上一篇文章介紹了svn整合OpenLDAP認證,版本控制除了svn外,git目前也被越來越多的開發者所喜愛,本文將介紹GitLab如何整合openldap實現賬號認證
GitLab整合OpenLDAP認證
- 修改配置檔案gitlab.yml
ldap:
enabled: true
servers:
main:
label: `LDAP`
host: `ldap.blz.netease.com`
port: 389
uid: `uid`
method: `plain`
bind_dn: `uid=authz,ou=Public,dc=blz,dc=internal`
password: `ImNVZODT884`
timeout: 10
active_directory: false
allow_username_or_email_login: false
block_auto_created_users: false
base: `dc=blz,dc=internal`
user_filter: ``
複製程式碼重要配置引數解釋(仔細閱讀上一篇svn整合LDAP認證的文章這些引數會更好理解):
host:LDAP伺服器地址port:LDAP服務埠uid:以哪個屬性作為驗證屬性,可以為uid、cn等,我們使用uidmethod:如果開啟了tls或ssl則填寫對應的tls或ssl,都沒有就填寫plainbind_dn:search搜尋賬號資訊的使用者完整bind(需要一個有read許可權的賬號驗證通過後搜尋使用者輸入的使用者名稱是否存在)password:bind_dn使用者的密碼,bind_dn和password兩個引數登入LDAP伺服器搜尋使用者active_directory:LDAP服務是否是windows的AD,我們是用的OpenLDAP,這裡寫falseallow_username_or_email_login:是否允許使用者名稱或者郵箱認證,如果是則使用者輸入使用者名稱或郵箱都可base:從哪個位置搜尋使用者,例如允許登入GitLab的使用者都在ou gitlab裡,name這裡可以寫ou=gitlab,dc=domain,dc=comfilter:新增過濾屬性,例如只過濾employeeType為developer的使用者進行認證(employeeType=developer)
- 重啟GitLab服務,看到頁面已經有LDAP的登入選項了
報錯處理
當重啟完成後登陸報:Could not authenticate you from Ldapmain because "Invalid credentials"
查日誌有如下報錯:(LDAP) Error saving user: ["Email is not whitelisted. Email domains valid for registration are: domain.com"]
email不在白名單??仔細想了一下原因:
- gitlab之前為了安全配置了 Restricted domains for sign-ups只允許domain.com郵箱的使用者註冊
- 而我OpenLDAP在新建使用者的時候郵箱沒有填寫為空
或許就是這個問題了,登入lam將使用者的郵箱欄位補上(需符合白名單規則)重新登入便正常了