Úvod
Na úvod vás musím upozornit na poslední tři díly tohoto seriálu, které se věnovaly SCM nástroji Git, základům jeho používání a jeho nasazení na vlastní server, počínaje těmi nejjednoduššími způsoby (OpenSSH) až po víceuživatelské řešení s Gitosis v minulém díle. Projděte si první, druhý a třetí díl, abyste byli v obraze.
Gitolite představuje z řešení zde probíraných nejsofistikovanější nástroj pro víceuživatelský přístup k centralizovanému Git repozitáři. Oproti Gitosis umí omezit právo zápisu na konkrétní větve (branches), respektive reference (refs). Můžete kontrolovat i to, zda má uživatel právo provést „rewind“, tedy „odčinění“ commitů nebo jiné změny historie.
Je třeba si dát pozor na jednu věc. Gitolite neumí omezit read-only přístup na úroveň jednotlivých větví. Konkrétnímu uživateli tedy můžete zakázat read-only přístup k celému repozitáři, ale nikoliv ke konkrétním větvím. Je to dáno tím, že Git neumí rozlišit mezi jednotlivými větvemi, pokud provádí čtení. Tento problém spolu s alternativami řešení je podrobně popsán v dokumentaci.
Instalace
Instalace Gitolite v Debianu je jako už tradičně velmi jednoduchá, neboť stačí nainstalovat příslušný balíček z oficiálních repozitářů:
aptitude install gitolite
Pokud při instalaci nedojde k vytvoření správcovského repozitáře, což se alespoň v mém případě nestalo, je třeba jej inicializovat ručně. Naštěstí je k tomu připraven nástroj gl-setup. Ten musíte spustit s právy uživatele gitolite, pod kterým bude Gitolite pracovat. Tento nástroj vyžaduje jeden parametr, a tím je cesta k souboru s veřejným SSH klíčem, který bude využíván pro přístup ke správcovskému repozitáři.
Tady pozor – jelikož tento nástroj musí běžet s právy uživatele gitolite, je třeba, aby k umístění souboru s klíčem měl tento uživatel přístup, čehož lze docílit např. zkopírováním souboru s veřejným SSH klíčem do /tmp. Následně stačí provést:
su gitolite -c 'gl-setup /tmp/uzivatel.pub'
Uživatelé Gitosis mají uživatelská jména shodná se jménem souboru s veřejným SSH klíčem. Proto je vhodné při provádění příkazu výše jméno souboru přizpůsobit, abyste pak neskončili s uživatelem "id_rsa". Vše jde však samozřejmě později upravit.
Základní konfigurace
V tuto chvíli byste měli být schopní naklonovat konfigurační repozitář:
git clone gitolite@server
exampleorg:gitolite-admin
Repozitář by měl obsahovat dva adresáře: adresář conf s konfiguračním souborem (gitolite.conf) a adresář keydir obsahující soubory s SSH klíči. Přidání nového uživatele tedy vyžaduje přidání jeho SSH klíče do adresáře keydir v podobě souboru se jménem ve tvaru uzivatel.pub a následné přidání příslušných práv v conf/gitolite.conf.
Uživatelé a skupiny
Skupiny se od uživatelů liší v tom, že jsou uvozeny zavináčem. Výchozí skupinou je skupina @all, zahrnující všechny uživatele. Ostatní skupiny můžete snadno nadefinovat:
@vyvojari = michal ludek jana @spravci = root admin @personal = @vyvojari @spravci
Skupina se samozřejmě může skládat z více skupin (viz definice skupiny @personal) a uživatelé mohou patřit do různých skupin. V systému oprávnění je možné konkrétní právo přiřadit uživateli, skupině, nebo obojímu.
Systém oprávnění
Základní práva, která můžete přiřadit jednotlivým uživatelům a skupinám, mají následující podobu:
|
Oprávnění |
Význam |
|---|---|
|
|
read-only přístup |
|
|
právo provést |
|
|
totéž co |
|
|
odepřít přístup |
Příklad definice nového repozitáře tedy může vypadat takto:
repo projekt
RW+ = michal @spravci
RW = ludek jana
R = pepa
Podstatnou změnou oproti Gitosisu není však pouze zjemnění práv, ale také možnost příslušná práva aplikovat na konkrétní větve, resp. na konkrétní reference (refs). Názorněji to bude vypadat na příkladu:
repo projekt
RW master$ = michal @spravci
RW refs/heads/master$ = michal @spravci
Mezi oprávněním a rovnítkem může být regulární výraz, který definuje konkrétní referenci, k níž má dotyčný daný přístup. Neuvedete-li na začátku výrazu refs/, doplní si Gitolite interně na začátek refs/heads/ – oba zápisy oprávnění v příkladu výše jsou tedy ekvivalentní. Znalci regulárních výrazů určitě tuší, že dolar na konci značí konec řádku, tj. výše uvedený zápis povolí uživateli michal zápis do větve master, ale už ne do větve nazvané např. mastermind. Pokud by tam dolar na konci nebyl, měl by právo zápisu i k větvi mastermind. Pokud vám regulární výrazy nic neříkají, bylo by dobré se na ně podívat. Pod článkem naleznete několik odkazů, které by vám měly tuto problematiku osvětlit.
Pokud mezi oprávněním a rovnítkem nic neuvedete, bude se příslušné oprávnění vztahovat na celý repozitář se všemi větvemi.
Podobně lze zacházet i s tagy – je možné uživatelům povolit nebo nepovolit přiřazovat tagy jako takové nebo tagy v určitém tvaru.
repo projekt
RW refs/tags/rc[0-9] = michal
- refs/tags/rc[0-9] = ludek
RW refs/tags = ludek
Zde je uživateli michal uděleno právo vytvářet tagy ve tvaru rc[číslo], je tedy možné vytvořit tag rc1, rc10, ale také rc1a. Uživatel ludek má oprávnění vytvářet libovolně pojmenované tagy, ovšem s výjimkou tagů začínajících na rc[číslo]. Budete-li zacházet s oprávněním pro odepření přístupu (mínusem), mějte na paměti, že záleží na pořadí prováděných pravidel. Kdybyste příklad výše otočili a dali prostřední řádek na konec, uživatel ludek by mohl vytvářet jakékoliv tagy a přístup by mu nikdy odepřen nebyl.
Tolik k základům konfigurace Gitolite. Mnohé pokročilé vlastnosti Gitolite zde nezazněly, a (nejen) proto vám doporučuji podívat se na oficiální dokumentaci ke Gitolite, která je velmi podrobná a přívětivá, čtivě psaná a plná užitečných příkladů. Uživatelům Gitolite důrazně doporučuji si ji projít.
Workflow
Styl práce s Gitolite je velice podobný práci s Gitosis. Jakmile vytvoříte vhodnou půdu pro nový repozitář úpravou konfiguračních souborů, jejich commitem a nahráním (push) na server, stačí u místního repozitáře přidat vzdálený server:
git remote add origin gitolite@serverexampleorg:repositar.git
A následně provést push na server:
git push origin master:refs/heads/master
Tím by mělo dojít k vytvoření „master“ větve v repozitáři na serveru.
Na závěr zmíním ještě jeden tip – pokud se na server přihlásíte přes SSH, oznámí vám Gitolite, k čemu máte jaký přístup (Gitosis toto neumí):
ssh gitolite@serverexampleorg
hello admin, the gitolite version here is 1.5.4-2+squeeze1 (Debian)
the gitolite config gives you the following access:
R W gitolite-admin
R W projekt
@R @W testing
Tím bych tento díl ukončil.
