• 设置
• 启用密码验证
• 管理员模式
  • 为您的实例启用管理员模式
    • 使用 API 启用管理员模式
    • 使用 Rails 控制台启用管理员模式
    • 使用 UI 启用管理员模式
  • 为您的会话打开管理员模式
  • 管理员模式的限制
  • 管理员模式故障排查
• 双重验证
• 未知登录的电子邮件通知
• 登录信息
• 故障排除
  • 在 Rails 控制台中重新启用标准 Web 登录表单

登录限制

您可以使用登录限制自定义 Web 界面以及基于 HTTP(S) 的 Git 的身份验证限制。

设置

要访问登录限制设置：

1. 在顶部栏上，选择 主菜单 > 管理员。
2. 在左侧边栏中，选择 设置 > 通用。
3. 展开 登录限制 部分。

启用密码验证

您可以通过 HTTP(S) 限制 Web 界面和 Git 的密码验证：

• Web 界面：禁用此功能时，标准登录选项卡将被删除，并且必须使用外部身份验证提供程序。
• Git over HTTP(S)：禁用此功能时，必须使用个人访问令牌或 LDAP 密码进行身份验证。

如果外部身份验证提供程序中断，请使用极狐GitLab Rails 控制台，重新启用标准 Web 登录表单。

管理员模式

引入于 13.10 版本

如果您是管理员，您可能希望在极狐GitLab 中工作而不需要作为管理员的访问权限。虽然您可以创建一个没有管理员访问权限的单独用户帐户，但更安全的解决方案是使用管理员模式。

使用管理员模式，默认情况下您的帐户没有管理员权限。 您可以继续访问您所属的群组和项目，但要访问管理功能，您必须进行身份验证。

启用管理员模式后，它适用于实例上的所有管理员。

当为实例启用管理员模式时，管理员：

• 被允许访问他们所属的群组和项目。
• 无法访问管理中心。

为您的实例启用管理员模式

管理员可以通过 API、Rails 控制台或 UI 启用管理员模式。

使用 API 启用管理员模式

向您的实例端点发出以下请求：

curl --request PUT --header "PRIVATE-TOKEN:$ADMIN_TOKEN" "<gitlab.example.com>/api/v4/application/settings?admin_mode=true"

将 <gitlab.example.com> 替换为您的实例 URL。

有关详细信息，请参阅可通过 API 调用访问的设置列表。

使用 Rails 控制台启用管理员模式

打开 Rails 控制台并运行以下命令：

::Gitlab::CurrentSettings.update_attributes!(admin_mode: true)

使用 UI 启用管理员模式

要通过 UI 启用管理员模式：

1. 在顶部栏中，选择 主菜单 > 管理员。
2. 在左侧边栏中，选择 设置 > 通用。
3. 展开 登录限制。
4. 在 管理员模式 部分，选中 需要对管理任务进行额外的身份验证 复选框。

为您的会话打开管理员模式

要为当前会话打开管理员模式并访问具有潜在危险的资源：

1. 在顶部栏中，选择 启用管理员模式。
2. 尝试在 URL 中使用 /admin 访问 UI 的任何部分（这需要管理员访问权限）。

当管理员模式状态被禁用或关闭时，管理员无法访问资源，除非他们已被明确授予访问权限。例如，管理员尝试打开一个私有群组或项目，除非他们是该群组或项目的成员，否则他们会收到 404 错误。

应该为管理员启用 2FA。管理员模式支持 2FA、OmniAuth 提供程序和 LDAP 身份验证。管理员模式状态存储在当前用户会话中并保持活动状态，直到：

• 它被明确禁用。
• 超时后自动禁用。

管理员模式的限制

以下访问方法不受管理员模式保护：

• Git 客户端访问（使用公钥的 SSH 或使用个人访问令牌的 HTTPS）。
• 使用个人访问令牌的 API 访问。

也就是说，受管理员模式限制的管理员仍然可以使用 Git 客户端，并以管理员身份访问 RESTful API 端点，而无需额外的身份验证步骤。

管理员模式故障排查

如有必要，您可以使用以下两种方法之一，以管理员身份禁用 管理员模式：

• API：

  curl --request PUT --header "PRIVATE-TOKEN:$ADMIN_TOKEN" "<gitlab-url>/api/v4/application/settings?admin_mode=false"
  

• Rails console：

  ::Gitlab::CurrentSettings.update!(admin_mode: false)
  

双重验证

启用此功能后，所有用户都必须使用双重身份验证。

双重身份验证配置为强制后，允许用户在可配置的宽限期（以小时为单位）内跳过强制配置双重身份验证。

未知登录的电子邮件通知

启用后，极狐GitLab 会通知用户来自未知 IP 地址或设备的登录。有关详细信息，请参阅未知登录的电子邮件通知。

登录信息

如果 value 不为空，则所有未登录的用户都将重定向到配置的 首页 URL 所代表的页面。

如果 value 不为空，则所有用户在注销后重定向到配置的 退出页面 URL 所代表的页面。

在登录限制部分，滚动到登录文本字段。您可以为您的用户添加 Markdown 格式的自定义消息。

例如，您在注明的文本框中包含以下信息：

# Custom sign-in text

To access this text box:

1. On the top bar, select **Main menu > Admin**.
1. On the left sidebar, select **Settings > General**, and expand the **Sign-in restrictions** section.

您的用户在导航到您的极狐GitLab 实例的登录屏幕时，会看到自定义登录文本。

故障排除

在 Rails 控制台中重新启用标准 Web 登录表单

如果标准的基于用户名和密码的登录表单被禁用，作为登录限制，您可以重新启用它。

当配置的外部身份验证提供程序（通过 SSO 或 LDAP 配置）面临中断，需要直接登录到极狐GitLab 时，您可以通过 rails 控制台使用此方法。

Gitlab::CurrentSettings.update!(password_authentication_enabled_for_web: true)