkouts und anderen Aktualisierungsoperationen wählen könnten, einen rasanten Zuwachs Ihrer Protokolldateien auf dem Server zur Folge haben kann, da Anfragen für individuelle Teile des Aktualisierungs-Datensatzes individuell protokolliert werden (wobei das in früheren Versionen von Subversion nicht geschah). In diesem Fall sollten Sie etwas Apache-Konfigurations-Magie anwenden, um selektiv Teile dieser Protokollaktivitäten ruhig zu stellen.

Das Modul mod_setenvif des Apache HTTP-Servers stellt eine Direktive SetEnvIf zur Verfügung, die praktisch ist, um bedingt Umgebungsvariablen zu setzen. Und wie sich herausstellt, kann der Direktive CustomLog mitgeteilt werden, Anfragen je nach Zustand von Umgebungsvariablen zu protokollieren. Das Folgende ist eine Beispiel-Konfiguration, die den Server auffordert, keine GET- und PROPFIND-Anfragen zu protokollieren, die an private Subversion URLs gerichtet sind.

# Passt auf alles, nur zur Initialisierung von "in_repos".
SetEnvIf Request_URI "^" in_repos=0

# "in_repos" setzen, falls Anfrage für private Subversion URL.
SetEnvIf Request_URI "/!svn/" in_repos=1

# "do_not_log" für nicht-öffentliche Anfragetypen, die nicht protokolliert werden sollen.
SetEnvIf Request_Method "GET" do_not_log
SetEnvIf Request_Method "PROPFIND" do_not_log

# "do_not_log" zurücksetzen für nicht-private Subversion URLs
SetEnvIf in_repos 0 !do_not_log

# Anfragen protokollieren, nuer wenn "do_not_log" nicht gesetzt
CustomLog logs/access_log env=!do_not_log

Bei Verwendung dieser Konfiguration würde httpd immer noch GET-Anfragen an öffentliche Subversion URLs protokollieren. Das sind die Art Anfragen, wie sie von einem Web-Browser erzeugt werden, wenn jemand direkt im Projektarchiv navigiert. Jedoch werden GET- und PROPFIND-Anfragen nicht protokolliert, die an sogenannte „private“ Subversion-URLs gehen – das sind genau die Anfragen, die Verwendet werden, um jede einzelne Datei während einer Checkout-Operation zu holen.

Einer der netten Vorteile von Apache als Subversion-Server ist die Möglichkeit zur Einrichtung eines einfachen Abgleichs. Nehmen wir zum Beispiel an, dass Ihr Team über vier Standorte auf der Welt verteilt ist. Da das Subversion-Projektarchiv nur an einem davon untergebracht sein kann, ist es für die anderen drei Standorte kein Vergnügen, darauf zuzugreifen, da sie wahrscheinlich eine spürbar langsamere Verbindung und längere Antwortzeiten beim Aktualisieren und Abliefern von Code erdulden müssen. Eine leistungsfähige Lösung besteht darin, ein System aufzusetzen, das aus einem Master-Apache-Server und mehreren Slave-Apache-Servern besteht. Falls Sie an jedem Standort einen Slave-Server aufstellen, können die Anwender eine Arbeitskopie vom nächstgelegenen Slave auschecken. Alle Leseanfragen gehen an den Server vor Ort. Schreibanfragen werden automatisch an den einzigen Master-Server weitergeleitet. Wenn die Übergabe abgeschlossen ist, „schiebt“ der Master automatisch die neue Revision mithilfe des Abgleichswerkzeugs svnsync auf jeden Slave-Server.

Diese Konfiguration bewirkt eine riesige, für Ihre Anwender deutlich wahrnehmbare Geschwindigkeitszunahme, da der Netzwerkverkehr von Subversion-Clients normalerweise zu 80—90% aus Leseabfragen besteht. Und wenn diese Abfragen von einem lokalen Server kommen, ist das ein Riesengewinn.

In diesem Abschnitt begleiten wir Sie durch eine Standard-Einrichtung dieses Ein-Master/Mehrere-Slaves-Systems. Denken Sie jedoch daran, dass auf Ihren Servern mindestens Apache 2.2.0 (mit geladenem mod_proxy) und Subversion 1.5 (mod_dav_svn) laufen muss.

Anmerkung

Unseres ist nur ein Beispiel, wie Sie eine Konfiguration für einen durchreichenden Subversion-Proxy einrichten können. Es gibt auch andere Ansätze. Anstatt den Master-Server Änderungen an jeden Slave-Server schicken zu lassen, könnten beispielsweise diese Slave-Server periodisch diese Änderungen vom Master abrufen. Oder vielleicht könnte der Master Änderungen an einen einzigen Slave schicken, der dann dieselbe Änderung an den nächsten Slave weitergibt, und so der Reihe entlang weiterreicht. Administratoren sei nahegelegt, diesen Abschnitt zu verwenden, um ein grundsätzliches Verständnis darüber zu erlangen, was in einem Subversion-WebDAV-Proxy Szenario vor sich geht, und denjenigen Lösungsansatz zu wählen, der für ihre Organisation am besten funktioniert.

