Gitblit devel
view | history | commit | commitdiff
James Moger
2012-10-23 2d48e28bf1068b20129b2e3d5b96ecaff48f9f2f
commit | author | age
85c2e6 1 ## Gitblit WAR Setup
dd7961 2
3b5289 3 1. Download [Gitblit WAR %VERSION%](http://code.google.com/p/gitblit/downloads/detail?name=%WAR%) to the webapps folder of your servlet container.  
d39680 4 2. You may have to manually extract the WAR (zip file) to a folder within your webapps folder.
93f472 5 3. Copy the `WEB-INF/users.conf` file to a location outside the webapps folder that is accessible by your servlet container.  
fa54be 6 Optionally copy the example hook scripts in `WEB-INF/groovy` to a location outside the webapps folder that is accesible by your servlet container.
3b5289 7 4. The Gitblit webapp is configured through its `web.xml` file.  
85c2e6 8 Open `web.xml` in your favorite text editor and make sure to review and set:
JM 9     - <context-parameter> *git.repositoryFolder* (set the full path to your repositories folder)
fa54be 10     - <context-parameter> *groovy.scriptsFolder* (set the full path to your Groovy hook scripts folder)
e4547f 11     - <context-parameter> *groovy.grapeFolder* (set the full path to your Groovy Grape artifact cache)
13a3f5 12     - <context-parameter> *web.projectsFile* (set the full path to your projects metadata file)
93f472 13     - <context-parameter> *realm.userService* (set the full path to `users.conf`)
e4547f 14     - <context-parameter> *git.packedGitLimit* (set larger than the size of your largest repository)
JM 15     - <context-parameter> *git.streamFileThreshold* (set larger than the size of your largest committed file)
85c2e6 16 5. You may have to restart your servlet container. 
JM 17 6. Open your browser to <http://localhost/gitblit> or whatever the url should be.
d4c908 18 7. Enter the default administrator credentials: **admin / admin** and click the *Login* button  
d39680 19     **NOTE:** Make sure to change the administrator username and/or password!! 
85c2e6 20
JM 21 ## Gitblit GO Setup
22
3b5289 23 1. Download and unzip [Gitblit GO %VERSION%](http://code.google.com/p/gitblit/downloads/detail?name=%GO%).  
85c2e6 24 *Its best to eliminate spaces in the path name.* 
3b5289 25 2. The server itself is configured through a simple text file.  
dd7961 26 Open `gitblit.properties` in your favorite text editor and make sure to review and set:
d39680 27     - *git.repositoryFolder* (path may be relative or absolute)
fa54be 28     - *groovy.scriptsFolder* (path may be relative or absolute)
e4547f 29     - *groovy.grapeFolder* (path may be relative or absolute)
d39680 30     - *server.tempFolder* (path may be relative or absolute)
831469 31     - *server.httpPort* and *server.httpsPort*
3b5289 32     - *server.httpBindInterface* and *server.httpsBindInterface*  
831469 33     **https** is strongly recommended because passwords are insecurely transmitted form your browser/git client using Basic authentication!
e4547f 34     - *git.packedGitLimit* (set larger than the size of your largest repository)
JM 35     - *git.streamFileThreshold* (set larger than the size of your largest committed file)
dd7961 36 3. Execute `gitblit.cmd` or `java -jar gitblit.jar` from a command-line
3b5289 37 4. Wait a minute or two while all dependencies are downloaded and your self-signed *localhost* certificate is generated.  
JM 38     Please see the section titled **Creating your own Self-Signed Certificate** to generate a certificate for *your hostname*.
230632 39 5. Open your browser to <http://localhost:8080> or <https://localhost:8443> depending on your chosen configuration.
d4c908 40 6. Enter the default administrator credentials: **admin / admin** and click the *Login* button    
d39680 41     **NOTE:** Make sure to change the administrator username and/or password!! 
85c2e6 42
JM 43 ### Creating your own Self-Signed Certificate
d39680 44 Gitblit GO automatically generates an ssl certificate for you that is bound to *localhost*.
85c2e6 45
9b72a2 46 Remote Eclipse/EGit/JGit clients (<= 1.1.0) will fail to communicate using this certificate because JGit always verifies the hostname of the certificate, regardless of the *http.sslVerify=false* client-side setting.
d39680 47
JM 48 The EGit failure message is something like:
49
50     Cannot get remote repository refs.
51     Reason: https:/myserver.com/git/myrepo.git: cannot open git-upload-pack
52
53 If you want to serve your repositories to another machine over https then you will want to generate your own certificate.
