CentOS 上 GitLab 权限管理实操指南
一 角色与访问级别
- 角色权限从低到高依次为:Guest(仅查看、评论、创建 issue)、Reporter(克隆与拉取代码、查看流水线/产物)、Developer(推送、创建分支、合并请求、Web IDE、部分 CI 权限)、Maintainer(管理成员、保护分支、标签、部署密钥、Runner、项目设置)、Owner(项目级最高权限,可删除项目、迁移、改可见性)。
- 项目可见性有三种:Private(仅成员可见)、Internal(登录用户可见)、Public(所有人可见)。
- 建议按岗位分配角色:如 QA/PM 给 Reporter,研发给 Developer,Tech Lead/负责人给 Maintainer,外包或临时协作者给 Guest 或最小必要角色。
二 项目与组权限配置
- 项目成员授权:进入项目 → Settings → Members → 输入用户名/邮箱 → 选择角色(Guest/Reporter/Developer/Maintainer/Owner)→ 设置过期时间(可选)→ Add to project。
- 组级授权与继承:创建 Group → Group → Members 添加成员并分配角色,组内的 Projects 会继承成员权限;适合按团队/部门统一管理。
- 实例级管理:管理员在 Admin Area → Users 管理用户,Admin Area → Groups 管理组织与组;谨慎使用实例级策略,避免越权。
三 分支保护与代码准入
- 进入项目 → Settings → Repository → Protected branches,选择分支(如 main/master)→ 设置谁可 Merge、谁可 Push、是否需要 Code Owner 审批、是否启用 Status Checks 等。
- 典型做法:
- Maintainer/Owner 可合并与推送;
- Developer 仅可创建合并请求,不能直接推送到受保护分支;
- 开启“Require approval from code owners”与“Require status checks to pass”以确保质量门禁。
四 使用 LDAP 或 AD 集中认证与组同步(可选)
- 启用 LDAP:编辑 /etc/gitlab/gitlab.rb,开启 LDAP 并配置服务器、绑定 DN、搜索基准与过滤规则;保存后执行 sudo gitlab-ctl reconfigure 使配置生效。
- 组同步:在 gitlab.rb 中开启 gitlab_rails[‘ldap_group_sync’] = true,设置 gitlab_rails[‘ldap_group_base_dn’] 与同步策略,执行 sudo gitlab-ctl reconfigure 触发同步;随后可在 GitLab 中将 LDAP 组映射到角色,实现按企业目录自动授权。
五 网络与系统层面的访问控制
- 防火墙放行:确保 HTTP/HTTPS/SSH 端口对受控来源开放,例如:
- sudo firewall-cmd --permanent --zone=public --add-service=http
- sudo firewall-cmd --permanent --zone=public --add-service=https
- sudo firewall-cmd --permanent --zone=public --add-service=ssh
- sudo firewall-cmd --reload
- 安全建议:仅暴露必要端口;对外使用 HTTPS;限制 SSH 来源 IP;定期审计成员与权限变更。
