常规配置
下面有几个系统范围的设置来控制对不同资源的访问2022世界杯阿根廷预选赛赛程用户管理|设置在政府模块
允许匿名访问
JFrog平台的基于权限的系统允许您控制用户对不同功能和工件的访问。为了向未登录的用户提供访问,JFrog还提供了启用“匿名访问”的选项。
重要的:当允许匿名访问时,你需要考虑以下几点:
- 当您允许非登录用户访问您的系统时,您可能会向未授权的用户提供访问权限任何现有的本地、远程或虚拟存储库,以及未来存储库。
- 此外,启用匿名访问可能会将可能保存在这些存储库中的任何敏感数据暴露给未登录的用户。
方法可以启用或禁用匿名访问(默认值)允许匿名访问设置下用户管理|设置在政府模块。您可以修改分配给“匿名用户”的权限集,就像修改任何其他用户一样,这需要这样做允许匿名访问被启用。
从JFrog Artifactory版本6.12开始,匿名访问默认是禁用的。
隐藏未授权资源的存在2022世界杯阿根廷预选赛赛程
当用户试图访问未授权的资源时,默认行为是指示该资源存在但受保护。例如,匿名请求将导致身份验证请求(401),而未经授权的身份验证用户的请求将被简单地拒绝(403)。
在这些情况下,您可以配置为返回404(而不是403)- Not Found响应隐藏未授权资源的存在2022世界杯阿根廷预选赛赛程下用户管理|设置在政府模块。
或者,更新全局配置描述符全局(所有虚拟存储库)或特定存储库设置此参数:
<安全>
假< / hideUnauthor2022世界杯阿根廷预选赛赛程izedResources < hideUnauthorizedResources > >
安全> < /
< virtualRepositories >
< virtualRepository >
假< / hideUnauthor2022世界杯阿根廷预选赛赛程izedResources < hideUnauthorizedResources > >
< / virtualRepository >
< / virtualRepositories >
密码加密策略
Artifactory提供了一种独特的解决方案,支持通过密码加密策略设置如下:
支持 |
Artifactory可以接收使用加密密码的请求,但也可以接受使用非加密密码的请求(默认) |
不支持的 |
Artifactory将拒绝使用加密密码的请求 |
要求 |
Artifactory要求每个经过身份验证的请求都有一个加密的密码 |
有关为什么Artifactory允许您执行密码加密的详细信息,请参阅统一安全密码.
禁用基本认证方法
当使用外部身份验证方法(如LDAP、SAML等)时,可以对内部用户禁用基本身份验证方法。
开启该特性时,需要注意以下事项:
- UI和REST API的基本身份验证都被禁用。
- 使用基本身份验证的所有形式的自动化、脚本、插件也被禁用。
在禁用之前,必须采取一些步骤来确保外部用户具有必要的权限并防止系统锁定。
请执行以下步骤:
步骤1您必须先配置外部认证方法。
步骤2配置外部认证方式后,需要为外部用户创建用户组,并为用户授予Admin权限。有关更多信息,请参见用户和组.
步骤3一旦创建了组,就可以选择禁用基本身份验证方法。
请注意,如果在禁用基本身份验证之前没有配置外部系统管理员,则这些步骤非常重要,系统将没有管理员。如果发生这种情况,系统被锁定,请联系JFrog支持寻求帮助。
多因素身份验证
多因素身份验证(MFA)可以在访问JFrog应用程序时提供更高级别的安全性。启用后,除了用户凭证,用户将必须使用由额外的身份验证因素—谷歌Authenticator应用程序生成的一次性密码(OTP)进行身份验证。这确保了在用户凭证被泄露的情况下,多因素身份验证方法将防止恶意用户获得对JFrog应用程序的访问。
启用多因素认证
若要在JFrog平台中为用户启用多因素身份验证,请导航到政府模块|用户管理|设置|多因素认证|检查启用谷歌认证器复选框。
多因素身份验证应用于JFrog平台应用程序的所有用户。
遵循以下步骤使用多因素身份验证登录启用后。
重置注册
如果用户使用多因素认证登录的能力受到损害,管理员应按以下步骤重置用户的注册状态:
- 导航到管理模块|用户管理|用户
- 选择特定用户,并在编辑屏幕上,选择重置MFA注册。
用户必须再次按照注册步骤进行身份验证。
如果管理员失去了使用多因素认证方式登录的能力,管理员应该用新的凭证引导新的管理员或现有管理员,以重置引导管理员的多因素身份验证。欲了解更多信息,创建默认Admin用户。
查看连接键
JFrog加入。key特性在基于AES-128位对称加密的JFrog服务之间建立信任。此特性是基本身份验证信任方法的替代方案。有关更多信息,请参见在服务之间建立信任.
