gitleb 登陆方式_为gitlab10.x增加使用remote_user HTTP头的方式登录

最新推荐文章于 2022-05-09 10:22:14 发布
最新推荐文章于 2022-05-09 10:22:14 发布
阅读量187 收藏
点赞数
文章标签: gitleb 登陆方式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39598308/article/details/111542487
版权

项目的结构是这样的:

客户端通过Apache来访问后端的gitlab(gitlab的版本是10.4,手动从源码安装的简体中文版) , Apache作为gitlab的反向代理服务器

Apache内置了CAS的客户端,未登录的用户会重定向到CAS去登录,登录之后,跳转到gitlab,带上一个名为 remote_user的http header 来标识用户的身份

gitlab需要接收这个header,并让用户登录,若系统中不存在该用户,gitlab要从ldap中拿到用户的信息,创建用户,然后让用户登录

实现的方法:

gitlab没有现成的配置来实现这个需求, omniauth-http-header等方案,原理上是可行的,但是在实际操作过程中,很难集成到gitlab中去(因为要修改Gemfile)

所以,我在做的过程中,采用了如下的方法: 参考 omniauth-http-header的代码,自己实现一个 omniauth的provider,添加到gitlab中去(不使用gem包的方式)

首先,在/home/git/gitlab/lib文件夹下,新建http_header.rb,并修改文件的归属为git用户,内容如下:

require 'omniauth'

module OmniAuth

module Strategies

class HttpHeader

include OmniAuth::Strategy

option :name, 'http_header'

option :authorization_uri, nil

option :uid_header, 'remote_user'

option :info_headers, {}

option :remote_ip, nil

def request_phase

redirect callback_url

end

def callback_phase

if options.remote_ip && !Array(options.remote_ip).include?(request.ip)

raise ::OmniAuth::Error, "Callback from unauthorized IP #{request.ip}"

end

super

end

uid do

fetch_header options.uid_header

end

info do

options.info_headers.each_with_object({}) do |(attribute, header), info|

info[attribute] = fetch_header header

end

end

private

def fetch_header(header)

print request.env

request.env.fetch "HTTP_#{header.upcase.gsub('-', '_')}"

end

end

end

end

在omniauth的初始化文件(/home/git/gitlab/config/initializers/omniauth.rb)里require和加载这个文件:

增加了首行的require

require '/home/git/gitlab/lib/http_header.rb'

和最后的

Rails.application.config.middleware.use OmniAuth::Builder do

provider :http_header,

uid_header: 'remote_user'

end

整个文件如下:

require '/home/git/gitlab/lib/http_header.rb'

if Gitlab::LDAP::Config.enabled?

module OmniAuth::Strategies

Gitlab::LDAP::Config.available_servers.each do |server|

# do not redeclare LDAP

next if server['provider_name'] == 'ldap'

const_set(server['provider_class'], Class.new(LDAP))

end

end

end

OmniAuth.config.full_host = Settings.gitlab['base_url']

OmniAuth.config.allowed_request_methods = [:post]

# In case of auto sign-in, the GET method is used (users don't get to click on a button)

OmniAuth.config.allowed_request_methods << :get if Gitlab.config.omniauth.auto_sign_in_with_provider.present?

OmniAuth.config.before_request_phase do |env|

Gitlab::RequestForgeryProtection.call(env)

end

if Gitlab.config.omniauth.enabled

provider_names = Gitlab.config.omniauth.providers.map(&:name)

require 'omniauth-kerberos' if provider_names.include?('kerberos')

end

module OmniAuth

module Strategies

autoload :Bitbucket, Rails.root.join('lib', 'omni_auth', 'strategies', 'bitbucket')

end

end

Rails.application.config.middleware.use OmniAuth::Builder do

provider :http_header,

uid_header: 'remote_user'

end

3.在gitlab.yml文件里配置ldap和omniauth的provider,没有的信息从ldap中拿到

相关配置如下(ldap配置和主题无关,被省略了):

omniauth:

enabled: true

auto_sign_in_with_provider: http_header

auto_link_ldap_user: true

providers:

- { name: 'http_header',

label: 'http_header',

args: {

uid_header: 'remote_user'

} }

4.nginx默认是会去掉带下划线的header,所以,remote_user在经过nginx的时候被干掉了,需要在nginx的server结点下配置这个指令:

underscores_in_headers on;