<Location /svn>
  DAV svn
  SVNPath /var/svn/repos
  SVNMasterURI http://master.example.com/svn
  …
</Location>

<Location /svn-proxy-sync>
  DAV svn
  SVNPath /var/svn/repos
  Order deny,allow
  Deny from all 
  # Nur Zugriffe auf diese Location von der IP-Adresse des Servers erlauben:
  Allow from 10.20.30.40
  …
</Location>

$ svnsync init http://slave1.example.com/svn-proxy-sync \
               file:///var/svn/repos 
Eigenschaften für Revision 0 kopiert.
$ svnsync init http://slave2.example.com/svn-proxy-sync \
               file:///var/svn/repos 
Eigenschaften für Revision 0 kopiert.
$ svnsync init http://slave3.example.com/svn-proxy-sync \
               file:///var/svn/repos 
Eigenschaften für Revision 0 kopiert.

# Die initiale Replizierung durchführe

$ svnsync sync http://slave1.example.com/svn-proxy-sync \
$              file:///var/syn/repos 
Übertrage Daten ....
Revision 1 übertragen.
Eigenschaften für Revision 1 kopiert.
Übertrage Daten ....
Revision 2 übertragen.
Eigenschaften für Revision 2 kopiert.
…

$ svnsync sync http://slave2.example.com/svn-proxy-sync \
               file:///var/svn/repos  
Übertrage Daten ....
Revision 1 übertragen.
Eigenschaften für Revision 1 kopiert.
Übertrage Daten ....
Revision 2 übertragen.
Eigenschaften für Revision 2 kopiert.
…

$ svnsync sync http://slave3.example.com/svn-proxy-sync \
               file:///var/svn/repos 
Übertrage Daten ....
Revision 1 übertragen.
Eigenschaften für Revision 1 kopiert.
Übertrage Daten ....
Revision 2 übertragen.
Eigenschaften für Revision 2 kopiert.
…

#!/bin/sh 
# Post-Commit-Skript zum Replizieren der neu übertragenen Revision an die Slaves

svnsync sync http://slave1.example.com/svn-proxy-sync \
             file:///var/svn/repos > /dev/null 2>&1 &
svnsync sync http://slave2.example.com/svn-proxy-sync \
             file:///var/svn/repos > /dev/null 2>&1 &
svnsync sync http://slave3.example.com/svn-proxy-sync \
             file:///var/svn/repos > /dev/null 2>&1 &

#!/bin/sh 
# Post-revprop-Change-Skript zur Weitergabe der Änderung an den Revisionseigenschaften an die Slaves

REV=${2}
svnsync copy-revprops http://slave1.example.com/svn-proxy-sync \
                      file:///var/svn/repos \
                      -r ${REV} > /dev/null 2>&1 &
svnsync copy-revprops http://slave2.example.com/svn-proxy-sync \
                      file:///var/svn/repos \
                      -r ${REV} > /dev/null 2>&1 &
svnsync copy-revprops http://slave3.example.com/svn-proxy-sync \
                      file:///var/svn/repos \
                      -r ${REV} > /dev/null 2>&1 &

Warnungen

Nun sollte Ihr Master-Slave-Replizierungssystem einsatzbereit sein. An dieser Stelle sind einige Worte zur Warnung angebracht. Bedenken Sie, dass diese Replizierung nicht vollständig robust gegenüber Rechner- und Netzwerkausfällen ist. Wenn beispielsweise einer der automatisierten svnsync-Befehle aus irgendeinem Grund nicht vollständig abgeschlossen wird, beginnen die Slaves, hinterher zu hinken. Ihre entfernten Anwender werden sehen, dass sie Revision 100 übertragen haben; wenn sie allerdings svn update aufrufen, wird ihr lokaler Server ihnen mitteilen, dass Revision 100 noch nicht existiert! Natürlich wird das Problem automatisch mit der nächsten Übergabe behoben wenn das folgende svnsync erfolgreich ist – alle wartenden Revisionen werden dann repliziert. Trotzdem möchten Sie vielleicht eine zusätzliche Überwachung einrichten, um auf Synchronisierungsfehler hingewiesen zu werden, damit Sie in diesem Fall svnsync erneut aufrufen können.

Eine weitere Einschränkung des Modells eines durchreichenden Proxy-Einsatzes betrifft nicht übereinstimmende Versionen – und zwar der installierten Subversion-Version – zwischen dem Master und den Slave-Servern. Jede neue Veröffentlichung von Subversion kann dem Netzwerkprotokoll, das zwischen den Clients und den Servern verwendet wird neue Funktionalität hinzufügen (und macht dies auch oftmals). Da die Aushandlung der Funktionalität mit dem Slave erfolgt, wird hier das Protokoll und der Funktionalitätsumfang des Slaves benutzt. Allerdings werden Schreiboperationen ziemlich wörtlich an den Master-Server weitergereicht. Daher besteht die Gefahr, dass der Slave-Server eine Funktionalitäts-Anfrage auf eine Art beantwortet, die für den Slave zutrifft, für den Master aber nicht, sofern er eine ältere Version von Subversion betreibt. Das kann dazu führen, dass der Client eine neue Funktionalität verwenden möchte, die der Master nicht versteht, und somit zu einem Fehler.

