常规配置
有几个系统范围的设置来控制对位于下的不同资源的访问2022世界杯阿根廷预选赛赛程用户管理|设置在政府模块
允许匿名访问
详细而灵活的基于权限的系统允许您控制用户对不同特性和构件的访问。
通过“匿名访问”的概念,您获得了一个额外的安全层,该概念控制未登录用户可用的特性和构件。这是通过一个“匿名用户”来完成的,它是一个内置用户,具有默认的权限集。
方法可以启用或禁用匿名访问(默认)允许匿名访问设置下用户管理|设置在政府模块。您可以像修改任何其他用户一样修改分配给“匿名用户”的权限集,这是必需的允许匿名访问被启用。
从JFrog Artifactory版本6.12开始,默认禁用匿名访问
隐藏未授权资源的存在2022世界杯阿根廷预选赛赛程
当用户试图访问未经授权的资源时,默认行为是指示该资源存在,但受保护。例如,匿名请求将导致身份验证请求(401),而未经授权的身份验证用户的请求将被拒绝(403)。
在这些情况下,可以通过设置返回404(而不是403)- Not Found响应隐藏未授权资源的存在2022世界杯阿根廷预选赛赛程下用户管理|设置在政府模块。
另外,更新全局配置描述符全局设置该参数(针对所有虚拟存储库)或针对特定存储库。
<安全>
假< / hideUnauthor2022世界杯阿根廷预选赛赛程izedResources < hideUnauthorizedResources > >
安全> < /
< virtualRepositories >
< virtualRepository >
假< / hideUnauthor2022世界杯阿根廷预选赛赛程izedResources < hideUnauthorizedResources > >
< / virtualRepository >
< / virtualRepositories >
密码加密策略
Artifactory提供了一个独特的解决方案来支持加密密码密码加密策略设置如下:
支持 |
Artifactory可以接收密码加密的请求,但也可以接受密码不加密的请求(默认) |
不支持的 |
Artifactory将拒绝使用加密密码的请求 |
要求 |
Artifactory对每个经过身份验证的请求都需要一个加密的密码 |
有关Artifactory为什么允许强制密码加密的详细信息,请参阅集中安全密码.
禁用基本认证方法
当使用外部认证方法(如LDAP、SAML等)时,可以为内部用户禁用基本认证方法。
如果启用了该特性,需要注意以下事项:
- UI和REST API都禁用基本身份验证。
- 所有使用基本身份验证的自动化、脚本、插件也被禁用。
在禁用之前,必须采取一些步骤,以确保外部用户具有必要的权限,并防止系统锁定。
请执行以下步骤:
步骤1您必须首先配置外部身份验证方法。
步骤2配置外部认证方式后,需要为外部用户创建用户组,并为用户提供Admin权限。有关更多信息,请参见用户和组.
步骤3创建了组之后,可以选择禁用基本身份验证方法。
请注意,如果在禁用基本身份验证之前没有配置外部系统管理员,则系统将没有管理员,那么这些步骤非常重要。如果出现这种情况,系统被锁定,请联系JFrog支持以获得帮助。
多因素身份验证
在访问JFrog应用程序时,多因素身份验证(MFA)支持更高级别的安全性。启用时,除了用户凭证之外,用户将不得不使用由额外的身份验证因素——谷歌Authenticator应用程序生成的一次性密码(OTP)进行身份验证。这确保了在用户凭证被泄露的情况下,多因素身份验证方法将防止恶意用户获得对JFrog应用程序的访问。
实现多因素身份验证
要在JFrog平台中为用户启用多因素身份验证,请导航到政府模块|用户管理|设置|多因素认证|并检查使谷歌身份验证复选框。
多因素身份验证应用于JFrog平台应用程序的所有用户。
遵循以下步骤使用多因素身份验证登录启用后。
重置注册
在用户使用多因素身份验证登录的能力受到影响的情况下,管理员应该通过以下步骤重置用户的注册状态:
- 导航到管理模块|用户管理|用户
- 选择特定的用户和编辑屏幕上,选择重置MFA招生。
用户将不得不再次遵循注册步骤进行身份验证。
如果管理员失去了使用多因素认证方法进行登录的能力,管理员应该用新的凭据引导新的管理员或现有管理员,以重置引导管理员的多因素身份验证。更多信息请参见,创建默认Admin用户。
查看连接键
JFrog加入。key特征是基于AES-128位对称加密的JFrog服务之间建立信任关系。该特性是基本身份验证信任方法的替代方案。有关更多信息,请参见建立服务间的信任.