关于单点退出的问题:让apache拦截gitlab的退出地址,重定向到cas的退出地址上,在cas退出的时候,清除掉gitlab设置的sessioncookie _gitlab_session即可实现单点退出

weixin_39598308
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RMI.rar_Java RMI_java.rmi_java.rmi.Remot_remote
09-20
Java RMI (Remote Method Invocation 远程方法调用)是用Java在JDK1.1中实现的,它大大增强了Java开发分布式应用的能力。
HttpServletRequest中getRemoteUser和getUserPrincipal方法
weixin_30378623的博客
06-24 4684
HttpServletRequest是一个接口类,继承自ServletRequest,并且又新增了许多抽象方法,getRemoteUser()方法和getUserPrincipal()方法就在其中。许多web项目中会定义基于HttpServletRequest的实现类,比如shiro中的ShiroHttpServletRequest,该类中对getRemoteUser和getUserPrincip...
使用$remote_user字段记录访问NGINX的用户
因上努力,果上随缘。但行好事,莫问前程。
05-09 1845
有时候我们会给一些没有集成权限认证系统的页面加一层认证,以提高安全性,但是针对一些涉及到线上生产的一些界面,如果使用 NGINX 统一认证的账号,那么如果某个时刻被改坏了,想要确认是谁都很难。 NGINX 在打印日志的时候,事实上是有$remote_user这一参数的,只不过常规使用的时候,无法获取到值,需要在基于认证规则的时候,才能够生效,大多时候我们使用htpasswd来做的认证,这样会比较麻烦,所以优雅的方案应该是结合 ldap 认证的模块,来实现认证系统,然后在日志格式化中添加用户字段: ...
关于git项目clone时的错误remote: User permission denied
weixin_41788805的博客
08-22 3863
因为我的电脑之前时别人的git账户,所以我clone仓库的时候就出现了remote: User permission denied这个错误 首先查一下当前的用户和邮箱 打开命令行工具 git config user.name git config user.email 如果不是的话,先设置成自己的账号 git config --global user.name "your_...
git注意事项之|解决remote: User permission denied 问题
楠辞琦咎 难上加楠 出琦止胜
07-02 1万+
git注意事项之|解决remote: User permission denied 问题 我们常常会遇到自己的用户名密码忘记、新入公司使用上任电脑时残留用户名密码,常常就会导致出现的 remote: User permission denied 问题。显然我们需要清除残存的干扰账号,那么,我们该怎么做呢: 运行下列清除用户名密码的指令↓ git credential-manager unins...
Nginx 基础 ( 二)
迟迟 CSDN
06-10 1万+
一 基础概念1. HTTP请求http请求包括客户端请求服务端 以及 服务端响应数据回客户端,如下请求:包括请求行、请求部、请求数据响应:包括状态行、消息报、响应正文比如在Linux中curl请求网站获取请求信息和响应信息curl -v http://www.kugou.com &gt;/dev/null2. Nginx日志类型2.1 access.log【访问日志】2.2 error.log...
Wol.rar_Lan remote boot_magic_site:en.pudn.com_wol
09-21
局域网远程开机,通过物理地址发送magic packge远程启动局域网内的PC
Microsoft_Remote_Desktop_10_1_8_installer.dmg.zip
05-29
Mac最新远程连接Win10的官方软件,Microsoft_Remote_Desktop_10_1_8_installer,国内已经被屏蔽下载,这个刚刚安装,测试可用;有时候,确实需要windows,还是可用登录使用,特别是开发时。
Delphi_Remote_Desktop_Source_112714.zip_delphi desktop_remote_re
07-15
Delphi remote desktop
IR_remote_control.zip_IR_remote_control_control
09-23
infra red remote control receiver using 89c51 controller, keil compatible compiler
Superset单点登录调整源码
草宝虫的博客
11-19 3884
///////////////修改config.py from flask_appbuilder.security.manager import AUTH_REMOTE_USER AUTH_TYPE=AUTH_REMOTE_USER from custom_sso_security_manager import CustomSsoSecurityManager CUSTOM_SECURIT...
Ansible使用记录
会哭的雨@的博客
10-29 850
1.当ansible控制端服务器登录用户为root或其它用户,需要指定jsxge用户和私钥文件(也可以在playbook文件开指定用户remote_user: jsxge,但hosts文件也需要指定私钥文件) vim /etc/ansible/hosts [test] 101.189.104.192 ansible_ssh_user=sues ansible_ssh_private_key_file=/home/suss/.ssh/id_rsa ...
request.getRemoteUser() 方法
陕西小伙伴网络科技有限公司-技术博客
09-01 3万+
