Posts for the month of 四月 2013

PortableTrac and thinkbase.net - upgrade to Python 2.7.4

Original plan was upgrade to Portable Python 2.7.3.2, unfortunately this version is incompatible to mod_wsgi(See below error screenshot), the error message in stdout is :

>>> call "I:\thinkbase.net\github\PortableTrac\httpd\Apache2.2\bin\httpd.exe"
httpd.exe: Syntax error on line 504 of I:/thinkbase.net/github/PortableTrac/httpd/Apache2.2/conf/httpd.conf: Cannot load B:/Apache2.2/modules/mod_wsgi-win32-ap22py27-3.3.so into server: \xb6\xaf\xcc\xac\xc1\xb4\xbd\xd3\xbf\xe2(DLL)\xb3\xf5\xca\xbc\xbb\xaf\xc0\xfd\xb3\xcc\xca\xa7\xb0\xdc\xa1\xa3

The reason is the version of the Microsoft C/C++ compiler(http://code.google.com/p/modwsgi/wiki/InstallationOnWindows#Compiling_From_Source_Code To compile from source code you will need Microsoft C/C++ compiler for Windows. This must be the same version of the compiler as used to build the version of Python being used.).

So finally we chose the official python distribution(Python 2.7.4) and embeded the python runtime into PortableTrac, this is the construction of embeded python runtime, following is the way to embed official python:

  1. Download Python 2.7.4 Windows Installer''(python-2.7.4.msi)'', and install it to C:\Python27(Or else other folder you like);
  1. Download setuptools 0.6c11''(setuptools-0.6c11.win32-py2.7.exe)'' and install it.
  1. Copy files and folders in C:\Python27 into PortableTrac's PortablePython\App folder;
    • Before copy, delete *.pyc and *.pyo files;
  1. Copy %windir%\system32\python27.dll into PortableTrac's PortablePython\App folder;
  1. To make it work on Windows XP, copy following files into PortablePython\App folder:
    • VC90.CRT:
      c:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcm90.dll
      c:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcp90.dll
      c:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcr90.dll
      
    • The manifest(PortablePython\App\Microsoft.VC90.CRT.manifest), Copy from:
      c:\WINDOWS\WinSxS\Manifests\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375.manifest
      
  1. That's all, we commit the whole python runtime into PortableTrac Repository.

The benefit of embeding python runtime is the easy-trac-deploy: Just download from Github and uncompress it, python runtime is there ready.

Please follow the installation guide, download, then play it, best regards!

在 Basic 认证下多个 Trac 服务器之间的单点登陆

由于 Trac 目前只能支持单个项目,所以,很多时候需要在多个 Trac 服务器间进行链接等的互相关联,Trac 对这种需求的回答是 InterTrac(中文) ,不过 InterTrac 并不处理多个 Trac 服务器之间的统一登陆问题;

原理

在使用 Apache httpd 的Basic 认证模式下,如果多个 Trac 服务器使用相同的认证来源(比如使用相同的LDAP服务器,或者相同的passwd文件),那么就可以比较方便的实现多个 Trac 服务器间的单点登陆,要点包括:

  1. 一般情况下与 Trac 服务器集成的 httpd 会设置对 .../login 地址的用户认证,如果在当前服务器中设置一个指向其他服务器的反向代理,并且对反向代理后的 url 设置一个当前服务器的 LocationMatch 认证控制,那么:
    1. 如果用户已经登陆当前 Trac,那么访问反向代理后的 url 就可以自动获得已有的 Basic 认证信息(因为二者是一个服务器地址);
    2. 在已经具有 Basic 认证信息的情况下,通过反向代理访问到真正的服务器时,Basic 认证信息同样可以传递,从而可以直接登陆到外部服务器,不需要用户再次输入用户名/密码;
  2. 借用 Trac 处理 .../login 时对 referer HTTP 参数的 redirect_back 特性,如果在访问 .../login 时使用参数 ?referer=....,那么完成 Basic 认证后,可以重定向到需要显示的页面;
  3. 通过在 trac.ini 中设置类似 prj1.url = /trac/prj1/login?referer=/trac/prj1InterTrac URL,可以保证使用 InterTrac 语法编写的 TracLinks 通过 .../login URL 实现自动登陆然后跳转到具体页面,从而完成单点登录;