若要查看JPD连接键,请单击显示连接键图标。
PDN接入令牌和PDN节点配置
在Security Configuration窗口中还可以生成连接密钥,它可以在PDN服务器和PDN节点之间建立信任。
若要查看连接键,请单击显示连接键图标。
生产节点配置
该字段允许您删除或选择PDN节点配置即YAML自动填充默认的PDN节点配置。这些配置集中存储在JFrog平台中,并动态更新。如需修改动态节点属性,请参见PDN (Advanced Private Distribution Network)配置.
单击,下载最新的YAML文件下载.
用户锁定和登录暂停
用户帐户锁定和临时登录暂停是防止通过暴力攻击窃取身份的两种机制。
临时暂停登录
临时登录暂停是指当登录尝试由于使用了错误的身份验证凭证而失败时,系统将临时暂停该用户的帐户一段时间,在此期间,其他登录尝试将被忽略。如果多次登录失败,则每次都增加暂停时间,直到达到60秒的最大值。
用户账户锁定
除了临时暂停登录外,您还可以在登录失败次数达到指定次数后锁定用户的帐户。通过选中“超过最大登录失败次数后锁定用户”复选框,并指定最大登录失败次数字段。由于超过了允许的最大登录失败次数(如中指定的)而被锁定在帐户外的用户最大登录失败次数)必须有管理员权限才能解锁其帐户。
打开用户帐户
管理员可以通过单击解除所有被锁定用户的锁定解锁所有用户在用户管理|设置配置用户锁定的页面。管理员也可以解锁系统中的指定用户或一组用户用户管理|用户.
管理员可以通过REST接口解锁单用户,一个的用户组,或同时锁定所有用户.
密码过期策略
admin用户可以强制执行密码过期策略,以强制所有用户定期更改密码。当执行密码过期策略时,未在指定时间间隔内的用户的帐户将被锁定,直到他们更改密码。
Artifactory未来突破变化
在Artifactory即将发布的版本中,JFrog将从RT REST API和与之配套的UI中过期“Unexpire Password for a Single User”端点(一旦API v1被完全弃用)。这意味着该API在Artifactory REST API V2中不可用。
启用密码过期策略 |
选中时,启用密码过期策略。 |
密码每(天)过期一次 |
指定所有用户必须更改其密码的频率。 |
在密码过期前发送邮件通知 |
如果选中该选项,用户将在密码过期前几天收到一封电子邮件通知。 |
强制所有用户的密码过期 |
强制所有密码过期。所有用户下次登录时必须更改密码。 |
Unexpire所有用户的密码过期 |
移除所有用户的密码过期状态 |
管理API密钥
作为管理用户,您可以撤销系统中当前定义的所有API键Artifactory|用户管理|设置在政府模块。
若要撤销系统中的所有API密钥,请单击删除所有用户的API密钥.
一旦您撤销了一个API密钥,使用该API密钥的任何REST API调用都将不再工作。用户必须创建新的API密钥并更新使用它的任何脚本。
密码加密
不同的配置文件可能包含以明文存储的密码信息。
为确保密码安全,您可以选择按密钥加密.
加固秘密安全
一组加密的参数(秘密)用于连接到外部资源,如它所使用的不同数据库。2022世界杯阿根廷预选赛赛程虽然这些秘密可能存储在配置文件中,但这可能会造成它们被暴露的风险。
为了保证秘密不被暴露,你可以在启动系统时从一个临时文件中预加载秘密。一旦系统读取并成功使用了秘密,文件就会被删除。
下面的代码片段显示了可以包含在这个临时文件中的参数示例。这些是Artifactory用来连接到PostgreSQL数据库的参数。
类型= = org.postgresql postgresql驱动程序。Driver url=jdbc:postgresql://postgresql:5432/artifactory username=artifactory password=JE2cyPQtEmJovMbxwEGrghre9EXcu4ANtTtPu9Lk3s15UPs73M
虽然我们建议只包含敏感信息,如加密连接字符串,但该文件可能包含任何数据库配置参数,并且指定的任何参数(包括环境变量和系统属性)将覆盖数据库配置文件中的相应参数。
要使用这种机制加载参数,请在启动Artifactory之前将它们放在以下临时文件中:
JFROG_HOME美元/ artifactory / var / etc / artifactory / .secrets / .temp.db.properties
每次重新启动Artifactory时执行
由于临时文件在Artifactory启动时被删除,所以每次重新启动Artifactory时都需要替换临时文件。