Subversion 1.8 hilft, dieses Problem durch die Einführung einer neuen Apache Konfigurations-Direktive zu entschärfen: SVNMasterVersion. Indem Sie jeden Ihrer Slave-Server so konfigurieren, dass SVNMasterVersion auf die Version der Subversion-Instanz gesetzt wird, die auf dem Master-Server läuft, können die Slave-Server viel genauer die unterstützten Funktionalitäten mit dem Client aushandeln.

Leider unterstützt Subversion 1.7 die Konfigurations-Direktive SVNMasterVersion nicht und hat bekanntermaßen einige Probleme in diesem Zusammenhang. Falls Sie einen Slave mit Subversion 1.7 vor einem Master mit einer älteren Version als 1.7 betreiben, sollten Sie den Subversion <Location>-Block Ihres Slave-Servers mit der Direktive SVNAdvertiseV2Protocol Off konfigurieren.

	Tipp
	Für ein bestmögliches Ergebnis sollten Sie versuchen, dieselbe Version von Subversion auf dem Master- und Slave-Server laufen zu lassen.

Können wir eine Replizierung mit svnserve aufsetzen?

Falls Sie svnserve statt Apache als Server verwenden, können Sie sicherlich die Hook-Skripte Ihres Projektarchivs dergestalt konfigurieren, dass sie svnsync wie hier gezeigt aufrufen und somit eine Replizierung vom Master zu den Slaves bewirken. Leider besteht zum gegenwärtigen Zeitpunkt nicht die Möglichkeit, Slave-svnserve-Server dazu zu veranlassen, Schreibanfragen automatisch an den Master weiterzuleiten. Das bedeutet, dass Ihre Anwender nur Lesekopien von den Slave-Servern auschecken können. Sie müssten Ihre Slave-Server so konfigurieren, dass sie Schreibanfragen vollständig verbieten. Das könnte für die Bereitstellung von „Spiegeln“ mit Lesezugriff beliebter Open-Source-Projekte nützlich sein, jedoch stellt es kein transparentes Proxy-System dar.

Einige der Funktionen, die Apache als robuster Webserver mitbringt, können auch zur Verbesserung der Funktionalität und Sicherheit in Subversion verwendet werden. Der Subversion-Client kann SSL (den bereits besprochenen Secure Sockets Layer) verwenden. Falls ihr Subversion-Client mit SSL-Unterstützung gebaut wurde, kann er auf Ihren Apache-Server mit https:// zugreifen und sich einer verschlüsselten Netzwerksitzung von hoher Qualität erfreuen.

Gleichermaßen nützlich sind andere Funktionen der Beziehung zwischen Apache und Subversion, wie etwa die Möglichkeit, einen besonderen Port zu spezifizieren (statt des HTTP Standard-Ports 80), oder einen virtuellen Domain-Namen, unter dem das Subversion-Projektarchiv erreichbar sein soll, oder die Möglichkeit, das Projektarchiv über einen HTTP-Proxy zu erreichen.

Da mod_dav_svn eine Teilmenge des WebDAV/DeltaV-Protokolls spricht, ist es möglich, auf das Projektarchiv über DAV-Clients von Drittanbietern zuzugreifen. Die meisten modernen Betriebssysteme (Win32, OS X und Linux) besitzen die eingebaute Fähigkeit, einen DAV-Server als eine Standard-Netz-„Freigabe“ einzuhängen. Das ist eine komplizierte Angelegenheit, doch ebenso erstaunlich, wenn es implementiert ist. Zu Einzelheiten, siehe Anhang C, WebDAV und Autoversionierung.

Beachten Sie, dass es noch eine Anzahl weiterer kleiner Schräubchen gibt, an denen man bei mod_dav_svn drehen kann, die aber einer ausführlichen Behandlung nicht Wert sind. Für diejenigen, die es interessiert, stellen wir jedoch eine vollständige Liste aller httpd.conf Direktiven, auf die mod_dav_svn reagiert, unter „mod_dav_svn Konfigurations-Direktiven“ zur Verfügung.

Die folgenden Konfigurations-Direktiven werden von Subversions Apache HTTP-Server-Modul mod_dav_svn erkannt und unterstützt.

Die folgenden Konfigurations-Direktiven werden geliefert von mod_authz_svn, Subversions Apache HTTP-Server-Modul für pfad-basierte Autorisierung. Für eine erschöpfende Beschreibung der Verwendung pfad-basierter Autorisierung in Subversion, siehe „Pfad-basierte Autorisierung“.