本文作者 极狐 GitLab 资深解决方案架构师 尹学峰
本文仅实用于极狐 GitLab 私有化部署场景。
场景化痛点
极狐 GitLab 的多 LDAP 接入性能解决了企业在以下场景中可能遇到的痛点:
- 多个组织 / 部门的整合:在大型企业或跨国公司中,往往存在多个组织或部门,它们可能领有独立的 LDAP 服务器。GitLab 的多 LDAP 接入性能容许这些组织或部门在一个对立的平台上进行合作,同时放弃各自的身份验证和受权体系。
- 并购与合并:当企业进行并购或合并时,它们可能须要整合不同的 IT 零碎和身份验证服务器。极狐 GitLab 的多 LDAP 接入性能简化了这个过程,使得不同起源的员工能够应用各自的原始 LDAP 凭据登录 极狐 GitLab 平台。
- 权限治理与安全性:多 LDAP 接入性能有助于企业实现细粒度的权限治理。通过将不同的 LDAP 服务器调配给相应的用户群组,企业能够确保每个用户仅能拜访其所需的资源,从而进步整体的安全性。
- 灵活性与可扩展性:对于疾速倒退的企业来说,可能不便地整合新的 LDAP 服务器是很重要的。极狐 GitLab 的多 LDAP 接入性能提供了这种灵活性,使得企业能够随着其规模的扩充,轻松地增加更多的 LDAP 服务器。
- 加重 IT 管理负担:通过应用极狐 GitLab 的多 LDAP 接入性能,企业能够防止在多个平台上别离治理用户的身份验证和受权。这有助于升高 IT 治理的复杂性和老本,同时进步工作效率。
配置
原理
不同 LDAP 域下的用户通过不同的 LDAP 服务登录到同一个极狐 GitLab 实例,实现跨 LDAP 域的用户开发合作与共享。
成果
配置实现后成果如下,能够依据理论所处的 LDAP 域抉择适合的 LDAP 登录入口。
办法
编辑 /etc/gitlab/gitlab.rb
,其中内容以理论内容为准,具体配置形式能够征询极狐 GitLab 技术支持团队。
gitlab_rails['ldap_enabled'] = true
gitlab_rails['ldap_servers'] = {
'main' => {
'label' => 'GitLab AD',
'host' => 'ad.mydomain.com',
'port' => 636,
'uid' => 'sAMAccountName',
'encryption' => 'simple_tls',
'base' => 'dc=example,dc=com',
},
'secondary' => {
'label' => 'GitLab Secondary AD',
'host' => 'ad-secondary.mydomain.com',
'port' => 636,
'uid' => 'sAMAccountName',
'encryption' => 'simple_tls',
'base' => 'dc=example,dc=com',
},
'tertiary' => {
'label' => 'GitLab Tertiary AD',
'host' => 'ad-tertiary.mydomain.com',
'port' => 636,
'uid' => 'sAMAccountName',
'encryption' => 'simple_tls',
'base' => 'dc=example,dc=com',
}
}
保留文件并重新配置极狐 GitLab
gitlab-ctl reconfigure