我想成立Gitlab与我们公司的LDAP作为演示。 但不幸的是我必须把管理员密码gitlab.yml使gitlab访问LDAP服务。 这个问题实际上是政府,因为他们不希望设置只是为了Gitlab另一个帐户。 有什么办法来规避这一点没有在我自己填写密码? 有没有一种方法,使Gitlab建立与只提供用户凭据LDAP连接?
匿名登录旁边的任何想法?
已经张贴在这里 。
Answer 1:
我还没有尝试过,但是从事情我已经建立到目前为止认证对LDAP和信息从配置文件中该用户帐户似乎只有当你的LDAP不支持匿名绑定和搜索被需要。
所以我会离开两个条目bind_dn和password注释掉,并尝试它是否有效与否。
UPDATE
我实现了LDAP-Autehntication在Gitlab,它是相当容易的。
在gitlab.yml -file有一段名为ldap 。
在那里,你必须提供的信息连接到您的LDAP。 似乎所有领域都给予,也似乎没有回退默认! 如果你想用匿名的用户检索DN提供了一个空字符串结合bind_dn和password 。 注释出来,似乎没有工作! 至少我得到了一个501错误消息。
更多信息可以在这里找到https://github.com/patthoyts/gitlabhq/wiki/Setting-up-ldap-auth和(更陈旧,但仍然有用) https://github.com/intridea/omniauth-ldap
Answer 2:
我已经修补gitlab这样的工作方式,并在记录的过程https://foivos.zakkak.net/tutorials/gitlab_ldap_auth_without_querying_account/
我无耻地复制在这里说明自我的完整性。
注 :本教程的最后从源代码安装gitlab 8.2测试。
本教程的目的是介绍如何修改Gitlab安装使用用户证书与LDAP服务器进行身份验证。 默认情况下, Gitlab依靠匿名绑定或特殊查询用户用她自己的证书验证她的面前,询问用户是否存在LDAP服务器。 出于安全原因,然而,许多管理员禁用匿名绑定,禁止特殊查询 LDAP用户的创建。
在本教程中,我们假设我们在gitlab.example.com一个gitlab设置和运行ldap.example.com LDAP服务器,并且用户有以下形式的DN: CN=username,OU=Users,OU=division,OU=department,DC=example,DC=com 。
修补
为了让Gitlab中,我们需要一定程度修改有关LDAP的认证机制,这样的情况下工作。
首先,我们更换了与omniauth-LDAP模块这个推导。 为了实现这一目标,我们使用下面的补丁来gitlab/Gemfile :
diff --git a/Gemfile b/Gemfile
index 1171eeb..f25bc60 100644
--- a/Gemfile
+++ b/Gemfile
@@ -44,4 +44,5 @@ gem 'gitlab-grack', '~> 2.0.2', require: 'grack'
# LDAP Auth
# GitLab fork with several improvements to original library. For full list of changes
# see https://github.com/intridea/omniauth-ldap/compare/master...gitlabhq:master
-gem 'gitlab_omniauth-ldap', '1.2.1', require: "omniauth-ldap"
+#gem 'gitlab_omniauth-ldap', '1.2.1', require: "omniauth-ldap"
+gem 'gitlab_omniauth-ldap', :git => 'https://github.com/zakkak/omniauth-ldap.git', require: 'net-ldap', require: "omniauth-ldap"
现在,我们需要执行以下操作:
-
sudo -u git -H bundle install --without development test mysql --path vendor/bundle --no-deployment -
sudo -u git -H bundle install --deployment --without development test mysql aws
这些命令将取在改性omniauth-LDAP模块gitlab/vendor/bundle/ruby/2.xx/bundler/gems 。 现在,该模块是牵强,我们需要修改它来使用我们的LDAP服务器预计DN。 我们通过修补实现这一目标lib/omniauth/strategies/ldap.rb在gitlab/vendor/bundle/ruby/2.xx/bundler/gems/omniauth-ldap有:
diff --git a/lib/omniauth/strategies/ldap.rb b/lib/omniauth/strategies/ldap.rb
index 9ea62b4..da5e648 100644
--- a/lib/omniauth/strategies/ldap.rb
+++ b/lib/omniauth/strategies/ldap.rb
@@ -39,7 +39,7 @@ module OmniAuth
return fail!(:missing_credentials) if missing_credentials?
