認證
LDAP(輕量級目錄訪問協議)
LDAP via BindDN 和簡單身份驗證 LDAP 共享以下字段:
-
授權名稱 (必填)
- 分配給新授權方法的名稱。
-
主機 (必填)
- 可以訪問 LDAP 服務器的地址。
- 例如:
mydomain.com
-
端口 (必填)
- 連接到服務器時使用的端口。
- 例如:
389
用於 LDAP 或636
用於 LDAP SSL
-
啟用 TLS 加密(可選)
- 是否在連接到 LDAP 服務器時使用 TLS。
-
管理員過濾器(可選)
- 指定用戶是否應被授予管理員權限的 LDAP 過濾器。如果用戶帳戶通過過濾器,用戶將被授予管理員權限。
- 例如:
(objectClass=adminAccount)
- Microsoft Active Directory(AD)的示例:
(memberOf=CN=admin-group,OU=example,DC=example,DC=org)
-
用戶名屬性(可選)
- 包含用戶名的用戶 LDAP 記錄的屬性。給定屬性值將在首次成功登錄後用於新 Gitea 帳戶用戶名。留空以使用登錄表單中給定的登錄名。
- 當提供的登錄名與多個屬性匹配時,這很有用,但應僅使用單個特定屬性作為 Gitea 帳戶名,請參閱“用戶過濾器”。
- 例如:
uid
- Microsoft Active Directory(AD)的示例:
sAMAccountName
-
名字屬性(可選)
- 包含用戶名字的用戶 LDAP 記錄的屬性。這將用於填充其帳戶信息。
- 例如:
givenName
-
姓氏屬性(可選)
- 包含用戶姓氏的用戶 LDAP 記錄的屬性。這將用於填充其帳戶信息。
- 例如:
sn
-
電子郵件屬性 (必填)
- 包含用戶電子郵件地址的用戶 LDAP 記錄的屬性。這將用於填充其帳戶信息。
- 例如:
mail
LDAP via BindDN
添加以下字段:
-
綁定 DN(可選)
- 綁定到 LDAP 服務器時使用的 DN。這可以留空以執行匿名搜索。
- 例如:
cn=Search,dc=mydomain,dc=com
-
綁定密碼(可選)
- 上面指定的綁定 DN 的密碼(如果有)。注意:密碼使用服務器上的 SECRET_KEY 加密存儲。仍然建議確保綁定 DN 具有盡可能少的權限。
-
用戶搜索基礎 (必填)
- 將搜索用戶帳戶的 LDAP 基礎。
- 例如:
ou=Users,dc=mydomain,dc=com
-
用戶過濾器 (必填)
- 聲明如何查找嘗試進行身份驗證的用戶記錄的 LDAP 過濾器。
%[1]s
匹配參數將替換為登錄表單中給定的登錄名。 - 例如:
(&(objectClass=posixAccount)(|(uid=%[1]s)(mail=%[1]s)))
- Microsoft Active Directory(AD)的示例:
(&(objectCategory=Person)(memberOf=CN=user-group,OU=example,DC=example,DC=org)(sAMAccountName=%s)(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
- 要多次替換,應使用
%[1]s
,例如當匹配提供的登錄名與多個屬性(例如用戶標識符、電子郵件甚至電話號碼)時。 - 例如:
(&(objectClass=Person)(|(uid=%[1]s)(mail=%[1]s)(mobile=%[1]s)))
- 聲明如何查找嘗試進行身份驗證的用戶記錄的 LDAP 過濾器。
-
啟用用戶同步
- 此選項啟用定期任務,將 Gitea 用戶與 LDAP 服務器同步。默認週期為每 24 小時,但可以在 app.ini 文件中更改。請參閱 sample app.ini 中的 cron.sync_external_users 部分以獲取有關該部分的詳細評論。上面描述的 User Search Base 和 User Filter 設置將限制哪些用戶可以使用 Gitea 以及哪些用戶將被同步。首次運行時,任務將創建所有符合給定設置的 LDAP 用戶,因此在處理大型企業 LDAP 目錄時請小心。
使用簡單身份驗證的 LDAP
添加以下字段:
-
用戶 DN (必填)
- 用作用戶 DN 的模板。
%s
匹配參數將替換為登錄表單中給定的登錄名。 - 例如:
cn=%s,ou=Users,dc=mydomain,dc=com
