Расширенная настройка GitLab

Егор Васильев UNIX/Linux 07.03.201724.01.2020Debian Jessie, Debian Soft, GitLab 0 Comment

Расширенная настройка GitLab подразумевает конфигурирование множества дополнительных компонентов, среди которых я планирую рассмотреть настройку почтовых уведомлений, интеграцию с LDAP, а также настройку Rack attack.

Если вам интересна тематика Debian и связанных с ним приложений, рекомендую обратиться к тегу Debian на моем блоге.

Содержание

1 Расширенная настройка GitLab

Расширенная настройка GitLab

Ранее я рассматривал установку GitLab с нуля (см. Установка GitLab), теперь же я планирую пролить свет на некоторые дополнительные настройки, о чем ниже.

Настройка почтовых уведомлений

Настройка рассылок по электронной почте крайне желательна, ведь иначе пользователи не смогут получать даже письма для восстановления/сброса пароля.

По умолчанию GitLab использует Postfix в качестве MTA и лично меня это полностью устраивает. Тем не менее, при стандартной установке GitLab ¹ из репозиториев Postfix у меня нормально не поставился и выкидывал кучу ошибок при попытке что-либо настроить. В таких ситуациях лучшим вариантом будет переконфигурировать пакет:

dpkg-reconfigure postfix

1	dpkg-reconfigure postfix

В процессе работы команды вам будут заданы множество вопросов о конфигурации MTA. На все можете отвечать утвердительно, ответа при этом не меняя (итоговая конфигурация все равно будет задана вручную).

После завершения операции мой конфиг выглядел следующим образом (не рекомендую его слепо копировать, в зависимости от версий Postfix и окружения ваши настройки могут сильно отличаться):

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

append_dot_mydomain = no

readme_directory = no

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = gitlab
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost.localdomain, localhost, $mydomain
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/23
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +

inet_interfaces = loopback-only
inet_protocols = all

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

biff = no

append_dot_mydomain = no

readme_directory = no

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem

smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

smtpd_use_tls=yes

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

myhostname = gitlab

alias_maps = hash:/etc/aliases

alias_database = hash:/etc/aliases

myorigin = /etc/mailname

mydestination = localhost.localdomain, localhost, $mydomain

relayhost =

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/23

mailbox_command = procmail -a "$EXTENSION"

mailbox_size_limit = 0

recipient_delimiter = +

inet_interfaces = loopback-only

inet_protocols = all

По умолчанию почта с GitLab на ваши корпоративные серверы доставляться скорее всего не будет, либо начнет попадать в спам. Чтобы избежать этого, добавьте адрес хоста GitLab в белые списки.

Примечание: для углубленного изучения настройки Postfix читайте официальную документацию. В данном примере вас должна интересовать настройка Postfix как null-клиента ². Также вы можете воспользоваться моими статьями, которые доступны по тегу Unix Mail.

С базовой настройкой почты разобрались.

Расширенная настройка почты

Этот вариант настройки интеграции с почтовыми сервисами я рассматривать не планирую, но и не оставить на него ссылку я не могу ³.

Интеграция с LDAP

В GitLab доступна интеграция ⁴ с LDAP. Имея инфраструктуру Active Directory, вполне логично воспользоваться данным функционалом.

Открываем конфиг:

nano /etc/gitlab/gitlab.rb

1	nano /etc/gitlab/gitlab.rb

Вставляем кусок кода:

gitlab_rails['ldap_servers'] = YAML.load <<-EOS
main:
 host: '172.16.2.1'
 port: 389
 uid: 'sAMAccountName'
 method: 'plain'
 bind_dn: 'username'
 password: 'Password'
 timeout: 10
 active_directory: true
 allow_username_or_email_login: true
 block_auto_created_users: false
 base: 'DC=corp,DC=bissquit,DC=com'
EOS

gitlab_rails['ldap_servers'] = YAML.load <<-EOS

main:

host: '172.16.2.1'

port: 389

uid: 'sAMAccountName'

method: 'plain'

bind_dn: 'username'

password: 'Password'

timeout: 10

active_directory: true

allow_username_or_email_login: true

block_auto_created_users: false

base: 'DC=corp,DC=bissquit,DC=com'

EOS

Сохраняем изменения и выходим.

Примечание: будьте внимательны, конфиг чувствителен к пробелам и знакам табуляции, которых там быть вообще не должно, иначе при компиляции будете стабильно получать ошибки. Дойти до этого мне помогли отдельные ресурсы ⁵ ⁶.

Небольшие пояснения по некоторым параметрам секции:

host: — адрес хоста, то есть контроллера домена. Можно ввести только один адрес, отказоустойчивая конфигурация доступна в платных версиях GitLab;
port: — стандартный порт LDAP;
uid: — идентификатор пользователя, по умолчанию sAMAccountName. Это говорит о том, что пользователям нужно будет вводить свой логин AD без конструкций domain\ или @domain.tld. Если вам нужна аутентификация с учетками вида user@domain.tld, то используйте атрибут userPrincipalName;
bind_dn: — учетная запись, через которую GitLab будет получать данные из AD. Наделять эту учетку лишними правами не нужно;
password: — пароль от учетки, все просто;
base: — контейнер для поиска учетных записей. Задайте его в явном виде, если хотите ограничить круг поиска, например определив путь до контейнера с учетными записями отдела разработки ПО. Обратите внимание, что AD чувствителен к регистру букв, путь должен быть в точности как в свойствах контейнера в атрибуте msDS-parentdistname.

Про остальные параметры вы сможете прочитать из официальной документации ⁷ ⁸, в том числе и других редакций GitLab.

Пересобираем GitLab:

gitlab-ctl reconfigure

1	gitlab-ctl reconfigure

Если все пройдет успешно, в конце получите сообщение:

Running handlers:
Running handlers complete
Chef Client finished, 2/301 resources updated in 05 seconds
gitlab Reconfigured!

Running handlers:

Running handlers complete

Chef Client finished, 2/301 resources updated in 05 seconds

gitlab Reconfigured!

При вводе неправильных данных будете получать ошибки на подобии этой:

Остается проверить ⁹ работает ли интеграция:

gitlab-rake gitlab:ldap:check

1	gitlab-rake gitlab:ldap:check

В идеале вы должны увидеть перечисление всех учетных записей в указанном контейнере AD и в конце:

Checking LDAP ... Finished

1	Checking LDAP ... Finished

Если видите что-то другое, разбирайтесь с конфигом.

Rack attack

Этот механизм ¹⁰ представляет из себя своеобразную защиту от DDOS-атак (от «надоедливых» клиентов, как это написано в руководстве). Скорее всего большинство админов и не собираются выставлять GitLab наружу, оставив ему судьбу исключительно внутреннего ресурса. Тем не менее, как минимум нужно указать надежные сети, клиентам из которых разрешено мучать GitLab сколько вздумается.

Для этого открываем конфиг:

nano /etc/gitlab/gitlab.rb

1	nano /etc/gitlab/gitlab.rb

Редактируем секцию:

gitlab_rails['rack_attack_git_basic_auth'] = {
 'enabled' => true,
 'ip_whitelist' => ["127.0.0.1","192.168.0.0/16"],
 'maxretry' => 10,
 'findtime' => 60,
 'bantime' => 3600
 }

gitlab_rails['rack_attack_git_basic_auth'] = {

'enabled' => true,

'ip_whitelist' => ["127.0.0.1","192.168.0.0/16"],

'maxretry' => 10,

'findtime' => 60,

'bantime' => 3600

}

Жирным шрифтом выделена подсеть с результирующей маской, добавленная вручную.

Не забываем пересобрать:

gitlab-ctl reconfigure

1	gitlab-ctl reconfigure

На этом настройка завершена.

comments powered by HyperComments

2luminary

2022-06-18 02:31:45

3double-barrelled

dissertation vs thesis

2022-07-05 20:51:16

doctoral dissertation help history https://helpwithdissertationwritinglondon.com/

