Gitlab LDAP: 详细阐述

一、基础介绍

Gitlab是一个开源的Git代码仓库管理系统，它允许开发团队进行版本控制、代码协同工作、构建CI/CD流程等操作。Gitlab支持使用LDAP（轻量目录访问协议）进行用户认证，从而将现有用户管理系统集成到Gitlab中，方便团队管理。

二、Gitlab LDAP配置

Gitlab LDAP的配置需要在Gitlab的配置文件`/etc/gitlab/gitlab.rb`中进行。为了开启LDAP认证，需要做以下配置：

gitlab_rails['ldap_enabled'] = true
gitlab_rails['ldap_servers'] = YAML.load <<-'EOS'
  main: #参考名称，以自己喜好命名
    label: 'LDAP'
    host: 'your.ldap.server.com' #LDAP服务主机名/IP地址
    port: 636 #LDAP服务端口号
    uid: 'sAMAccountName'
    method: 'ssl' #使用ssl加密方式，可选tls
    bind_dn: 'CN=BindUser,OU=ServiceAccounts,DC=example,DC=com' #LDAP管理员用户名
    password: '******' #LDAP管理员密码
    active_directory: true #是否使用Active Directory认证，可选false
    allow_username_or_email_login: false #是否允许用户名或邮箱登录，可选true
    block_auto_created_users: true #是否允许自动创建用户，可选false
    base: 'ou=Users,dc=example,dc=com' #LDAP用户信息查询Base DN
    user_filter: '(objectClass=person)' #用户Filter，所有person类型的用户均可登录
EOS

三、Gitlab LDAP测试

配置完成后，可以通过测试来检查LDAP的配置是否正确，并确保Gitlab服务器能够与LDAP服务器通信。测试命令如下：

sudo gitlab-rake gitlab:ldap:check RAILS_ENV=production

测试结果将根据您的LDAP服务器返回。如果测试成功，您可以通过Gitlab的Web界面验证LDAP设置是否正确。在Gitlab的Web界面，单击头像 -> Settings -> LDAP -> LDAP Users，输入一个有效的LDAP用户名进行测试。

四、Gitlab LDAP登录无效用户

1、无效用户访问Gitlab

当LDAP用户访问Gitlab时，如果用户的LDAP信息与Gitlab用户的信息不匹配，则该用户将被视为无效用户并无法登录。无效用户可以根据Gitlab配置中的参数进行定制化处理。以下是较为常用的设置：

### Gitlab配置文件中定义无效用户处理方式
gitlab_rails['ldap_sync_username_blacklist'] = ['user1', 'user2'] #黑名单
gitlab_rails['ldap_sync_username_whitelist'] = ['user3', 'user4'] #白名单
gitlab_rails['allow_local_users'] = false #禁止本地用户登录
gitlab_rails['allow_local_requests_from_db'] = true #启用数据库用户验证

2、无效用户解除

如果用户的LDAP信息与Gitlab信息不匹配，可以通过以下步骤解除用户的无效状态。首先，进入Gitlab的Web界面，单击头像 -> Admin Area -> Users，查找与LDAP用户匹配的Gitlab用户。选择该用户，单击“外部用户”下拉菜单，再点击“解除外部用户状态”按钮，然后单击“Save changes”保存更改。

Gitlab Web页面解除无效用户状态

3、无效用户解除的代码示例

下面是解除无效用户状态的代码示例：

### Gitlab Rails Console中解除外部用户状态
#查询LDAP/AD用户信息
ldap_user = Net::LDAP.new :host => "your.ldap.server.com",
  :port => 636,
  :encryption => :simple_tls,
  :auth => {
    :method => :simple,
    :username => "CN=Admin,DC=example,DC=com", #LDAP管理员账户
    :password => "***" #LDAP管理员密码
  }

ldap_user.bind #绑定LDAP账号
search_result = ldap_user.search(:base => "ou=users,dc=example,dc=com",
  :filter => Net::LDAP::Filter.eq("mail", "user_email@domain.com"))

#用户信息确认
search_result.each do |entry|
  puts "DN: #{entry.dn}"
  puts "First Name: #{entry.givenname.first}"
  puts "Last Name: #{entry.sn.first}"
  puts "Full Name: #{entry.displayname.first}"
end

#查找Gitlab用户
user = User.find_by_email('user_email@domain.com')
puts user
#

#解除外部用户状态
user.identities.map(&:destroy)

五、Gitlab LDAP Group Sync

Gitlab还允许您根据LDAP groups同步自动组分配。这意味着LDAP中定义的组将自动分配给与其相关联的Gitlab组。以下是实现该功能的步骤：

在配置文件`/etc/gitlab/gitlab.rb`中添加以下配置：

  gitlab_rails['ldap_sync_groups'] = false #是否启用同步
  gitlab_rails['ldap_group_base'] = 'ou=groups,dc=example,dc=com' #LDAP查询基础DN
  gitlab_rails['ldap_group_filter'] = '(objectClass=group)' #组查询过滤器
  gitlab_rails['ldap_sync_attrs'] = ['member'] #同步属性

转到Gitlab的Web界面，单击头像 -> Settings -> LDAP -> LDAP Groups，单击“让我们开始”
创建组之后，Group Sync将自动同步。

六、总结

本文详细介绍了Gitlab LDAP的基础、配置、测试、无效用户、Group Sync等方面。通过这些信息，您可以更好地使用Gitlab与LDAP集成，提高您的代码管理效率。

原创文章，作者：MWEP，如若转载，请注明出处：https://www.506064.com/n/131783.html