- 例如:
uid=%s,ou=Users,dc=mydomain,dc=com
- 用作用戶 DN 的模板。
-
用戶搜索基礎(可選)
- 將搜索用戶帳戶的 LDAP 基礎。
- 例如:
ou=Users,dc=mydomain,dc=com
-
用戶過濾器 (必填)
- 聲明何時允許用戶登錄的 LDAP 過濾器。
%[1]s
匹配參數將替換為登錄表單中給定的登錄名。 - 例如:
(&(objectClass=posixAccount)(|(cn=%[1]s)(mail=%[1]s)))
- 例如:
(&(objectClass=posixAccount)(|(uid=%[1]s)(mail=%[1]s)))
- 聲明何時允許用戶登錄的 LDAP 過濾器。
驗證 LDAP 中的組成員資格
使用以下字段:
-
組搜索基礎 DN(可選)
- 用於組的 LDAP DN。
- 例如:
ou=group,dc=mydomain,dc=com
-
包含用戶列表的組屬性(可選)
- 列出/包含組成員的組對象的屬性。
- 例如:
memberUid
或member
-
組中列出的用戶屬性(可選)
- 用於在組對象中引用用戶的用戶屬性。
- 例如:如果組對象包含
member: bender
並且用戶對象包含uid: bender
,則為uid
。 - 例如:如果組對象包含
member: uid=bender,ou=users,dc=planetexpress,dc=com
,則為dn
。
-
驗證 LDAP 中的組成員資格(可選)
- 聲明如何在上述 DN 中查找有效組的 LDAP 過濾器。
- 例如:
(|(cn=gitea_users)(cn=admins))
PAM(可插拔身份驗證模塊)
此過程啟用 PAM 身份驗證。用戶仍然可以使用用戶管理手動添加到系統中。PAM 提供了一種機制,可以通過測試它們來自動將用戶添加到當前數據庫中。要使用普通的 Linux 密碼,運行 Gitea 的用戶還必須具有對 /etc/shadow
的讀取訪問權限,以便在使用公鑰登錄時檢查帳戶的有效性。
注意:如果用戶已將 SSH 公鑰添加到 Gitea 中,則使用這些密鑰 可能 會繞過登錄檢查系統。因此,如果您希望禁用使用 PAM 身份驗證的用戶,您 應該 也使用內置用戶管理器手動禁用 Gitea 中的帳戶。
- 配置和準備安裝。
- 建議您創建一個管理用戶。
- 可能還需要取消選擇自動註冊。
- 數據庫初始化後,以新創建的管理用戶身份登錄。
- 導航到用戶設置(右上角的圖標),然後選擇
站點管理
->身份驗證源
,然後選擇添加身份驗證源
。 - 填寫以下字段:
注意:PAM 支持是通過 構建時標誌 添加的,官方提供的二進制文件未啟用此功能。PAM 需要必要的 libpam 動態庫可用,並且需要編譯器可以訪問必要的 PAM 開發標頭。
SMTP(簡單郵件傳輸協議)
此選項允許 Gitea 以 Gitea 用戶身份登錄到 SMTP 主機。要配置此項,請設置以下字段:
-
授權名稱 (必填)
- 分配給新授權方法的名稱。
-
SMTP 身份驗證類型 (必填)
- 用於連接到 SMTP 主機的身份驗證類型,PLAIN 或 LOGIN。
-
主機 (必填)
- 可以訪問 SMTP 主機的地址。
- 例如:
smtp.mydomain.com
-
端口 (必填)
- 連接到服務器時使用的端口。
- 例如:
587
-
允許的域
- 如果使用公共 SMTP 主機或具有多個域的 SMTP 主機,則限制哪些域可以登錄。
- 例如:
gitea.com,mydomain.com,mydomain2.com
-
強制 SMTPS
- 默認情況下,將使用 SMTPS 連接到端口 465,如果您希望對其他端口使用 SMTPS,請設置此值。
- 否則,如果服務器提供
STARTTLS
擴展,將使用此擴展。
-
跳過 TLS 驗證
- 禁用身份驗證上的 TLS 驗證。
-
此身份驗證源已激活
- 啟用或禁用此身份驗證源。
FreeIPA
-
為了使用 FreeIPA 憑據登錄 Gitea,需要為 Gitea 創建一個綁定帳戶:
-
在 FreeIPA 服務器上,創建一個
gitea.ldif
文件,將dc=example,dc=com
替換為您的 DN,並提供適當的安全密碼:dn: uid=gitea,cn=sysaccounts,cn=etc,dc=example,dc=com
changetype: add