# The HACK! FIXME: do it in a more generic/configurable way
- @options[:bind_dn] = "CN=#{request['username']},OU=Test,DC=my,DC=example,DC=com"
+ @options[:bind_dn] = "CN=#{request['username']},OU=Users,OU=division,OU=department,DC=example,DC=com"
@options[:password] = request['password']
@adaptor = OmniAuth::LDAP::Adaptor.new @options
有了这个模块,gitlab使用用户的凭据绑定到LDAP服务器和查询它,以及,对自己进行用户认证。
然而,这只会工作,只要用户不使用SSH密钥的验证方法Gitlab 。 当通过SSH密钥认证,默认情况下Gitlab查询LDAP服务器,找出相应的用户是否是(仍然)有效的用户与否。 在这一点上,我们不能使用用户证书查询LDAP服务器,因为用户没有把它们提供给我们。 因此,我们禁用此机制,本质上允许与注册SSH密钥的用户,但是从LDAP服务器中删除仍然使用我们的Gitlab设置。 为了防止这样的用户能够仍然使用您的Gitlab设置,你将不得不从您设置的任何帐户手动删除他们的SSH密钥。
要禁用此机制,我们修补gitlab/lib/gitlab/ldap/access.rb有:
diff --git a/lib/gitlab/ldap/access.rb b/lib/gitlab/ldap/access.rb
index 16ff03c..9ebaeb6 100644
--- a/lib/gitlab/ldap/access.rb
+++ b/lib/gitlab/ldap/access.rb
@@ -14,15 +14,16 @@ module Gitlab
end
def self.allowed?(user)
- self.open(user) do |access|
- if access.allowed?
- user.last_credential_check_at = Time.now
- user.save
- true
- else
- false
- end
- end
+ true
+ # self.open(user) do |access|
+ # if access.allowed?
+ # user.last_credential_check_at = Time.now
+ # user.save
+ # true
+ # else
+ # false
+ # end
+ # end
end
def initialize(user, adapter=nil)
@@ -32,20 +33,21 @@ module Gitlab
end
def allowed?
- if Gitlab::LDAP::Person.find_by_dn(user.ldap_identity.extern_uid, adapter)
- return true unless ldap_config.active_directory
+ true
+ # if Gitlab::LDAP::Person.find_by_dn(user.ldap_identity.extern_uid, adapter)
+ # return true unless ldap_config.active_directory
- # Block user in GitLab if he/she was blocked in AD
- if Gitlab::LDAP::Person.disabled_via_active_directory?(user.ldap_identity.extern_uid, adapter)
- user.block unless user.blocked?
- false
- else
- user.activate if user.blocked? && !ldap_config.block_auto_created_users
- true
- end
- else
- false
- end
+ # # Block user in GitLab if he/she was blocked in AD
+ # if Gitlab::LDAP::Person.disabled_via_active_directory?(user.ldap_identity.extern_uid, adapter)
+ # user.block unless user.blocked?
+ # false
+ # else
+ # user.activate if user.blocked? && !ldap_config.block_auto_created_users
+ # true
+ # end
+ # else
+ # false
+ # end
rescue
false
end
组态
在gitlab.yml使用类似于下面的东西(修改您的需要):
#
# 2. Auth settings
# ==========================
## LDAP settings
# You can inspect a sample of the LDAP users with login access by running:
# bundle exec rake gitlab:ldap:check RAILS_ENV=production
ldap:
enabled: true
servers:
##########################################################################
#
# Since GitLab 7.4, LDAP servers get ID's (below the ID is 'main'). GitLab
# Enterprise Edition now supports connecting to multiple LDAP servers.
#
# If you are updating from the old (pre-7.4) syntax, you MUST give your
# old server the ID 'main'.
#
##########################################################################
main: # 'main' is the GitLab 'provider ID' of this LDAP server
## label
#
# A human-friendly name for your LDAP server. It is OK to change the label later,
# for instance if you find out it is too large to fit on the web page.
#
# Example: 'Paris' or 'Acme, Ltd.'
label: 'LDAP_EXAMPLE_COM'
host: ldap.example.com
port: 636
uid: 'sAMAccountName'
method: 'ssl' # "tls" or "ssl" or "plain"
bind_dn: ''
password: ''
# This setting specifies if LDAP server is Active Directory LDAP server.
# For non AD servers it skips the AD specific queries.
# If your LDAP server is not AD, set this to false.
active_directory: true
# If allow_username_or_email_login is enabled, GitLab will ignore everything
# after the first '@' in the LDAP username submitted by the user on login.
#
# Example:
# - the user enters 'jane.doe@example.com' and 'p@ssw0rd' as LDAP credentials;
# - GitLab queries the LDAP server with 'jane.doe' and 'p@ssw0rd'.
#
# If you are using "uid: 'userPrincipalName'" on ActiveDirectory you need to
# disable this setting, because the userPrincipalName contains an '@'.
allow_username_or_email_login: false
# To maintain tight control over the number of active users on your GitLab installation,
# enable this setting to keep new users blocked until they have been cleared by the admin
# (default: false).
block_auto_created_users: false
# Base where we can search for users
#
# Ex. ou=People,dc=gitlab,dc=example
#
base: 'OU=Users,OU=division,OU=department,DC=example,DC=com'
# Filter LDAP users
#
# Format: RFC 4515 http://tools.ietf.org/search/rfc4515
# Ex. (employeeType=developer)
#
# Note: GitLab does not support omniauth-ldap's custom filter syntax.
#
user_filter: '(&(objectclass=user)(objectclass=person))'
Answer 3:
GitLab使用omniauth管理多个登录源(包括LDAP)。
所以,如果你能以某种方式延长omniauth以不同的方式管理LDAP连接,你可以获取来自不同源的密码。
这将让你避免保存说,在密码中的LDAP部分gitlab.yml配置文件 。
文章来源: setting up gitlab LDAP-authentication without special gitlab user