54
55 1. Review the contents of `makekeystore.cmd` or `makekeystore_jdk.cmd`
56 2. Set *your hostname* into the *HOSTNAME* variable.
57 3. Execute the script.<br/>This will generate a new certificate and keystore for *your hostname* protected by *server.storePassword*.
85c2e6 58  
3b5289 59 **NOTE:**  
JM 60 If you use `makekeystore_jdk.cmd`, the certificate password AND the keystore password must match and must be set as *server.storePassword* or specified with the *storePassword* command-line parameter!
d39680 61
JM 62 Additionally, if you want to change the value of *server.storePassword* (recommended) you will have to generate a new certificate afterwards.
85c2e6 63
JM 64 ### Running as a Windows Service
d39680 65 Gitblit uses [Apache Commons Daemon](http://commons.apache.org/daemon) to install and configure its Windows service.
JM 66
67 1. Review the contents of the `installService.cmd`
3b5289 68 2. Set the *ARCH* value as appropriate for your installed Java Virtual Machine.
d39680 69 3. Add any necessary *--StartParams* as enumerated below in **Command-Line Parameters**.
JM 70 4. Execute the script.
71
72 After service installation you can use the `gitblitw.exe` utility to control and modify the runtime settings of the service.<br/>
73 Additional service definition options and runtime capabilities of `gitblitw.exe` (prunmgr.exe) are documented [here](http://commons.apache.org/daemon/procrun.html).
74
75 **NOTE:**<br/>
76 If you change the name of the service from *gitblit* you must also change the name of `gitblitw.exe` to match the new service name otherwise the connection between the service and the utility is lost, at least to double-click execution. 
85c2e6 77
1c9219 78 #### VM Considerations
JM 79 By default, the service installation script configures your Windows service to use your default JVM.  This setup usually defaults to a client VM.<br/>
80 If you have installed a JDK, you might consider using the `gitblitw.exe` utility to manually specify the *server* VM.
81
82 1. Execute `gitblitw.exe`
83 2. On the *Java* tab uncheck *Use default*.
84 3. Manually navigate your filesystem and specify the server VM with the `...` button<br/><pre>
3b5289 85 Java Virtual Machine:
JM 86 C:\Program Files\Java\jre6\bin\server\jvm.dll</pre>
1c9219 87
85c2e6 88 #### Command-Line Parameters
JM 89 Command-Line parameters override the values in `gitblit.properties` at runtime.
90
91     --repositoriesFolder   Git Repositories Folder
92     --userService          Authentication and Authorization Service (filename or fully qualified classname)
93     --useNio               Use NIO Connector else use Socket Connector.
94     --httpPort             HTTP port for to serve. (port <= 0 will disable this connector)
95     --httpsPort            HTTPS port to serve.  (port <= 0 will disable this connector)
3cc6e2 96     --ajpPort              AJP port to serve.  (port <= 0 will disable this connector)
85c2e6 97     --storePassword        Password for SSL (https) keystore.
JM 98     --shutdownPort         Port for Shutdown Monitor to listen on. (port <= 0 will disable this monitor)
99     --tempFolder           Folder for server to extract built-in webapp
100     
101 **Example**
102
93f472 103     java -jar gitblit.jar --userService c:\myrealm.config --storePassword something
9c7a36 104
JM 105 #### Overriding Gitblit GO's Log4j Configuration
106
107 You can override Gitblit GO's default Log4j configuration with a command-line parameter to the JVM.
108
109     java -Dlog4j.configuration=file:///home/james/log4j.properties -jar gitblit.jar <optional_gitblit_args>
110     
111 For reference, here is [Gitblit's default Log4j configuration](https://github.com/gitblit/gitblit/blob/master/src/log4j.properties).  It includes some file appenders that are disabled by default. 
4b9d64 112     
JM 113 ## Running Gitblit behind Apache
114
115 Gitblit runs fine behind Apache.  You may use either *mod_proxy* (GO or WAR) or *mod_proxy_ajp* (GO).
116
117 Each Linux distribution may vary on the exact configuration of Apache 2.2.  
118 Here is a sample configuration that works on Debian 7.0 (Wheezy), your distribution may be different.
119
120 1. First we need to make sure we have Apache's proxy modules available.  