objectclass: account
objectclass: simplesecurityobject
uid: gitea
userPassword: secure password
passwordExpirationTime: 20380119031407Z
nsIdleTimeout: 0 -
導入 LDIF(如果需要,將 localhost 更改為 IPA 服務器)。將提示輸入目錄管理員密碼:
ldapmodify -h localhost -p 389 -x -D \
"cn=Directory Manager" -W -f gitea.ldif -
為 gitea_users 添加一個 IPA 組:
ipa group-add --desc="Gitea Users" gitea_users
-
注意:有關 IPA 憑據的錯誤,請運行
kinit admin
並提供域管理員帳戶密碼。 -
以管理員身份登錄 Gitea,然後單擊管理面板下的“身份驗證”。然後單擊
添加新源
並填寫詳細信息,根據需要更改所有內容。
SPNEGO 與 SSPI(Kerberos/NTLM,僅適用於 Windows)
Gitea 支持通過 Windows 中內置的安全支持提供程序接口(SSPI)為服務器的 Web 部分進行 SPNEGO 單點登錄身份驗證(RFC4559 定義的方案)。SSPI 僅在 Windows 環境中工作 - 當服務器和客戶端都運行 Windows 時。
在激活 SSPI 單點登錄身份驗證(SSO)之前,您必須準備好環境:
-
在活動目錄中創建一個單獨的用戶帳戶,該帳戶下將運行
gitea.exe
進程(例如,域domain.local
下的user
): -
為運行
gitea.exe
的主機創建一個類別為HTTP
的服務主體名稱:- 以特權域用戶(例如域管理員)身份啟動
命令提示符
或PowerShell
- 運行以下命令,將
host.domain.local
替換為運行 Web 應用程序的服務器的完全限定域名(FQDN),將domain\user
替換為上一步中創建的帳戶名稱:
setspn -A HTTP/host.domain.local domain\user
- 以特權域用戶(例如域管理員)身份啟動
-
使用創建的用戶登錄(如果已登錄,請登出)
-
確保
custom/conf/app.ini
的[server]
部分中的ROOT_URL
是運行 Web 應用程序的服務器的完全限定域名 - 與創建服務主體名稱時使用的相同(例如host.domain.local
) -
啟動 Web 服務器(
gitea.exe web
) -
通過在
站點管理 -> 身份驗證源
中添加SPNEGO 與 SSPI
身份驗證源來啟用 SSPI 身份驗證 -
使用任何域用戶登錄到同一域中的客戶端計算機(客戶端計算機,不同於運行
gitea.exe
的服務器) -
如果您使用的是 Chrome 或 Edge,請將 Web 應用程序的 URL 添加到本地內部網站(
Internet 選項 -> 安全 -> 本地內部網站 -> 網站
) -
啟動 Chrome 或 Edge 並導航到 Gitea 的 FQDN URL(例如
http://host.domain.local:3000
) -
單擊儀表板上的
登錄
按鈕,選擇 SSPI 以使用當前登錄到計算機的相同用戶自動登錄 -
如果不起作用,請確保:
- 您未在運行 Gitea 的同一服務器上運行 Web 瀏覽器。您應該在域加入的計算機(客戶端)上運行 Web 瀏覽器,該計算機與服務器不同。如果客戶端和服務器都在同一計算機上運行,NTLM 將優先於 Kerberos。
- 主機只有一個
HTTP/...
SPN - SPN 僅包含主機名,不包含端口
- 您已將 Web 應用程序的 URL 添加到
本地內部網站區域
- 服務器和客戶端的時鐘不應相差超過 5 分鐘(取決於組策略)
- Internet Explorer 中應啟用
集成 Windows 身份驗證
(在高級設置
下)
反向代理
Gitea 支持反向代理標頭身份驗證,它將讀取標頭作為受信任的登錄用戶名或用戶電子郵件地址。默認情況下未啟用此功能,您可以通過以下方式啟用它
[service]
ENABLE_REVERSE_PROXY_AUTHENTICATION = true
默認登錄用戶名在 X-WEBAUTH-USER
標頭中,您可以通過更