常规配置
有几个系统范围的设置来控制对位于下面的不同资源的访问2022世界杯阿根廷预选赛赛程用户管理|设置在政府模块
允许匿名访问
详细和灵活的基于权限的系统允许您控制用户对不同功能和工件的访问。
您通过“匿名访问”的概念获得了额外的安全层,该概念控制未登录用户可用的功能和工件。这是通过一个“匿名用户”来完成的,它是一个内置用户,具有默认的权限集。
可以启用或禁用匿名访问(默认)允许匿名访问设置下用户管理|设置在政府模块。您可以像修改任何其他用户一样修改分配给“匿名用户”的权限集,这是必需的允许匿名访问被启用。
从JFrog Artifactory版本6.12开始,默认情况下禁用匿名访问
隐藏存在的未授权资源2022世界杯阿根廷预选赛赛程
当用户试图访问未授权的资源时,默认行为是指示该资源存在,但受到保护。例如,匿名请求将导致身份验证请求(401),而未经授权的身份验证用户的请求将被拒绝(403)。
在这些情况下,您可以通过设置返回404(而不是403)- Not Found响应隐藏存在的未授权资源2022世界杯阿根廷预选赛赛程下用户管理|设置在政府模块。
或者,更新全局配置描述符全局设置(所有虚拟存储库)或指定存储库。
<安全>
假< / hideUnauthor2022世界杯阿根廷预选赛赛程izedResources < hideUnauthorizedResources > >
安全> < /
< virtualRepositories >
< virtualRepository >
假< / hideUnauthor2022世界杯阿根廷预选赛赛程izedResources < hideUnauthorizedResources > >
< / virtualRepository >
< / virtualRepositories >
密码加密策略
Artifactory提供了一个独特的解决方案来支持加密密码密码加密策略设置如下:
支持 |
Artifactory可以接收带有加密密码的请求,但也可以接受带有非加密密码的请求(默认)。 |
不支持的 |
Artifactory将拒绝使用加密密码的请求 |
要求 |
Artifactory需要为每个经过身份验证的请求提供加密的密码 |
有关Artifactory允许您强制密码加密的更多详细信息,请参阅集中安全密码.
禁用基本认证方式
在使用外部身份验证方法(如LDAP、SAML等)时,可以对内部用户禁用基本身份验证方法。
如果该特性已启用,请注意以下事项:
- UI和REST API都禁用了基本身份验证。
- 使用基本身份验证的所有形式的自动化、脚本和插件也被禁用。
在禁用之前,必须采取一些步骤来确保外部用户具有必要的权限并防止系统锁定。
请执行以下步骤:
步骤1必须先配置外部认证方法。
步骤2配置外部认证方式后,需要为外部用户创建用户组,并赋予用户Admin权限。有关更多信息,请参见用户和组.
步骤3创建组后,可以选择禁用基本身份验证方法。
请注意,如果在禁用基本身份验证之前没有配置外部系统管理员,则系统将没有管理员,那么这些步骤非常重要。如果发生这种情况,并且系统被锁定,请联系JFrog支持部门寻求帮助。
多因素身份验证
多因素身份验证(MFA)在访问JFrog应用程序时支持更高级别的安全性。启用后,除了用户凭据之外,用户必须使用额外的身份验证因素——Google Authenticator应用程序生成的一次性密码(OTP)进行身份验证。这确保了在用户的凭据被泄露的情况下,多因素身份验证方法将阻止恶意用户访问JFrog应用程序。
启用多因素身份验证
要为JFrog平台中的用户启用多因素身份验证,请导航到政府模块|用户管理|设置|多因素认证|检查一下启用Google Authenticator复选框。
多因素身份验证应用于JFrog平台应用程序的所有用户。
按照下面的步骤使用多因素身份验证登录启用后。
重置注册
如果用户使用多因素身份验证登录的能力受到损害,管理员应该通过执行以下步骤重置用户的注册状态:
- 导航到管理模块|用户管理|用户
- 中选择特定的用户和编辑屏幕上,选择重置MFA注册。
用户必须再次按照注册步骤进行身份验证。
如果管理员失去了使用多因素身份验证方法登录的能力,则管理员应该引导新管理员或使用新凭据的现有管理员,为引导的管理员重置多因素身份验证。有关更多信息,请参阅:重新创建默认的Admin用户。
查看连接键
JFrog加入了。key特性基于AES-128位对称加密在JFrog服务之间建立信任。此特性是基本身份验证信任方法的替代方案。有关更多信息,请参见在服务之间创建信任.
