下一个: Kerberos authenticated, 上一个: Password authenticated, 上层: Remote repositories
GSSAPI 是一套类似 Kerberos 5 的通用网络安全系统接口。 如果你拥有一套 GSSAPI 库,就可以通过 tcp 连接直接建立 cvs 连接,由 GSSAPI 进行安全鉴别。
要做到这一点,需要在 GSSAPI 的支持下重新编译 cvs; 当配置 cvs 的时候,它会检测使用 Kerberos 5 的 GSSAPI 库是否存在。 你也可以使用 --with-gssapi 标志来配置。
这样的连接就使用 GSSAPI 来进行安全鉴别了,但是按照默认并不鉴别消息流。
你必须使用 -a
全局选项来要求消息流进行安全鉴别。
按照默认 不加密传输数据。
加密支持必须同时编译进客户端和服务器端;使用 --enable-encrypt 配置选项来把它开启。
最后你必须使用 -x
全局选项来要求加密。
在服务器端处理 GSSAPI 连接的服务器和口令鉴别服务器应该是同一台服务器;请参阅 Password authentication server。
如果你已经使用了诸如基于 Kerberos 的 GSSAPI 机制来提供功能强大的安全鉴别功能了,你可能希望停用通过明文口令鉴别的功能。
要做到这一点,创建一个空的 CVSROOT/passwd 口令文件,并且在配置文件里设置 SystemAuth=no
,(参阅 config)。
GSSAPI 服务器使用 cvs/hostname 的主名称,其中主机名称 hostname 是服务器主机的规范名称。 你必须按要求通过 GSSAPI 机制把它设置起来。
要使用 GSSAPI 进行连接,要在命令中使用 `:gserver:' 方法。 例如,
cvs -d :gserver:faun.example.org:/usr/local/cvsroot checkout foo