要查看JPD连接键,单击显示连接键图标。
PDN接入令牌和PDN节点配置
在Security Configuration窗口中还可以生成连接密钥,它可以在PDN服务器和PDN节点之间建立信任关系。
要查看连接键,请单击显示连接键图标。
PDN节点配置
该字段允许您删除或选择PDN节点配置即YAML自动填充默认PDN节点配置。这些配置集中存储在JFrog平台中,并动态更新。若要修改动态节点属性,请参见PDN高级配置.
如需下载最新的YAML文件,请单击下载.
用户锁定和登录暂停
用户帐户锁定和临时登录暂停是防止暴力破解身份盗窃的两种机制。
临时暂停登录
临时暂停登录是指当由于使用了错误的身份验证凭证而导致登录尝试失败时,系统将临时暂停该用户的帐户一段时间,在此期间,其他的登录尝试将被忽略。如果多次尝试登录失败,每次暂停时间都会增加,直到达到最大60秒。
用户帐号锁定
除了暂时暂停登录外,您还可以在登录失败次数后锁定用户。可以通过选择“超过最大失败登录次数后锁定用户”复选框,并指定最大登录失败次数字段。由于超过允许的最大失败登录尝试次数而被锁定帐户的用户最大登录失败次数)必须有管理员权限才能解锁其帐户。
解锁用户帐号
管理员可以通过单击解锁被锁定的用户解锁所有用户在用户管理|设置配置用户锁定的页面。管理员还可以解锁指定用户或一组用户用户管理|用户.
管理员可以通过REST接口解锁单用户,一个用户群体,或同时锁定所有用户.
密码过期策略
admin用户可以强制执行密码过期策略,强制所有用户定期更改密码。启用密码过期策略后,如果用户在密码过期时间内未登录,帐户将被锁定,直至用户修改密码。
Artifactory未来的突破性变化
在Artifactory即将发布的版本中,JFrog将从RT REST API和UI中过期“Unexpire Password for a Single User”端点(一旦API v1完全弃用)。这意味着该API将无法在Artifactory REST API V2中使用。
启用密码过期策略 |
选中后,启用密码过期策略。 |
密码每(天)过期一次 |
指定所有用户必须更改密码的频率。 |
在密码过期前发送邮件通知 |
选择后,用户将在密码过期前几天收到电子邮件通知。 |
强制所有用户密码过期 |
强制所有密码过期。所有用户下次登录时必须更改密码。 |
Unexpire所有用户的过期密码 |
删除所有用户的密码过期状态 |
管理API密钥
作为管理员用户,您可以撤销系统中当前定义的所有API密钥Artifactory|用户管理|设置在政府模块。
单击,撤销系统中所有API密钥删除所有用户的API密钥.
一旦你撤销了一个API密钥,任何使用该API密钥的REST API调用都将不再工作。用户必须创建新的API密钥并更新使用它的任何脚本。
密码加密
不同的配置文件可能包含明文存储的密码信息。
为确保密码安全,你可选择按密钥加密.
加固机密安全
一组加密的参数(秘密)用于连接到外部资源,例如它使用的不同数据库。2022世界杯阿根廷预选赛赛程虽然这些秘密可能存储在配置文件中,但这存在暴露它们的风险。
为了保证秘密不暴露,你可以在启动系统时从临时文件中预加载秘密。一旦系统读取并成功使用秘密,文件就会被删除。
下面的代码片段显示了可以包含在这个临时文件中的参数示例。这些是Artifactory用来连接到PostgreSQL数据库的参数。
类型= = org.postgresql postgresql驱动程序。驱动url=jdbc:postgresql://postgresql:5432/artifactory username=artifactory password=JE2cyPQtEmJovMbxwEGrghre9EXcu4ANtTtPu9Lk3s15UPs73M
虽然我们建议只包含加密连接字符串等敏感信息,但此文件可能包含任何数据库配置参数,并且指定的任何参数(包括环境变量和系统属性)将覆盖数据库配置文件中的相应参数。
要使用这种机制加载参数,在启动Artifactory之前将它们放在以下临时文件中:
JFROG_HOME美元/ artifactory / var / etc / artifactory / .secrets / .temp.db.properties
每次重新启动Artifactory时执行
由于临时文件在Artifactory启动时被删除,因此每次重新启动Artifactory时都需要替换临时文件。
