Ubuntu如何解决GitLab权限问题

Ubuntu下GitLab权限问题排查与修复

一 常见症状与定位

• 使用 SSH 克隆或推送时提示：Permission denied (publickey) 或 Permission denied, please try again，多与本地 SSH 密钥未正确配置、权限不当或服务器侧访问控制有关。
• 使用 HTTPS 时反复要求输入账号密码，通常是认证信息错误或凭据未保存。
• 能访问 Web 但 Git 操作被拒，常见于项目/组的成员权限不足（如仅有 Guest 无法读写仓库）。
• 服务器侧表现为服务异常或配置错误，可通过 gitlab-ctl status、日志与 gitlab-rake gitlab:check 检查。

二 SSH 访问权限修复

• 生成密钥对（如尚未生成）：ssh-keygen -t rsa -b 2048 -C "your_email@example.com"，默认生成 ~/.ssh/id_rsa 与 ~/.ssh/id_rsa.pub。
• 将公钥添加到 GitLab：复制 cat ~/.ssh/id_rsa.pub 的内容，在 GitLab 右上角头像 → Preferences → SSH Keys 中粘贴并保存。
• 修正本地私钥权限：chmod 600 ~/.ssh/id_rsa；必要时启动 ssh-agent 并添加私钥：eval "$(ssh-agent -s)" 与 ssh-add ~/.ssh/id_rsa。
• 多密钥或自定义端口时，配置 ~/.ssh/config：

  Host gitlab.com
    HostName gitlab.com
    User git
    IdentityFile ~/.ssh/id_rsa
  

• 测试连接：ssh -T git@gitlab.com，成功会显示欢迎信息。若曾连接失败，可清理旧缓存：ssh-keygen -R gitlab.com。
• 若仍失败，检查服务器防火墙是否放行 22 端口，或 GitLab 实例的 SSH 配置与端口是否正确。

三 HTTPS 访问与凭据问题

• 使用个人访问令牌（PAT）替代密码：在 GitLab 头像 → Preferences → Access Tokens 创建 Token，克隆或推送时使用：
  • 克隆：git clone https://<token>@gitlab.example.com/namespace/project.git
  • 或在 URL 中交互输入用户名与 Token。
• 保存凭据避免重复输入：
  • Git 凭据存储：git config --global credential.helper store（明文保存）或 git config --global credential.helper cache（内存缓存）。
• 若提示 403/404，确认项目可见性、你在该项目或所属组中的角色权限是否足够（见下一节）。

四 项目与组成员权限配置

• 角色与能力（常见）：
  • Guest：创建 issue、评论，不能读写仓库。
  • Reporter：可克隆，不能提交。
  • Developer：可克隆、开发、提交、推送。
  • Maintainer：可创建项目、打 tag、管理保护分支、添加成员、编辑项目。
  • Owner：可设置访问权限、可见性、删除/迁移项目、管理组成员。
• 在 GitLab 项目或组的 Members 页面，为对应用户/组设置合适的 Access Level，保存后生效。

五 服务器与系统层面权限修复

• 修复 GitLab 数据目录属主与权限（Omnibus 包默认运行用户为 git:git）：

  sudo chown -R git:git /var/opt/gitlab
  sudo chmod -R 755 /var/opt/gitlab
  

• 修改配置后应用：sudo gitlab-ctl reconfigure，必要时重启：sudo gitlab-ctl restart。
• 检查服务状态与日志：sudo gitlab-ctl status、sudo gitlab-ctl tail；执行自检：sudo gitlab-rake gitlab:check SANITIZE=true --trace。
• 防火墙放行 Web 端口：sudo ufw allow 80/tcp 与 sudo ufw allow 443/tcp；如使用自托管实例的 SSH，还需放行 22/tcp。
• 若启用 AppArmor/SELinux，确认未拦截 GitLab 相关进程与目录访问。