今天发现公司的gitlab许多人被强制要求开启2FA(Two-Factor Authentication),经过排查发现某个group被人不小心设置成所有成员必须开启2FA,这样所有该group的成员都被强制重定向到2FA开启页面,除非你开启2FA。由于公司某些自动化工具和2FA不兼容,而且太麻烦了,这里需要禁用。
我找到了那个group,在设置里把强制2FA关掉了,结果发现还是不行,所有没开启2FA的成员还是被强制跳转,提示为:
The group settings for require you to enable Two-Factor Authentication for your account.
按照官方的办法停用了所有人的2FA:
https://docs.gitlab.com/ee/security/two_factor_authentication.html
结果还是不行,我搜了一下gitlab文档没有有效信息,意识到这应该是gitlab的缓存bug,重启gitlab也没用之后,只有硬着头皮去看源码了。
gitlab主要业务是ruby写的,我先把上面的提示关键字去搜源码,定位到对应的controller调用了一个验证2FA的逻辑,在:/opt/gitlab/embedded/service/gitlab-rails/app/controllers/concerns/enforces_two_factor_authentication.rb
文件中。
在该文件中看到了check_two_factor_requirement的类方法是负责check 2FA的,这里我们注释掉强制验证的代码库,重启gitlab就ok了。