具体实现举例

  • httpd.conf
    LoadModule proxy_module modules/mod_proxy.so
    LoadModule proxy_http_module modules/mod_proxy_http.so
    ProxyRequests Off
    # ================================================= 
    # Proxy to http://another-server/trac/prj1
    # =================================================
    <proxy http://another-server/trac/prj1>
        AllowOverride None
        Order Deny,Allow
        Allow from all
    </proxy>
    ProxyPass /trac/prj1 http://another-server/trac/prj1
    ProxyPassReverse /trac/prj1 http://another-server/trac/prj1
    # ================================================= 
    # Proxy to http://another-server2/trac/prj2
    # =================================================
    <proxy http://another-server2/trac/prj2>
        AllowOverride None
        Order Deny,Allow
        Allow from all
    </proxy>
    ProxyPass /trac/prj2 http://another-server2/trac/prj2
    ProxyPassReverse /trac/prj2 http://another-server2/trac/prj2
    
    # 这里定义的 AuthType 必需是 Basic, 其他的配置项与当前 Trac 要保持一致,即这几个 Trac 需要使用同一个用户认证机制和认证来源
    # 具体需要几个 LocationMatch,取决于反向代理配置是的 URL 设置情况,这里因为反向代理的两台服务器都被定义在 /trac 下,所以可以使用一个 LocationMatch 来进行用户认证
    <LocationMatch "/trac/[^/]+/login">
        AuthType Basic
        AuthBasicProvider "ldap"
        AuthLDAPUrl "ldap://domain-server/DC=thinkbase,DC=net?sAMAccountName?sub?(objectClass=*)"
        AuthLDAPBindDN "CN=trac-ldap-user,OU=ServerAccountsGroup,DC=thinkbase,DC=net"
        AuthLDAPBindPassword "**********"
    
        AuthName "Trac 1.0.1"
    
        Require valid-user
    </LocationMatch>
    
  • trac.ini
    [intertrac]
    P1 = prj1
    prj1.title = Project 1 Trac
    prj1.url = /trac/prj1/login?referer=/trac/prj1
    P2 = prj2
    prj2.title = Project 2 Trac
    prj2.url = /trac/prj2/login?referer=/trac/prj2
    

另外一种方式

如果两个 Trac 服务器的认证来源不一致(比如一个使用 LDAP 认证,一个使用 passwd 文件认证,用户名和密码都不相同),是否可以实现类似的效果呢?

答案是可以的,不过需要有一个前提,就是使用固定的用户/密码访问另外那个 Trac 服务器,具体来说,在 httpd.conf 中可以省去 <LocationMatch 定义认证方式的部分,而是在 <proxy 中通过 HTTP Header Authorization 写死 Basic 认证的用户名和密码:

  • httpd.conf
    LoadModule proxy_module modules/mod_proxy.so
    LoadModule proxy_http_module modules/mod_proxy_http.so
    LoadModule headers_module modules/mod_headers.so
    ProxyRequests Off
    # ================================================= 
    # Proxy to http://another-server/trac/prj1
    # =================================================
    <proxy http://another-server/trac/prj1>
        AllowOverride None
        Order Deny,Allow
        Allow from all
        # 这里固定设置反向代理转发时的 Basic 认证用户名和密码, dXNlcjE6cGFzc3dkMQ= 是命令行 'echo -n user1:passwd1 | base64' 的运行结果
        RequestHeader set Authorization "Basic dXNlcjE6cGFzc3dkMQ="
    </proxy>
    ProxyPass /trac/prj1 http://another-server/trac/prj1
    ProxyPassReverse /trac/prj1 http://another-server/trac/prj1
    

演示

就 thinkbase.net 站点的两个 trac 环境作了一个示例。当然,因为这两个 trac 环境是部署在同一个 apache httpd 上的,所以不需要在 httpd.conf 中增加配置。

参考

END