9.3. 用户和访问权限管理

FEATURE_SUPER_USERS

布尔值

是否支持超级用户

默认为 true

FEATURE_USER_CREATION

布尔值

是否可以创建用户（非超级用户）

默认值： true

FEATURE_USER_LAST_ACCESSED

布尔值

是否记录用户被访问最后一次访问的时间

默认为 true

FEATURE_USER_LOG_ACCESS

布尔值

如果设置为 true，用户有权访问其命名空间的审计日志

默认： false

FEATURE_USER_METADATA

布尔值

是否收集和支持用户元数据

默认： false

FEATURE_USERNAME_CONFIRMATION

布尔值

如果设置为 true，用户可以在通过 OpenID Connect (OIDC)或非数据库内部身份验证供应商（如 LDAP）登录时确认并修改其初始用户名。
默认： true

FEATURE_USER_RENAME

布尔值

如果设置为 true，用户可以重命名自己的命名空间

默认： false

FEATURE_INVITE_ONLY_USER_CREATION

布尔值

要创建的用户是否必须被其他用户邀请

默认为 false

FRESH_LOGIN_TIMEOUT

字符串

新登录的时间需要用户重新输入其密码

示例 ：5m

USERFILES_LOCATION

字符串

放置用户上传文件的存储引擎 ID

示例:s3_us_east

USERFILES_PATH

字符串

放置用户上传文件的存储的路径

示例 ：userfiles

USER_RECOVERY_TOKEN_LIFETIME

字符串

恢复用户帐户的令牌时间长度是有效的

Pattern:^[0-9]+(w|m|d|h|s)$
Default:30m

FEATURE_SUPERUSERS_FULL_ACCESS

布尔值

授予超级用户从命名空间中的其他存储库读取、写入和删除它们没有拥有或明确权限的那些存储库的权限。

Default: False

FEATURE_SUPERUSERS_ORG_CREATION_ONLY

布尔值

是否只允许超级用户创建机构。

Default: False

FEATURE_RESTRICTED_USERS

布尔值

当使用 RESTRICTED_USERS_WHITELIST 设置为 True 时：

Default: False

RESTRICTED_USERS_WHITELIST

字符串

当使用 FEATURE_RESTRICTED_USERS 设置设置时，特定用户将不包括在 FEATURE_RESTRICTED_USERS 设置中。

GLOBAL_READONLY_SUPER_USERS

字符串

设置后，可授予用户对所有存储库的读取访问权限，无论它们是公共存储库。仅适用于通过 SUPER_USERS 配置字段定义的超级用户。

ROBOTS_DISALLOW

布尔值

当设置为 true 时，机器人帐户会阻止所有交互，以及创建
默认:False

AUTHENTICATION_TYPE
(Required)

字符串

必须设置为 LDAP。

FEATURE_TEAM_SYNCING

布尔值

是否允许团队成员资格与身份验证引擎中的后备组同步(OIDC、LDAP 或 Keystone)。

默认： true

FEATURE_NONSUPERUSER_TEAM_SYNCING_SETUP

布尔值

如果启用，非超级用户可设置团队同步。

默认： false

LDAP_ADMIN_DN

字符串

用于 LDAP 验证的管理 DN。

LDAP_ADMIN_PASSWD

字符串

LDAP 验证的 admin 密码。

LDAP_ALLOW_INSECURE_FALLBACK

布尔值

是否允许 LDAP 身份验证的 SSL 不安全回退。

LDAP_BASE_DN

字符串数组

用于 LDAP 身份验证的基本 DN。

LDAP_EMAIL_ATTR

字符串

LDAP 身份验证的电子邮件属性。

LDAP_UID_ATTR

字符串

LDAP 身份验证的 uid 属性。

LDAP_URI

字符串

LDAP URI。

LDAP_USER_FILTER

字符串

LDAP 身份验证的用户过滤器。

LDAP_USER_RDN

字符串数组

用于 LDAP 身份验证的用户 RDN。

LDAP_SECONDARY_USER_RDNS

字符串数组

如果用户对象所在的多个机构单元，则提供二级用户相对 DN。

TEAM_RESYNC_STALE_TIME

字符串

如果为团队启用了团队同步，则检查其成员资格和重新同步的频率。

Pattern:
^[0-9]+(w|m|d|h|s)$
Example:
2h
Default:
30m

LDAP_SUPERUSER_FILTER

字符串

LDAP_USER_FILTER 配置字段的子集。配置后，当 Red Hat Quay 使用 LDAP 作为其身份验证提供程序时，允许 Red Hat Quay 管理员将轻量级目录访问协议(LDAP)用户配置为超级用户。