很多安全认证里面,只要认证通过之后都会有一个getRemoteUser 方法可以获取到用户名,那么这个getRemoteUser 的值是怎么去设置的呢? 写一个类集成HttpServletRequestWrapper 重写getRemoteUser  方法 然后写一个filter拦截所有请求。 在filter 给下面执行的时候不传request 而是传 咱们刚刚重写的那个类对象。 (以下
django “如何”系列1:如何使用REMOTE_USER(远程用户)进行认证
dianliao7817的博客
01-17 568
这节主要介绍当web服务器使用REMOTE_USER的时候,该如何在你的django应用中使用外部的认证源,远程用户主要见于企业内部网,主要使用单点登录解决方案。 在django中,REMOTE_USER在request.META中时有效的属性,如果你要在django中使用REMOTE_USER,请使用RemoteUserMiddleware和RemoteUserBackend这...
http请求之部信息参数详解
测试入坑之路
01-09 5536
Transfer-Encoding: chunked使用,就不必申请一个很大的字节数组了,可以一块一块的输出,更科学,占用资源更少 no-cache 防止从缓存中返回过去的资源,请求中如包含该命令,表示客户端不会接收缓存过的响应,必须向源放武器转发请求 如果响应中包含该命令,那么缓存服务器不能对其资源进行缓存,且源服务器也将不在对缓存服务器请求中提出的资源有效性进行确认,且禁止其对相应资源进行缓存...
运维自动化之----ansible的playboook的实战案例(5)
Laiyunpeng666的博客
08-14 510
4.3 Playbook核心元素 Hosts 执行的远程主机列表 Tasks 任务集 (每个tasks调用的是各种模块) Varlabes 内置变量或自定义变量在playbook中调用 Templates 模块,可替换模板文件中的变量并实现一些简单逻辑的文件 Handlers 和notify 结合使用,有特定条件触发的操作,满足条件方才执行,否则不执行 tags 标签,指定某条件任务执行,用于选择运行playbook中的部分代码,ansible具有幂等性,ansible具有幂等性,因此会自动跳过没有变
Git-remote Incorrect username or password ( access token )
热门推荐
明皈依的博客
08-11 6万+
remote: Incorrect username or password ( access token ) 在使用Git进行项目代码提交的最后一步操作的时候,出现了一个问题,这个问题的意思大概是:用户名或密码不正确(访问令牌) git出错截图: 我造成这种错误的原因是,由于之前重置了Git账户的密码,忘记修改计算机的凭据导致这个问题的出现。 我的解决方案是: 打开电脑的控制面板–...
git 问题解决之remote: Permission to xxx/xxx.git denied to xxx.
qq_35524586的博客
11-11 1万+
Git问题总结: 1.$ git push origin :dev-xx remote: Permission to xxx/xxx.git denied to xxx. fatal: unable to access 'https://github.com/xxx/xxx.git/': The requested URL returned error: 403 问题原因主要是电脑上有两个g...
解决 github push failed (remote: Permission to userA/repo.git denied to userB.)
付小华的博客
07-24 2万+
解决 github push failed (remote: Permission to userA/repo.git denied to userB.)【前言】当你看到这篇文章时,很高兴,你不用再去各大网站再去搜索这个问题的解决方案了,因为这篇文章可以帮你彻底解决问题。请耐心地阅读完。本文假设了两个用户 userA 和 userB ,userA的github项目名为 repo当你在使用Androi
fatal: Unencrypted HTTP is not supported for GitLab. Ensure the repository remote URL is using HTTPS.
最新发布
07-28
回答: 当出现 "fatal: Unencrypted HTTP is not supported for GitLab. Ensure the repository remote URL is using HTTPS." 错误时,这意味着你的GitLab仓库的远程URL使用的是HTTP而不是HTTPS。为了解决这个问题,你需要确保将仓库的远程URL更改为HTTPS。你可以使用以下命令来更改远程URL: git remote set-url origin https://github.com/your-username/your-repository.git 请将"your-username"替换为你的GitLab用户名,"your-repository"替换为你的仓库名称。这样就会将远程URL更改为HTTPS,从而解决这个问题。\[3\] #### 引用[.reference_title] - *1* *2* [vue初始化项目出现 npm ERR fatal unable to access ‘httpsgithub.comnhnraphael.git‘ OpenSSL SSL_read](https://blog.csdn.net/m0_67402235/article/details/123304508)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [tortoiseGit使用报错gitlab ssh Please make sure you have the correct access rights and the repos](https://blog.csdn.net/genghongsheng/article/details/126020831)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值