121 <pre>
122 sudo su
123 cd /etc/apache2/mods-enabled
124 ln -s ../mods-available/proxy.load proxy.load
125 ln -s ../mods-available/proxy_balancer.load proxy_balancer.load
126 ln -s ../mods-available/proxy_http.load proxy_http.load
127 ln -s ../mods-available/proxy_ajp.load proxy_ajp.load
128 </pre>
129 2. Then we need to make sure we are configuring Apache to use the proxy modules and to setup the proxied connection from Apache to Gitblit GO or from Apache to your chosen servlet container.  The following snippet is stored as `/etc/apache2/conf.d/gitblit`.  
130 %BEGINCODE%
131 # Turn off support for true Proxy behaviour as we are acting as 
132 # a transparent proxy
133 ProxyRequests Off
134
135 # Turn off VIA header as we know where the requests are proxied
136 ProxyVia Off
137  
138 # Turn on Host header preservation so that the servlet container
139 # can write links with the correct host and rewriting can be avoided.
140 #
141 # This is important for all git push/pull/clone operations.
142 ProxyPreserveHost On
143  
144 # Set the permissions for the proxy
145 &lt;Proxy *&gt;
146     AddDefaultCharset off
147     Order deny,allow
148     Allow from all
149 &lt;/Proxy&gt;
150  
151 # The proxy context path must match the Gitblit context path.
152 # For Gitblit GO, see server.contextPath in gitblit.properties.
153
154 #ProxyPass /gitblit http://localhost:8080/gitblit
a00408 155 #ProxyPassreverse /gitblit http://localhost:8080/gitblit
JM 156
157 # If your httpd frontend is https but you are proxying http Gitblit WAR or GO
a717d5 158 #Header edit Location &#94;http://([&#94;&#8260;]+)/gitblit/ https://&#36;1/gitblit/
a00408 159
f1b488 160 # Additionally you will want to tell Gitblit the original scheme and port
5efc4a 161 #RequestHeader set X-Forwarded-Proto https
JM 162 #RequestHeader set X-Forwarded-Port 443
f1b488 163
c558de 164 # If you are using subdomain proxying then you will want to tell Gitblit the appropriate
JM 165 # context path for your repository url.
166 # If you are not using subdomain proxying, then ignore this setting.
167 #RequestHeader set X-Forwarded-Context /
168
4b9d64 169 #ProxyPass /gitblit ajp://localhost:8009/gitblit
JM 170 %ENDCODE%  
171 **Please** make sure to:  
172     1. Review the security of these settings as appropriate for your deployment
173     2. Uncomment the *ProxyPass* setting for whichever connection you prefer (http/ajp)
174     3. Correctly set the ports and context paths both in the *ProxyPass* definition and your Gitblit installation  
175     If you are using Gitblit GO you can easily configure the AJP connector by specifying a non-zero AJP port.  
176     Please remember that on Linux/UNIX, ports < 1024 require root permissions to open.
177     4. Set *web.mountParameters=false* in `gitblit.properties` or `web.xml` this will use parameterized URLs.  
178     Alternatively, you can respecify *web.forwardSlashCharacter*.
790c38 179
JM 180 ## Upgrading Gitblit
181 Generally, upgrading is easy.
182
93f472 183 Since Gitblit does not use a database the only files you have to worry about are your configuration file (`gitblit.properties` or `web.xml`) and possibly your `users.conf` or `users.properties` file.
790c38 184
JM 185 Any important changes to the setting keys or default values will always be mentioned in the [release log](releases.html).
186
93f472 187 Gitblit v0.8.0 introduced a new default user service implementation which serializes and deserializes user objects into `users.conf`.  A `users.conf` file will be automatically created from an existing `users.properties` file on the first launch after an upgrade.  To use the `users.conf` service, *realm.userService=users.conf* must be set.  This revised user service allows for more sophisticated Gitblit user objects and will facilitate the development of more advanced features without adding the complexity of an embedded SQL database.
JM 188
189 `users.properties` and its user service implementation are deprecated as of v0.8.0.
190
790c38 191 ### Upgrading Gitblit WAR
93f472 192 1. Backup your `web.xml` file  
JM 193 Backup your `web.properties` file (if you have one, these are the setting overrides from using the RPC administration service)
790c38 194 2. Delete currently deployed gitblit WAR
JM 195 3. Deploy new WAR and overwrite the `web.xml` file with your backup
196 4. Review and optionally apply any new settings as indicated in the [release log](releases.html). 
197  
198 ### Upgrading Gitblit GO
199  
200 1. Backup your `gitblit.properties` file
93f472 201 2. Backup your `users.properties` file *(if it is located in the Gitblit GO folder)*  
JM 202 OR  
203 Backup your `users.conf` file *(if it is located in the Gitblit GO folder)*
fa54be 204 3. Backup your Groovy hook scripts
JM 205 4. Unzip Gitblit GO to a new folder
206 5. Overwrite the `gitblit.properties` file with your backup
207 6. Overwrite the `users.properties` file with your backup *(if it was located in the Gitblit GO folder)*  
93f472 208 OR  
JM 209 Overwrite the `users.conf` file with your backup *(if it was located in the Gitblit GO folder)*
fa54be 210 7. Review and optionally apply any new settings as indicated in the [release log](releases.html).
790c38 211
JM 212 #### Upgrading Windows Service
3b5289 213 You may need to delete your old service definition and install a new one depending on what has changed in the release.
JM 214
85c2e6 215 ## Gitblit Configuration
dd7961 216
JM 217 ### Administering Repositories
00afd7 218 Repositories can be created, edited, renamed, and deleted through the web UI.  They may also be created, edited, and deleted from the command-line using real [Git](http://git-scm.com) or your favorite file manager and text editor.
dd7961 219
JM 220 All repository settings are stored within the repository `.git/config` file under the *gitblit* section.
221
222     [gitblit]
223         description = master repository
00afd7 224         owner = james
dd7961 225         useTickets = false
JM 226         useDocs = true
227         showRemoteBranches = false
228         accessRestriction = clone
00afd7 229         isFrozen = false
a1ea87 230         showReadme = false
f6740d 231         federationStrategy = FEDERATE_THIS
831469 232         isFederated = false
84c1d5 233         skipSizeCalculation = false
8f73a7 234         federationSets = 
3b5289 235
dd7961 236 #### Repository Names
5d7545 237 Repository names must be unique and are CASE-SENSITIVE ON CASE-SENSITIVE FILESYSTEMS.  The name must be composed of letters, digits, or `/ _ - . ~`<br/>
dd7961 238 Whitespace is illegal.
JM 239
168566 240 Repositories can be grouped within subfolders.  e.g. *libraries/mycoollib.git* and *libraries/myotherlib.git*
a3bde6 241
85c2e6 242 All repositories created with Gitblit are *bare* and will automatically have *.git* appended to the name at creation time, if not already specified. 
a3bde6 243
00afd7 244 #### Repository Owner
JM 245 The *Repository Owner* has the special permission of being able to edit a repository through the web UI.  The Repository Owner is not permitted to rename the repository, delete the repository, or reassign ownership to another user.
246
20714a 247 ### Access Restrictions and Access Permissions
JM 248 ![permissions matrix](permissions_matrix.png "Permissions and Restrictions")
249
250 #### Discrete Permissions (Gitblit v1.2.0+)
251
252 Since v1.2.0, Gitblit supports more discrete permissions.  While Gitblit does not offer a built-in solution for branch-based permissions like Gitolite, it does allow for the following repository access permissions:
253
254 - **V** (view in web ui, RSS feeds, download zip)
255 - **R** (clone)
256 - **RW** (clone and push)
257 - **RWC** (clone and push with ref creation)
258 - **RWD** (clone and push with ref creation, deletion)
259 - **RW+** (clone and push with ref creation, deletion, rewind)
5d7545 260
JM 261 These permission codes are combined with the repository path to create a user permission:
262
263     RW:mygroup/myrepo.git
264
265 #### Discrete Permissions with Regex Matching (Gitblit v1.2.0+)
266
e5aaa5 267 Gitblit also supports *case-insensitive* regex matching for repository permissions.  The following permission grants push privileges to all repositories in the *mygroup* folder.
5d7545 268
2d48e2 269     RW:mygroup/.*
JM 270
271 ##### Exclusions
272
273 When using regex matching it may also be useful to exclude specific repositories or to exclude regex repository matches.  You may specify the **X** permission for exclusion.  The following example grants clone permission to all repositories except the repositories in mygroup.  The user/team will have no access whatsoever to these repositories.
