gitoliteはどうやってユーザを判別しているか
ちょっとしたコネタの紹介
gitoliteをhostにgitというユーザ名でインストールするとssh://git@host:reponame.gitでreponameというリポジトリに対するアクセス制御をすることができる。
当然ながらssh://git@host:reponame.gitはhostにgitというユーザ名でSSH接続することを意味する。
で、不思議なのはgitoliteは一体どうやってユーザの判別をしているのか、ということだ。
なにせgitoliteはサーバ上にインストールされているのだから、gitoliteから見たらどのアクセスもgitというユーザなのだ。どうやってgitoliteは「このアクセスはyuku_tからだ」「こっちのはyaottiからだ」という風に判断しているのだろう。(むしろこれができなければアクセス制御なんてできっこない)
答えはgitユーザのauthorized_keysファイルにある。
authorized_keysが単なる公開鍵置き場だと思ったら大間違い。実はもっといろいろな設定ができるのだ。
以下にauthorized_keysの例を引用する。
# gitolite start
command="/home/git/gitolite/src/gitolite-shell taka84u9",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa AAAAB3NzaC1y...== taka84u9
# gitolite end
ssh-rsa以降が普段我々が公開鍵を設定している箇所だ。
そしてその前半部分にcommandやno-port-forwardingなど見覚えのない部分がある。
実はsshdは公開鍵でユーザの認証を取ったあとの制御をこの部分で記述することができるのだ。
そして、commandというのがユーザがログイン後に実行するコマンドになる。よくよく見てみると
command="/home/git/gitolite/src/gitolite-shell taka84u9"
gitolite-shellというコマンドに対して引数でユーザ名が渡されている。
先ほどの疑問の答えがこれで、このスクリプトの中でアクセス制御が行われる。
またこのユーザ名は$GL_USERという環境変数に格納されるためgitoliteで管理されているgitリポジトリのhookの中でユーザの判別もできる、という訳。
なかなか面白い実装だと思う。
Author And Source
この問題について(gitoliteはどうやってユーザを判別しているか), 我々は、より多くの情報をここで見つけました https://qiita.com/yuku_t/items/46d1d834fbdae271d66c著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .