Korzystanie z GitLab za Nginx z włączonym basic_auth?

Question

Z powodzeniem zainstalowałem GitLab do zarządzania prywatnymi repozytoriami (to całkiem niesamowite!).

Problem, który mam, domyślnie, logowanie Gitlab jest prezentowane, gdy ktoś trafi w moją subdomenę. Chciałbym chronić cały obszar za pomocą warstwy basic_auth, zanim użytkownik uzyska ekran logowania GitLab. Niestety, to łamie moją zdolność do push/pull z GitLab, gdy jest włączona.

mój nginx config aby umożliwić basic_auth:

auth_basic   "Restricted"; 
    auth_basic_user_file htpasswd; 

pomysłów, w jaki sposób mogę włączyć basic_auth bez zerwania funkcjonalność git/gitlab?

Answer 1

W tej chwili coś w rodzaju włamań, ale daj się zastrzelić.

Edit konfiguracja witryny nginx dodawać/modyfikować następujące lokalizacje

location ^~ /api/v3/internal/allowed { 
    proxy_read_timeout 300; # https://github.com/gitlabhq/gitlabhq/issues/694 
    proxy_connect_timeout 300; # https://github.com/gitlabhq/gitlabhq/issues/694 
    proxy_redirect  off; 

    proxy_set_header X-Forwarded-Proto $scheme; 
    proxy_set_header Host    $http_host; 
    proxy_set_header X-Real-IP   $remote_addr; 

    proxy_pass http://gitlab;} 

location/{ 
    auth_basic "Gitlab Restricted Access"; 
    auth_basic_user_file /home/git/gitlab/htpasswd.users; 
    # serve static files from defined root folder;. 
    # @gitlab is a named location for the upstream fallback, see below 
    try_files $uri $uri/index.html $uri.html @gitlab; 
} 

Pozostawienie @gitlab lokalizacji bloku, jak jest.

Pozwolenie/api/v3/internal/allowd pomija uwierzytelnianie. Jeśli spojrzysz na logi, gdy wykonasz polecenie git pull/push, zostanie wysłane do serwera żądanie, czy chcesz na to zezwolić. I na standardowej konfiguracji nginx z htpasswd żądanie to zostanie zablokowane, ponieważ serwer nie ma pojęcia o wymaganym uwierzytelnieniu.

W każdym razie nie jestem pewien, czy jest lepsza alternatywa (nie mogłem znaleźć), ale wydaje mi się, że to działa.

Answer 2

Problem polega na tym, że chcesz ustawić ograniczenie dostępu do publicznego dostępu do GitLab, ale pozwól Gitlab-Shell na dostęp do lokalnej instancji GitLab bez ograniczeń.

Możesz mieć 2 konfiguracje nginx w zależności od interfejsu IP. Zmień linię listen 0.0.0.0:80 default_server na listen 127.0.0.1:80 default_server.

https://github.com/gitlabhq/gitlabhq/blob/v7.7.2/lib/support/nginx/gitlab#L37-38

Answer 3

Dodaj to do /etc/gitlab/gitlab.rb:

nginx['custom_gitlab_server_config'] = "auth_basic 'Restricted';\n auth_basic_user_file htpasswd;\n" 

I uruchomić gitlab-ctl reconfigure