使用此字段，管理员可以添加或删除超级用户，而无需更新 Red Hat Quay 配置文件并重启其部署。

此字段要求将 AUTHENTICATION_TYPE 设置为 LDAP。

LDAP_GLOBAL_READONLY_SUPERUSER_FILTER

字符串

设置后，可授予用户对所有存储库的读取访问权限，无论它们是公共存储库。仅适用于通过 LDAP_SUPERUSER_FILTER 配置字段定义的超级用户。

LDAP_RESTRICTED_USER_FILTER

字符串

LDAP_USER_FILTER 配置字段的子集。配置后，当 Red Hat Quay 使用 LDAP 作为其身份验证提供程序时，允许 Red Hat Quay 管理员将轻量级目录访问协议(LDAP)用户配置为受限用户。

此字段要求将 AUTHENTICATION_TYPE 设置为 LDAP。

FEATURE_RESTRICTED_USERS

布尔值

当设为 True 时，LDAP_RESTRICTED_USER_FILTER 处于活动状态时，只有定义的 LDAP 组中的用户才会受到限制。

Default: False

LDAP_TIMEOUT

整数

指定 LDAP 操作的时间限制（以秒为单位）。这限制了 LDAP 搜索、绑定或其他操作可以花费的时间。与 ldapsearch 中的 -l 选项类似，它会设置客户端操作超时。

默认 ：10

LDAP_NETWORK_TIMEOUT

整数

指定与 LDAP 服务器建立连接的时间限制（以秒为单位）。这是 Red Hat Quay 在网络操作期间等待响应的最长时间，类似于 ldapsearch 中的 -o nettimeout 选项。

默认 ：10

DIRECT_OAUTH_CLIENTID_WHITELIST

字符串数组

允许在没有用户批准的情况下执行直接 OAuth 批准的 Quay 管理 的应用程序的客户端 ID 列表。

FEATURE_ASSIGN_OAUTH_TOKEN

布尔值

允许机构管理员将 OAuth 令牌分配给其他用户。

FEATURE_GITHUB_LOGIN

布尔值

是否支持 GitHub 登录

**默认：False

GITHUB_LOGIN_CONFIG

对象

使用 GitHub (Enterprise)作为外部登录提供程序的配置。

   .ALLOWED_ORGANIZATIONS

字符串数组

GitHub （企业）组织的名称，使用 ORG_RESTRICT 选项。

   .API_ENDPOINT

字符串

要使用的 GitHub （企业）API 的端点。对于 github.com

，必须被覆盖： https://api.github.com/

   .CLIENT_ID
   (Required)

字符串

此 Red Hat Quay 实例的注册客户端 ID；无法与 GITHUB_TRIGGER_CONFIG.

示例

   .CLIENT_SECRET
(Required)

字符串

此 Red Hat Quay 实例的注册客户端 secret。

：< client_secret>

   .GITHUB_ENDPOINT
(Required)

字符串

GitHub 的端点(Enterprise)。

示例 ：https://github.com/

   .ORG_RESTRICT

布尔值

如果为 true，只有机构白名单中的用户才能使用这个供应商登录。

FEATURE_GOOGLE_LOGIN

布尔值

是否支持 Google 登录。

（默认： False）

GOOGLE_LOGIN_CONFIG

对象

使用 Google 进行外部身份验证的配置。

   .CLIENT_ID
   (Required)

字符串

此 Red Hat Quay 实例的注册客户端 ID。

示例： < client_id>

   .CLIENT_SECRET
(Required)

