CentOS GitLab 怎样进行权限管理

CentOS 上 GitLab 权限管理实操指南

一 核心概念与角色

• 角色体系（由低到高）：Guest（仅查看与评论）、Reporter（克隆与拉取、报告）、Developer（推送、分支、合并请求）、Maintainer（管理成员、保护分支、标签、CI/CD 等）、Owner（项目设置、可见性、迁移/删除、组管理）。
• 可见性级别：Private（仅成员可见）、Internal（登录用户可见）、Public（所有人可见）。
• 权限粒度：支持项目级、组级与实例级配置，通常优先使用组级统一授权，再用项目级做细粒度调整。

二 通过 Web 界面进行授权（推荐）

• 管理员全局管理：进入 Admin Area → Users，可执行创建、停用、封禁、删除用户，并查看/调整用户属性与权限。
• 项目级授权：进入 项目 → Settings → Members，添加用户或组并分配角色（Guest/Reporter/Developer/Maintainer/Owner），可设置过期时间与访问到期。
• 组级授权：进入 组 → Members，为组统一分配角色，组内的所有项目继承该访问权限；适合团队/部门统一治理。
• 可见性与访问控制：在项目/组的 Settings → General → Visibility and access controls 中设置 Private/Internal/Public，并可在实例级策略中限制注册与默认项目/组可见性。

三 分支与代码保护

• 启用分支保护：进入 项目 → Settings → Repository → Protected branches，为 main/master/default 等分支设置：
  • Allowed to push 与 Allowed to merge（如仅 Maintainer 或 Developers + Maintainers 可推送/合并）；
  • 是否要求 Code Owner 审核；
  • 是否启用 Require merge request、Require approvals、Remove source branch 等策略；
  • 结合 CI/CD 流水线，可要求通过检查后才能合并。

四 企业目录集成与自动化

• LDAP/SSO 集成：在 /etc/gitlab/gitlab.rb 中启用并配置 LDAP，实现统一账号与登录；必要时可映射 LDAP 组到 GitLab 角色，实现按部门/岗位自动授权。示例（节选）：
  • gitlab_rails[‘ldap_enabled’] = true
  • gitlab_rails[‘ldap_servers’] = YAML.load <<-‘EOS’ … EOS
  • 修改后执行：sudo gitlab-ctl reconfigure。
• LDAP 组同步（可选）：
  • gitlab_rails[‘ldap_group_sync’] = true
  • gitlab_rails[‘ldap_group_base_dn’] = ‘ou=groups,dc=example,dc=com’
  • gitlab_rails[‘ldap_group_sync_strategy’] = ‘group’
• 自动化运维：结合 Puppet/Ansible 批量创建用户、分配角色、维护组成员，降低人工操作风险。

五 命令行与系统层面的补充

• Rails 控制台（批量/自动化）：
  • 创建用户：
    • sudo gitlab-rails console
    • User.create!(email: ‘newuser@example.com’, username: ‘newuser’, password: ‘StrongPass!’, admin: false)
  • 修改/删除用户：在控制台中按用户名查找后更新或销毁。
• 系统账户与目录权限（Omnibus 常见）：GitLab 运行用户通常为 git；确保仓库与数据目录所有权正确，例如：
  • sudo chown -R git:git /var/opt/gitlab/git-data/repositories
• 不要将系统级 sudo 权限与 GitLab 内建角色混淆，授权应以 GitLab 内建角色为准。
• 防火墙放行（若启用 HTTP/HTTPS/SSH）：
  • sudo firewall-cmd --permanent --zone=public --add-service=http
  • sudo firewall-cmd --permanent --zone=public --add-service=https
  • sudo firewall-cmd --permanent --zone=public --add-service=ssh
  • sudo firewall-cmd --reload