CentOS GitLab权限设置方法

CentOS系统下GitLab权限设置方法

一、基础环境权限配置

1. 文件系统权限

确保GitLab核心数据目录（默认/var/opt/gitlab）的所有者和权限正确，避免未授权访问：

sudo chown -R git:git /var/opt/gitlab  # 将目录所有者设为git用户及组
sudo chmod -R 755 /var/opt/gitlab     # 设置目录权限为755（所有者可读写执行，其他用户可读执行）

2. GitLab服务用户验证

GitLab默认以git用户运行，需确认服务配置中的用户设置：
编辑/etc/gitlab/gitlab.rb，检查以下参数是否为git：

gitlab_rails['git_user'] = 'git'      # Git操作对应的系统用户
gitlab_rails['git_group'] = 'git'     # Git操作对应的系统组

修改后执行sudo gitlab-ctl reconfigure应用配置。

3. SELinux设置（若启用）

若系统开启SELinux，需调整策略以避免拦截GitLab操作：

sudo setenforce 0                     # 临时关闭SELinux（测试用）
# 或通过semanage调整策略（永久生效，需安装policycoreutils-python）
sudo semanage fcontext -a -t git_repo_t "/var/opt/gitlab(/.*)?"
sudo restorecon -Rv /var/opt/gitlab

二、GitLab权限类型与角色管理

GitLab采用RBAC（基于角色的访问控制）模型，权限分为实例级（全局）和项目级（具体项目）两类：

1. 角色类型与权限说明

GitLab预定义5种核心角色，覆盖不同层级的操作权限：

2. 项目级权限分配（Web界面操作）

通过Web界面为具体项目分配用户角色：

1. 登录GitLab管理员账户，进入目标项目。
2. 点击顶部导航栏Settings → Members。
3. 在“Members”页面，输入用户邮箱或用户名，选择对应角色（如Developer），点击Invite完成添加。

3. 实例级权限管理（全局设置）

• 创建用户：通过Web界面Admin Area（管理员区域）→Users→New User，填写用户名、邮箱、密码等信息，初始角色默认为Guest（可通过Settings→General→Sign-up restrictions修改默认角色）。
• 创建组：通过Groups→New Group创建组，添加用户至组中，可为组分配项目权限（组内用户自动继承组权限）。
• 全局访问控制：在Settings→General→Visibility and access controls中，设置实例默认项目可见性（如Private仅成员可见、Internal登录用户可见、Public所有人可见）。

三、项目级高级权限设置

1. 保护分支（Protected Branches）

限制特定用户或角色对分支的推送/合并操作，防止误操作或未授权修改：

1. 进入项目Settings→Repository→Protected Branches。
2. 选择需要保护的分支（如main），设置：
   • Allowed to push：允许推送的用户/角色（如Maintainer）。
   • Allowed to merge：允许合并的用户/角色（如Maintainer）。
3. 点击Protect启用保护。

2. Merge Request（MR）权限控制

通过MR流程规范代码合并，确保代码质量：

• 在项目Settings→Merge Requests中，设置：
  • Require approval：需要指定数量的审批（如1个Maintainer批准）。
  • Allow merge when pipeline succeeds：CI/CD流水线通过后才允许合并。
  • Restrict who can push to matching branches：仅允许特定角色推送至关联分支。

四、可选：LDAP集成权限管理（企业场景）

若企业使用LDAP（如Active Directory），可将GitLab与LDAP同步，通过LDAP组管理GitLab权限：

1. 编辑/etc/gitlab/gitlab.rb，启用LDAP同步：

gitlab_rails['ldap_enabled'] = true
gitlab_rails['ldap_servers'] = {
  'main' => {
    'label' => 'LDAP',
    'host' => 'ldap.example.com',
    'port' => 389,
    'uid' => 'uid',                # LDAP用户标识字段（如uid）
    'bind_dn' => 'cn=admin,dc=example,dc=com',  # LDAP管理员DN
    'password' => 'your_ldap_password',       # LDAP管理员密码
    'user_search_base' => 'ou=users,dc=example,dc=com',  # 用户搜索基础DN
    'group_search_base' => 'ou=groups,dc=example,dc=com', # 组搜索基础DN
    'ldap_group_sync_strategy' => 'group'     # 同步策略（group/attribute）
  }
}

2. 运行sudo gitlab-ctl reconfigure同步LDAP组。
3. 在GitLab中，将LDAP组映射至GitLab角色（如将LDAP组dev-team映射至Developer角色），实现统一权限管理。