CentOS上GitLab权限管理指南

一、权限管理基础框架

GitLab的权限体系以角色权限为核心，结合项目/组层级控制、LDAP集成及访问控制列表（ACL），实现细粒度的访问管理。以下是具体实施步骤：

二、核心角色与权限说明

GitLab预定义了5种用户角色，覆盖从只读到完全控制的权限范围，适用于项目/组层级：

• Guest（访客）：仅能查看项目文档、issue等公开信息，无法进行代码操作。
• Reporter（报告者）：可克隆代码、查看issue/CI结果，但无法推送代码或修改项目内容。
• Developer（开发者）：具备代码克隆、推送、创建分支/merge request的权限，可参与项目开发。
• Maintainer（维护者）：可管理项目成员、保护分支、创建标签、触发CI/CD流水线，负责项目日常运维。
• Owner（所有者）：拥有项目/组的完全控制权，可删除项目、转让所有权、管理组设置。

三、项目/组层级权限设置

1. 项目权限分配

1. 登录GitLab管理员账户，进入目标项目页面。
2. 点击顶部导航栏Settings → Members。
3. 在“Members”页面，输入用户邮箱或用户名，选择对应角色（如Developer），点击Invite即可完成权限分配。

2. 组权限管理

1. 进入Groups页面，选择需管理的组。
2. 点击Members tab，添加用户并分配角色（如Maintainer），组内用户将继承组的权限。
3. 组权限可覆盖项目权限（如组内用户默认拥有组内所有项目的Developer权限）。

四、用户与组系统权限配置

1. 创建系统用户与组

为隔离GitLab运行环境，建议创建专用系统用户（如git）和组：

# 创建git组与用户（禁止登录shell）
sudo groupadd git
sudo useradd -r -g git -s /sbin/nologin -d /var/opt/gitlab git

2. 设置目录权限

GitLab数据目录（如/var/opt/gitlab）需归属git用户，确保服务正常运行：

# 更改数据目录所有者
sudo chown -R git:git /var/opt/gitlab
# 设置目录权限（755：所有者可读写执行，其他用户可读执行）
sudo chmod -R 755 /var/opt/gitlab

3. 配置文件权限

GitLab主配置文件（/etc/gitlab/gitlab.rb）需由root拥有，避免未授权修改：

sudo chown root:root /etc/gitlab/gitlab.rb
sudo chmod 644 /etc/gitlab/gitlab.rb

4. SELinux设置（若启用）

若系统启用SELinux，需调整策略以允许GitLab访问资源：

# 查看SELinux状态（enabled为启用）
sestatus
# 临时禁用SELinux（测试用）
sudo setenforce 0
# 永久禁用（需修改/etc/selinux/config文件）
sudo sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config

5. 防火墙配置

开放HTTP（80）/HTTPS（443）端口，允许外部访问GitLab：

# 永久开放端口
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
# 重新加载防火墙规则
sudo firewall-cmd --reload

五、高级权限控制

1. LDAP集成权限管理

通过LDAP同步用户与组，实现集中式权限管理：

1. 编辑GitLab配置文件（/etc/gitlab/gitlab.rb），启用LDAP同步：

gitlab_rails['ldap_enabled'] = true
gitlab_rails['ldap_servers'] = {
  'main' => {
    'label' => 'LDAP',
    'host' => 'ldap.example.com',
    'port' => 389,
    'uid' => 'uid',
    'bind_dn' => 'cn=admin,dc=example,dc=com',
    'password' => 'ldap_password',
    'user_search_base' => 'dc=example,dc=com',
    'user_search_filter' => '(uid=%{username})'
  }
}
# 启用LDAP组同步
gitlab_rails['ldap_group_sync'] = true
gitlab_rails['ldap_group_base_dn'] = 'ou=groups,dc=example,dc=com'
gitlab_rails['ldap_group_sync_strategy'] = 'group'

2. 重新配置GitLab并重启服务：

sudo gitlab-ctl reconfigure
sudo gitlab-ctl restart

3. 在GitLab中，将LDAP组映射到GitLab角色（如将cn=developers,ou=groups,dc=example,dc=com映射为Maintainer角色）。

2. 分支保护规则

限制敏感分支（如main）的修改权限，防止误操作：

1. 进入项目Settings → Repository。
2. 点击Protected Branches，选择需保护的分支（如main）。
3. 设置Allowed to push（如Maintainer）、Allowed to merge（如Maintainer），保存规则。

六、权限验证与维护

1. 验证用户权限：通过gitlab-rails console查看用户角色：

# 登录console
sudo gitlab-rails console
# 查询用户角色（替换username为实际用户名）
user = User.find_by_username('username')
puts user.roles.map(&:name) # 输出用户角色列表
exit

2. 定期审计权限：每月检查一次项目/组权限分配，移除离职用户或调整冗余权限。
3. 备份权限配置：定期备份/etc/gitlab/gitlab.rb及项目/组设置，防止配置丢失。

通过以上步骤，可在CentOS上实现GitLab的精细化权限管理，确保项目安全与团队协作效率。