我的 Gitlab 实例上总共有 3 个帐户现在已被“软锁定”。
几个月前,我的同事报告无法登录 Gitlab(输入凭据后出现 403 错误)。从管理屏幕看一切正常,我们最终通过删除帐户并允许他们创建新帐户,然后恢复权限“解决”了该问题。
本周又有 2 个帐户以类似方式被锁定(我的和第三个同事的)。我已经通过像以前一样删除他们的帐户为另一个同事解决了这个问题,但我很想知道发生了什么,以及是否有办法在不丢失帐户的情况下解决问题。
该帐户在管理员界面上看起来状态良好(未被锁定或阻止,也未等待电子邮件确认。)
基于 SSH 的项目访问(推送和拉取)继续正常工作。
到目前为止,我已尝试断开帐户与其 LDAP 身份的连接,并将其转换为本地帐户(使用另一个管理员帐户)。这并没有导致行为改变,因此我认为 LDAP 集成不是问题所在。
我不知道该怎么做,谷歌搜索给了我很多帖子,人们都遇到了错误在登录,而不是能够登录但不能使用 Web 界面。
我已经在 Web 界面上创建了另一个完整的管理员帐户,并且对运行 gitlab 的框具有 root 访问权限,因此如果需要可以提供来自 gitlab-rails 控制台等的输出。
更新:我从 gitlab-rails 控制台获取了锁定帐户的全新个人访问令牌,当我尝试调用 API 时,我收到 403 Forbidden(而当我输入垃圾令牌时,收到 401 Unauthorized)。我认为数据库中一定有某个地方将我的帐户标记为锁定。
答案1
天哪,终于找到这个了。
不知何故,我们的反机器人保护 (admin/application_settings/reporting#js-spam-settings) 设置为每周 5 个 IP。我们的一些用户触发了这种情况并被锁定。
我并不惊讶这对客户端来说并不透明(毕竟我们为什么要告诉机器人它需要做什么来避免安全措施?)但令我惊讶的是,管理员在 Web 界面上看不到这一点或者在日志中!
无论如何,解决方案是恢复每小时 10 次的默认值。