dissertation proposal writing

2022-07-05 23:13:51

dissertation presentation https://dissertationwritingcenter.com/

doctoral dissertation writing help

2022-07-06 01:07:04

bestdissertation https://dissertationhelpexpert.com/

masters dissertation writing services

2022-07-06 03:19:50

dissertation title examples https://accountingdissertationhelp.com/

doctoral dissertation help reference

2022-07-06 07:51:15

dissertation writing plan https://examplesofdissertation.com/

free dissertation help

2022-07-06 10:24:35

buy a dissertation online help https://writing-a-dissertation.net/

writing your dissertation in a week

2022-07-06 13:26:14

doctoral dissertation help usa https://bestdissertationwritingservice.net/

uk dissertation writing

2022-07-06 18:38:10

dissertation help online https://customdissertationwritinghelp.com/

writing dissertation service

2022-07-06 22:34:48

dissertation literature review https://writingadissertationproposal.com/

example of dissertation

2022-07-07 04:14:01

dissertation introduction https://dissertationhelperhub.com/

online edd no dissertation

2022-07-07 06:21:39

dissertation help online https://customthesiswritingservices.com/

online casino roulette

2022-07-25 22:15:23

vegas 777 online casino https://firstonlinecasino.org/

wind creek casino online games

2022-07-26 00:48:22

casanova casino online https://onlinecasinofortunes.com/

online casino with no deposit bonus

2022-07-26 03:26:30

usa online casino real money https://newlasvegascasinos.com/

betfair online casino nj

2022-07-26 05:45:02

viva slots vegas™ free slot casino games online https://trust-online-casino.com/

online casino games with real money

2022-07-26 09:07:29

trusted online casino https://9lineslotscasino.com/

michigan online casino no deposit bonus

2022-07-26 16:12:43

mgm casino online michigan https://internet-casinos-online.net/

casino online pa

2022-07-26 18:38:38

same day payout online casino https://cybertimeonlinecasino.com/

turning stone online casino

2022-07-26 19:09:46

borgata online casino promotions https://1freeslotscasino.com/

san manuel online casino promo codes

2022-07-26 22:17:00

online-casino https://vrgamescasino.com/

play free casino games online

2022-07-27 03:21:23

online casino no deposit bonus https://casino-online-jackpot.com/

online casino sweepstakes

2022-07-27 10:55:28

online casino sweepstakes https://ownonlinecasino.com/

online casino nevada

2022-07-27 13:04:00

online casino no verification withdrawal usa https://all-online-casino-games.com/

