User lookup via OpenSSH’s AuthorizedPrincipalsCommand

• Principals and security
• Disabling the global warning about users lacking SSH keys

User lookup via OpenSSH’s AuthorizedPrincipalsCommand

GitLab 的默认 SSH 身份验证要求用户上载 SSH 公钥，然后才能使用 SSH 传输.

在集中式（例如公司）环境中，这在操作上可能会很麻烦，特别是如果 SSH 密钥是颁发给用户的临时密钥，例如在发行后 24 小时过期的临时密钥.

在这种设置中，需要一些外部自动化过程来不断将新密钥上载到 GitLab.

通过使用 OpenSSH 证书，有关 GitLab 上用户拥有密钥的所有信息都被编码在密钥本身中，并且 OpenSSH 自身保证用户无法伪造此信息，因为他们需要访问私有 CA 签名密钥.

正确设置后，就不需要完全将用户 SSH 密钥上传到 GitLab.

Setting up SSH certificate lookup via GitLab Shell

如何完全设置 SSH 证书不在本文档的范围之内. 请参阅了解其工作方式，例如RedHat 的文档 .

我们假设您已经设置了 SSH 证书，并且已经将 CA 的TrustedUserCAKeys添加到了sshd_config ，例如：

由该 CA 颁发的 SSH 证书务必具有与该用户在 GitLab 上的用户名相对应的”密钥 ID”，例如（为简洁起见，省略了一些输出）：

从技术上讲，这不是完全正确，例如，它可以prod-aearnfjord如果它是你通常会登录到服务器作为一个 SSH 证书prod-aearnfjord用户，但你必须指定自己的AuthorizedPrincipalsCommand做映射，而不是使用我们提供的默认.

重要的是， AuthorizedPrincipalsCommand必须能够以某种方式从”密钥 ID”映射到 GitLab 用户名，我们提供的默认命令假设两者之间存在 1 = 1 的映射，因为这样做的重点是允许我们从密钥本身提取 GitLab 用户名，而不是依赖默认的公共密钥到用户名的映射.

然后，在您的为git用户设置AuthorizedPrincipalsCommand . 希望您可以使用 GitLab 随附的默认值：

该命令将发出类似于以下内容的输出：

其中{KEY_ID}是传递给脚本的%i参数（例如aeanfjord ），而{PRINCIPAL}是传递给脚本的主体（例如sshUsers ）.

您将需要自定义其中的sshUsers部分. 对于可以登录到 GitLab 的所有用户，它应该是一定要保证是密钥的一部分的主体，或者您必须提供一个主体列表，其中一个将提供给用户，例如：

您可以根据需要提供任意数量的委托人，这些委托人将变成多行authorized_keys输出，如sshd_config(5)中的AuthorizedPrincipalsFile文档中所述.

通常，将AuthorizedKeysCommand与 OpenSSH 一起使用时，主体是允许登录到该服务器的某个”组”. 但是，在 GitLab 中，它仅用于满足 OpenSSH 的要求，我们实际上只关心”密钥 ID”的正确性. 一旦解压缩，GitLab 将为该用户强制执行自己的 ACL（例如，用户可以访问哪些项目）.

Interaction with the file

SSH 证书可以与authorized_keys文件结合使用，并且如果按照上述authorized_keys文件的配置进行设置，它仍将作为后备.

这是因为，如果AuthorizedPrincipalsCommand无法对用户进行身份验证，则 OpenSSH 将回退到~/.ssh/authorized_keys （或AuthorizedKeysCommand ）上.

因此，仍然有理由结合使用“在数据库中快速查找授权的 SSH 密钥”方法. 由于您将对所有普通用户使用 SSH 证书，并且如果使用密钥，则依靠~/.ssh/authorized_keys后备来部署密钥.

但是您可能会发现没有必要这样做，因为所有普通用户都将使用快速的AuthorizedPrincipalsCommand路径，并且只有自动部署密钥访问才会落在~/.ssh/authorized_keys ，或者您还有更多的密钥可以使用普通用户（尤其是续订的用户）比您拥有的部署密钥.

用户仍然可以通过手动将 SSH 公钥上载到他们的配置文件中来绕过 SSH 证书身份验证，依靠~/.ssh/authorized_keys后备来对其进行身份验证. 当前没有阻止它的功能， .

当前，可以通过提供一个自定义的AuthorizedKeysCommand来破解这种限制，该命令可检查从gitlab-shell-authorized-keys-check返回的已发现密钥 ID gitlab-shell-authorized-keys-check为部署密钥（应拒绝所有非部署密钥）.

Disabling the global warning about users lacking SSH keys

默认情况下，GitLab 将向尚未将 SSH 密钥上载到其配置文件的用户显示”您将无法通过 SSH 推送或推送项目代码”警告.

This is counterproductive when using SSH certificates, since users aren’t expected to upload their own keys.

要全局禁用此警告，请转到”应用程序设置->帐户和限制设置”，然后禁用”显示用户添加 SSH 密钥消息”设置.