CentOS上GitLab的用户权限如何管理

CentOS 上 GitLab 用户权限管理

一 核心概念与角色

• 角色体系（由低到高）：Guest（仅查看与评论）、Reporter（克隆与拉取、报告）、Developer（推送、分支、合并请求）、Maintainer（管理成员、保护分支、标签、CI/CD 等）、Owner（项目设置、可见性、迁移/删除、组管理）。
• 可见性级别：Private（仅成员可见）、Internal（登录用户可见）、Public（所有人可见）。
• 权限粒度：支持项目级、组级与实例级配置，通常优先使用组级统一授权，再用项目级做细粒度调整。

二 通过 Web 界面进行授权（推荐）

• 管理员全局管理：进入 Admin Area → Users，可执行创建、停用、封禁、删除用户，并查看/调整用户属性与权限。
• 项目级授权：进入项目 → Settings → Members，添加用户或组并分配角色（Guest/Reporter/Developer/Maintainer/Owner），可设置过期时间与访问到期。
• 组级授权：进入组 → Members，为组统一分配角色，组内的所有项目继承该访问权限；适合团队/部门统一治理。
• 可见性与访问控制：在项目/组的 Settings → General → Visibility and access controls 中设置 Private/Internal/Public，并可在实例级策略中限制注册与默认项目/组可见性。

三 分支与代码保护

• 启用分支保护：项目 → Settings → Repository → Protected branches，为 main/master/default 等分支设置：
  • 谁可推送（Allowed to push）与谁可合并（Allowed to merge）；
  • 是否要求 Code Owner 审核；
  • 是否启用 Require merge request、Require approvals、Remove source branch 等策略；
  • 结合 CI/CD 流水线，可要求通过检查后才能合并。

四 企业目录集成与自动化

• LDAP/SSO 集成：在 /etc/gitlab/gitlab.rb 中启用并配置 LDAP，实现统一账号与登录；必要时可映射 LDAP 组到 GitLab 角色，实现按部门/岗位自动授权。
  示例（节选）：
  gitlab_rails[‘ldap_enabled’] = true
  gitlab_rails[‘ldap_servers’] = YAML.load <<-‘EOS’
  main:
  label: ‘LDAP’
  host: ‘ldap.example.com’
  port: 389
  uid: ‘uid’
  method: ‘plain’
  bind_dn: ‘cn=admin,dc=example,dc=com’
  password: ‘password’
  user_search_base: ‘dc=example,dc=com’
  user_search_filter: ‘(uid=%{username})’
  EOS
  修改后执行：sudo gitlab-ctl reconfigure
• LDAP 组同步（可选）：
  gitlab_rails[‘ldap_group_sync’] = true
  gitlab_rails[‘ldap_group_base_dn’] = ‘ou=groups,dc=example,dc=com’
  gitlab_rails[‘ldap_group_sync_strategy’] = ‘group’
• 自动化运维：结合 Puppet/Ansible 批量创建用户、分配角色、维护组成员，降低人工操作风险。

五 命令行与系统层面的补充

• Rails 控制台（批量/自动化）：
  • 创建用户：
    sudo gitlab-rails console
    User.create!(email: ‘newuser@example.com’, username: ‘newuser’, password: ‘StrongPass!’, admin: false)
  • 修改用户：
    user = User.find_by(username: ‘olduser’)
    user.email = ‘newemail@example.com’
    user.save!
  • 删除用户：
    user = User.find_by(username: ‘user_to_delete’)
    user.destroy
• 系统账户与目录权限（Omnibus 常见）：GitLab 运行用户通常为 git；确保仓库与数据目录所有权正确，例如：
  sudo chown -R git:git /var/opt/gitlab/git-data/repositories
  注意：不要将系统级 sudo 权限与 GitLab 角色混淆，授权应以 GitLab 内建角色为准。
• 防火墙放行（若启用 HTTP/HTTPS/SSH）：
  sudo firewall-cmd --permanent --zone=public --add-service=http
  sudo firewall-cmd --permanent --zone=public --add-service=https
  sudo firewall-cmd --permanent --zone=public --add-service=ssh
  sudo firewall-cmd --reload