要查看JPD连接键,请单击显示连接键图标。
PDN接入令牌和PDN节点配置
Security Configuration窗口也是您可以生成连接密钥的地方,它在PDN服务器和PDN节点之间建立信任。
要查看连接键,请单击显示连接键图标。
PDN节点配置
此字段允许您拖放或选择一个PDN节点配置即YAML自动填充默认的PDN节点配置。这些配置集中存储在JFrog平台中,并动态更新。修改动态节点属性,请参见PDN (Advanced Private Distribution Network)配置.
要下载最新的YAML文件,请单击下载.
用户锁定和暂停登录
用户帐户锁定和暂时暂停登录是防止暴力攻击窃取身份的两种机制。
暂停登录
临时暂停登录是指当由于使用错误的身份验证凭证而导致登录失败时,系统将暂时暂停该用户的帐户一段时间,在此期间将忽略其他登录尝试。如果多次登录失败,每次挂起的时间会增加,直到挂起的时间不超过60秒。
用户帐号锁定
除了临时暂停登录外,您还可以在登录失败次数达到指定次数后锁定用户的帐户。选择“超过最大登录失败次数后锁定用户”复选框,并指定最大登录失败次数字段。被锁定的用户,因为他们已经超过了允许的登录失败的最大次数(如最大登录失败次数必须有管理员权限才能解锁他们的帐户。
解锁用户帐号
管理员可以单击,解锁所有被锁定的用户解锁所有用户在用户管理|设置配置用户锁定的页面。管理员还可以解锁系统中的指定用户或用户组用户管理|用户.
通过REST接口,管理员可以解锁用户单用户,一个用户组,或同时锁定所有用户.
密码过期策略
admin用户可以执行密码过期策略,强制所有用户定期修改密码。当密码过期策略被执行时,如果用户在指定的时间间隔内未登录,将被锁定,直到用户修改密码为止。
人工未来打破改变
在Artifactory即将发布的版本中,JFrog将使RT REST API中的“Unexpire Password for a Single User”端点和与之相关的UI过期(一旦API v1被完全弃用)。这意味着该API在Artifactory REST API V2中不可用。
启用密码过期策略 |
选中后,启用密码过期策略。 |
密码每(天)过期一次 |
指定所有用户必须更改密码的频率。 |
密码过期前发送邮件提醒 |
选中后,用户会在密码到期前几天收到电子邮件通知。 |
强制所有用户密码过期 |
强制所有密码过期。所有用户下次登录时都必须更改密码。 |
所有用户的过期密码 |
删除所有用户的密码过期状态 |
管理API密钥
作为管理员用户,您可以撤销当前在系统中定义的所有API密钥Artifactory|用户管理|设置在政府模块。
单击,撤销系统中所有API密钥删除所有用户的API密钥.
一旦撤销API密钥,使用该API密钥的任何REST API调用都将不再工作。用户必须创建新的API密钥并更新使用它的任何脚本。
密码加密
不同的配置文件可能包含以纯文本形式存储的密码信息。
为确保密码安全,您可以选择对密码进行加密,如密钥加密.
加强机密安全
一组加密的参数(秘密)用于连接到外部资源,例如它使用的不同数据库。2022世界杯阿根廷预选赛赛程虽然这些秘密可能存储在配置文件中,但这会带来被暴露的风险。
为了保证秘密不被泄露,您可以在启动系统时从临时文件中预加载秘密。一旦系统读取并成功使用了这些秘密,该文件就会被删除。
下面的代码片段显示了可以包含在这个临时文件中的参数示例。这些是Artifactory用来连接到PostgreSQL数据库的参数。
类型= = org.postgresql postgresql驱动程序。Driver url=jdbc:postgresql://postgresql:5432/artifactory用户名=artifactory密码= je2cypqtemjovmbxwegrghre9excu4anttttpu9lk3s15ups73m
虽然我们建议只包含敏感信息,如加密的连接字符串,但该文件可能包含任何数据库配置参数,并且指定的任何参数(包括环境变量和系统属性)将覆盖数据库配置文件中的相应参数。
要使用此机制加载参数,请在启动Artifactory之前将它们放在以下临时文件中:
JFROG_HOME美元/ artifactory / var / etc / artifactory / .secrets / .temp.db.properties
每次重新启动Artifactory时执行
由于临时文件在Artifactory启动时被删除,因此每次重新启动Artifactory时都需要替换临时文件。