newest online casino pa

2022-07-27 14:14:36

best online casino games https://casino8online.com/

express vpn free trial

2022-08-07 14:53:24

avast vpn license file https://freevpnconnection.com/

best free vpn pc

2022-08-07 16:39:15

best vpn multiple devices https://shiva-vpn.com/

vpn best

2022-08-07 21:00:46

cyberghost vpn free trial https://freehostingvpn.com/

buy vpn proxy

2022-08-07 22:37:42

x-vpn https://ippowervpn.net/

best vpn provider

2022-08-08 05:12:12

vpn buy online https://free-vpn-proxy.com/

vpn free trial

2022-08-08 08:14:34

free vpn for pc windows 10 https://rsvpnorthvalley.com/

gay men dating sites

2022-08-23 13:46:06

japan gay dating sites https://gay-singles-dating.com/

gay dating advice

2022-08-23 18:11:09

gay dating professional bodybuilders https://datinggayservices.com/

online dejting

2022-08-24 12:51:27

free local singles https://freephotodating.com/

free dating online

2022-08-24 16:12:24

women dates local no fee https://onlinedatingbabes.com/

top sites dating

2022-08-24 17:45:04

meet european singles in usa https://adult-singles-online-dating.com/

the dating game

2022-08-24 20:23:45

top sites dating https://adult-classifieds-online-dating.com/

online dating personals

2022-08-24 22:39:08

online sex chat https://online-internet-dating.net/

farmersonly

2022-08-25 00:58:24

single senior dating site online https://speedatingwebsites.com/

danting site

2022-08-25 03:31:23

shemale dating https://datingpersonalsonline.com/

westminster dating app the world

2022-08-25 04:22:01

good dating sites https://wowdatingsites.com/

mature singles

2022-08-25 07:01:14

free dating online dating https://lavaonlinedating.com/

sex dating sights

2022-08-25 08:44:59

dating sites into trampling https://freeadultdatingpasses.com/

our time dating service

2022-08-25 12:19:33

internet dating services https://virtual-online-dating-service.com/

meet online service

2022-08-25 15:51:00

free online dating sites reviews https://onlinedatingservicesecrets.com/

pa online casino apps

2022-08-30 10:15:38

caesars casino online bonus code https://onlinecasinos4me.com/

888 casino online support

2022-08-30 12:01:53

parx online casino https://online2casino.com/

caesar casino online nj

2022-08-30 20:24:59

play online casino https://casinosonlinex.com/

sex chat gay

2022-09-03 02:09:14

gay chat rouetee https://newgaychat.com/

m4m chat phone free rochester ny gay

2022-09-03 03:26:21

in gay chat what is an otter? https://gaychatcams.net/

gay chat rooms ring central

2022-09-03 14:08:50

gay chat roulette chat https://gay-live-chat.net/

springfield mo gay chat room

2022-09-03 20:43:11

gay wire chat looking https://chatcongays.com/

gay video chat tumblr

2022-09-03 23:58:32

snap chat gay boy cums https://gayphillychat.com/

gay french chat camtocam

2022-09-04 06:23:40

utah gay bi chat https://gaychatnorules.com/

hot gay text chat

2022-09-04 10:17:58

gay chat room https://gaymusclechatrooms.com/

gay snap chat

2022-09-04 17:23:45

gay chat rooms for free without registration https://free-gay-sex-chat.com/

gay video cam chat

2022-09-04 21:55:29

gay boy jack off cam chat https://gayinteracialchat.com/

skype gay chat

2022-10-20 16:41:47

best gay chat rooms https://gaymanchatrooms.com/

where can i buy resume paper

2022-10-20 18:38:40

college paper writer https://term-paper-help.org/

write my paper for me in 3 hours

2022-10-20 19:55:23

write my paper https://sociologypapershelp.com/

how to write my paper

2022-10-20 20:24:51

can you write my paper for me https://uktermpaperwriters.com/

college papers help

2022-10-20 22:47:15

best paper writing services https://paperwritinghq.com/

best online paper writers

2022-10-21 00:10:47

help with writing papers https://writepapersformoney.com/

pay to write paper

2022-10-21 00:42:11

pay someone to write a paper https://write-my-paper-for-me.org/

paper writer services

2022-10-21 04:19:22

what is the best paper writing service https://top100custompapernapkins.com/

i will pay you to write my paper

2022-10-21 05:35:01

write my custom paper https://researchpaperswriting.org/

what are the best paper writing services

2022-10-21 06:15:33

help with writing paper https://cheapcustompaper.org/

need help with paper

2022-10-21 10:42:23

pay to do my paper https://mypaperwritinghelp.com/

help me write a paper

2022-10-21 13:33:47

need help writing a paper https://essaybuypaper.com/

pay to write a paper

2022-10-21 14:19:41

pay to write paper https://papercranewritingservices.com/

can you write my paper for me

2022-10-21 15:49:46

writing services for college papers https://premiumpapershelp.com/

order a paper

2022-10-21 18:49:44

buy cheap paper online https://studentpaperhelp.com/

2theorist

2023-01-27 12:22:01

2reunion

degree coursework

2023-02-05 14:30:38

coursework writing https://brainycoursework.com/

creative writing coursework

2023-02-05 17:20:15

coursework only degree https://writingacoursework.com/

coursework sample

2023-02-05 18:44:23

coursework planner https://mycourseworkhelp.net/

coursework science

2023-02-05 20:11:55

creative writing english coursework https://courseworkdownloads.com/

data analysis coursework

2023-02-05 21:23:26

coursework on a resume https://courseworkinfotest.com/

do my coursework

2023-02-05 23:10:40

coursework plagiarism checker https://coursework-expert.com/

coursework project

2023-02-06 00:30:51

buy coursework online https://teachingcoursework.com/

coursework questions

2023-02-06 01:10:58

coursework sample of written work https://buycoursework.org/

coursework science

2023-02-06 02:53:28

coursework writer https://courseworkdomau.com/

professional dating sites

2023-02-08 14:22:25

free sex dating https://jewish-dating-online.net/

free dating siwomen

2023-02-08 14:33:50

free singles https://jewish-dating-online.net/

online site

2023-02-08 16:47:09

free chatting online dating sites https://free-dating-sites-free-personals.com/

dating chat

2023-02-08 17:45:34

absolutely free dating sites no fees ever https://sexanddatingonline.com/

free dating service

2023-02-08 18:38:09

absolutely free dating sites https://onlinedatingsurvey.com/

new dating

2023-02-08 20:20:52

free dating online https://onlinedatingsuccessguide.com/

free dating sites totally free

2023-02-08 21:16:44

free daing https://onlinedatinghunks.com/

free local dates

2023-02-08 22:36:51

dating website best https://datingwebsiteshopper.com/

dating sites

2023-02-09 00:05:09

good free dating sites https://allaboutdatingsites.com/

online meeting sites

2023-02-09 01:12:06

relative dating https://freedatinglive.com/