字符串

此 Red Hat Quay 实例的注册客户端 secret。

：< client_secret>

<string>_LOGIN_CONFIG
(Required)

字符串

包含 OIDC 配置设置的父密钥。通常，OIDC 供应商的名称，如 AZURE_LOGIN_CONFIG，但接受任何任意字符串。

.CLIENT_ID
(Required)

字符串

此 Red Hat Quay 实例的注册客户端 ID。

： 0e8dbe15c4c7630b6780

.CLIENT_SECRET
(Required)

字符串

此 Red Hat Quay 实例的注册客户端 secret。

： e4a58ddd3d7408b7aec109e85564a0d153d3e846

   .DEBUGLOG

布尔值

是否启用调试。

   .LOGIN_BINDING_FIELD

字符串

当内部授权设置为 LDAP 时使用。Red Hat Quay 读取此参数，并尝试使用此用户名为用户搜索 LDAP 树。如果存在，它会自动创建到该 LDAP 帐户的链接。

   .LOGIN_SCOPES

对象

添加 Red Hat Quay 用来与 OIDC 供应商通信的其他范围。

   .OIDC_ENDPOINT_CUSTOM_PARAMS

字符串

支持 OIDC 端点上的自定义查询参数。支持以下端点： authorization_endpoint、token_endpoint 和 user_endpoint。

   .OIDC_ISSUER

字符串

允许用户定义签发者进行验证。例如，JWT 令牌容器( 称为 )参数定义谁签发令牌。默认情况下，这从 .well-know/openid/configuration 端点读取，该端点由每个 OIDC 供应商公开。如果这个验证失败，则没有登录。

.OIDC_SERVER
(Required)

字符串

用于身份验证的 OIDC 服务器的地址。



https://sts.windows.net/6c878…​ /

   .PREFERRED_USERNAME_CLAIM_NAME

字符串

将首选 username 设置为来自令牌的参数。

   .SERVICE_ICON

字符串

更改登录屏幕上的图标。

.SERVICE_NAME
(Required)

字符串

要验证的服务名称。

： MicrosoftEntra ID

   .VERIFIED_EMAIL_CLAIM_NAME

字符串

用于验证用户电子邮件地址的声明名称。

   .PREFERRED_GROUP_CLAIM_NAME

字符串

OIDC 令牌有效负载中的密钥名称，其中包含用户组成员资格的信息。

   .OIDC_DISABLE_USER_ENDPOINT

布尔值

是否允许或拒绝 /userinfo 端点。如果使用 Azure Entra ID，此字段必须设置为 true，因为 Azure 从令牌获取用户信息，而不是调用 /userinfo 端点。

默认： false

FEATURE_RECAPTCHA

布尔值

用户登录和恢复需要 Recaptcha

Default: False

RECAPTCHA_SECRET_KEY

字符串

如果启用了 recaptcha，则 Recaptcha 服务的 secret 键

RECAPTCHA_SITE_KEY

字符串

如果启用了 recaptcha，则 Recaptcha 服务的站点键

JWT_AUTH_ISSUER

字符串

JWT 用户的端点

Pattern:^http (s)?://(.)+$
Example:http://192.168.99.101:6060

JWT_GETUSER_ENDPOINT

字符串

JWT 用户的端点
Pattern:^http (s)?://(.)+$
示例:http://192.168.99.101:6060

JWT_QUERY_ENDPOINT

字符串

JWT 查询的端点

Pattern:^http (s)?://(.)+$
Example:http://192.168.99.101:6060

JWT_VERIFY_ENDPOINT

字符串

JWT 验证的端点

Pattern:^http (s)?://(.)+$
Example:http://192.168.99.101:6060

FEATURE_APP_SPECIFIC_TOKENS

布尔值

如果启用，用户可以创建令牌以供 Docker CLI

默认值： True

APP_SPECIFIC_TOKEN_EXPIRATION

字符串

外部应用令牌的过期时间。

默认 None
Pattern: ^[0-9]+(w|m|d|h|s)$

EXPIRED_APP_SPECIFIC_TOKEN_GC

字符串

过期的外部应用程序令牌的持续时间将在垃圾回收前保留

默认： 1d