LDAP落地实战(三):GitLab集成OpenLDAP认证

上一篇文章介绍了SVN集成OpenLDAP认证,版本控制除了SVN外,Git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成OpenLDAP实现账号认证

GitLab配置

  1. 修改配置文件gitlab.yml
ldap:
enabled: true
servers:
  main: 
    label: 'LDAP'

    host: 'ldap.domain.com'
    port: 389
    uid: 'uid'
    method: 'plain'
    bind_dn: 'uid=authz,ou=Public,dc=domain,dc=com'
    password: 'CzfdX629K7'

    timeout: 10

    active_directory: false
    allow_username_or_email_login: false

    block_auto_created_users: false

    base: 'dc=domain,dc=com'
    user_filter: ''
  1. 重启GitLab服务,看到页面已经有LDAP的登录选项了

重要配置参数解释

仔细阅读上一篇svn集成LDAP认证的文章这些参数会更好理解

  • host:LDAP服务器地址
  • port:LDAP服务端口
  • uid:以哪个属性作为验证属性,可以为uid、cn等,我们使用uid
  • method:如果开启了tls或ssl则填写对应的tls或ssl,都没有就填写plain
  • bind_dn:search搜索账号信息的用户完整bind(需要一个有read权限的账号验证通过后搜索用户输入的用户名是否存在)
  • password:bind_dn用户的密码,bind_dnpassword两个参数登录LDAP服务器搜索用户
  • active_directory:LDAP服务是否是windows的AD,我们是用的OpenLDAP,这里写false
  • allow_username_or_email_login:是否允许用户名或者邮箱认证,如果是则用户输入用户名或邮箱都可
  • base:从哪个位置搜索用户,例如允许登录GitLab的用户都在ou gitlab里,name这里可以写ou=gitlab,dc=domain,dc=com
  • filter:添加过滤属性,例如只过滤employeeType为developer的用户进行认证,可以设置employeeType=developer

报错处理

当重启完成后登陆报:Could not authenticate you from Ldapmain because "Invalid credentials"

查日志有如下报错:(LDAP) Error saving user: ["Email is not whitelisted. Email domains valid for registration are: domain.com"]

Email不在白名单??仔细想了一下原因:

  1. GitLab之前为了安全配置了 Restricted domains for sign-ups只允许domain.com邮箱的用户注册
  2. 而我OpenLDAP在新建用户的时候邮箱没有填写为空

或许就是这个问题了,登录lam将用户的邮箱字段补上(需符合白名单规则)重新登录便正常了

原文发布于微信公众号 - 运维咖啡吧(SRE724)

原文发表时间:2018-08-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小怪聊职场

Jenkins+Git+Maven+Tomcat8配置web自动构建环境(拉代码、编译、打包、部署)

28240
来自专栏有困难要上,没有困难创造困难也要上!

制作可自运行的jar可执行文件

今天看到有人把Java的jar包制作成一个可执行文件,于是乎我也试了一把,确实也挺简单的,记录一下。

12340
来自专栏破晓之歌

jupyter、pyenv、virtualenv、virtualenvwrapper简要区别

在创建一个新的python版本时,完全拷贝一个现成的python环境。新的python版本,可作为global

12340
来自专栏信安之路

windows命令执行上传文件的姿势

我们在做渗透测试的时候会经常遇到存在命令执行的Windows服务器,而且不能上传shell,唯一的入口就是命令执行,这种情况下,我们需要向服务器上传一个大一点的...

11900
来自专栏猿天地

Spring Cloud Eureka 增加权限认证

上篇文章我们简单的介绍了下注册中心Eureka,文章地址:http://cxytiandi.com/blog/detail/11988 Eureka自带了一个w...

41480
来自专栏Python

windows下命令行模式中cd命令无效的原因

当我们执行cmd 想切换当前工作目录时,会发现windows下命令行模式中cd命令没有生效,到底是什么原因呢? ? 例如: 当我们想切换到 D:\MySql\m...

23880
来自专栏debugeeker的专栏

基于现有的Linux LiveCD加入自己的内核和ramfs

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xuzhina/article/detai...

8810
来自专栏晨星先生的自留地

oreint db 远程代码执行漏洞

20140
来自专栏lgp20151222

Weblogic Exception in AppMerge flows' progression

原因:经过分析是web.xml配置的问题,有些servlet上面配置了'display-name',这个weblogic是不支持的。 解决:在web.xml中...

39020
来自专栏积累沉淀

centos7 mysql数据库安装和配置

一、系统环境 yum update升级以后的系统版本为 [root@yl-web yl]# cat /etc/redhat-release CentOS Li...

48180

扫码关注云+社区

领取腾讯云代金券