274
275     X:mygroup/.*
276     R:.*
277
278 ##### Order is Important
279
280 The preceding example should suggest that order of permissions is important with regex matching.  Here are the rules for determining the permission that is applied to a repository request:
281
282 1. If the user is an admin or repository owner, then RW+
283 2. Else if user has an explicit permission, use that
284 3. Else check for the first regex match in user permissions
285 4. Else check for the HIGHEST permission from team memberships
286     1. If the team is an admin team, then RW+
287     2. Else if a team has an explicit permission, use that
288     3. Else check for the first regex match in team permissions
20714a 289
JM 290 #### No-So-Discrete Permissions (Gitblit <= v1.1.0)
291
15640f 292 Prior to v1.2.0, Gitblit has two main access permission groupings:  
JM 293
294 1. what you are permitted to do as an anonymous user
295 2. **RW+** for any permitted user
296
297 #### Committer Verification
298
299 You may optionally enable committer verification which requires that each commit be committed by the authenticated user pushing the commits.  i.e. If Bob is pushing the commits, Bob **must** be the committer of those commits.
300
301 **How is this enforced?**
302
303 Bob must set his *user.name* and *user.email* values for the repository to match his Gitblit user account **BEFORE** committing to his repository.
304 <pre>
305 [user "bob"]
306     displayName = Bob Jones
307     emailAddress = bob@somewhere.com
308 </pre>
309 <pre>
310     git config user.name "Bob Jones"
311     git config user.email bob@somewhere.com    
312 </pre>
313 or
314
315     git config user.name bob
316     git config user.email bob@somewhere.com    
317
318 If the Gitblit account does not specify an email address, then the committer email address is ignored.  However, if the account does specify an address it must match the committer's email address.  Display name or username can be used as the committer name.
319
320 All checks are case-insensitive.
321
322 **What about merges?**
323
324 You can not use fast-forward merges on your client when using committer verification.  You must specify *--no-ff* to ensure that a merge commit is created with your identity as the committer.  Only the first parent chain is traversed when verifying commits.
20714a 325
fe24a0 326 ### Teams
JM 327
328 Since v0.8.0, Gitblit supports *teams* for the original `users.properties` user service and the current default user service `users.conf`.  Teams have assigned users and assigned repositories.  A user can be a member of multiple teams and a repository may belong to multiple teams.  This allows the administrator to quickly add a user to a team without having to keep track of all the appropriate repositories. 
329
330 ### Administering Users (users.conf, Gitblit v0.8.0+)
331 All users are stored in the `users.conf` file or in the file you specified in `gitblit.properties`. Your file extension must be *.conf* in order to use this user service.
332
93f472 333 The `users.conf` file uses a Git-style configuration format:
JM 334
335     [user "admin"]
336         password = admin
337         role = "#admin"
338         role = "#notfederated"
20714a 339         repository = RW+:repo1.git
JM 340         repository = RW+:repo2.git
fe24a0 341         
JM 342     [user "hannibal"]
343         password = bossman
20714a 344         repository = RWD:topsecret.git
5d7545 345         repository = RW+:ateam/[A-Za-z0-9-~_\\./]+
fe24a0 346
JM 347     [user "faceman"]
348         password = vanity
349
350     [user "murdock"]
351         password = crazy        
352         
353     [user "babaracus"]
354         password = grrrr
355         
356     [team "ateam"]
357         user = hannibal
358         user = faceman
359         user = murdock
360         user = babaracus
20714a 361         repository = RW:topsecret.git
0b9119 362         mailingList = list@ateam.org
d7905a 363         postReceiveScript = sendmail
93f472 364
JM 365 The `users.conf` file allows flexibility for adding new fields to a UserModel object that the original `users.properties` file does not afford without imposing the complexity of relying on an embedded SQL database. 
366
fe24a0 367 ### Administering Users (users.properties, Gitblit v0.5.0 - v0.7.0)
JM 368 All users are stored in the `users.properties` file or in the file you specified in `gitblit.properties`. Your file extension must be *.properties* in order to use this user service.
369
fa54be 370 The format of `users.properties` loosely follows Jetty's convention for HashRealms:
dd7961 371
fa54be 372     username=password,role1,role2,role3...
0b9119 373     @teamname=&mailinglist,!username1,!username2,!username3,repository1,repository2,repository3...
dd7961 374
20714a 375 ### Usernames
3b5289 376 Usernames must be unique and are case-insensitive.  
dd7961 377 Whitespace is illegal.
JM 378
20714a 379 ### Passwords
486ee1 380 User passwords are CASE-SENSITIVE and may be *plain*, *md5*, or *combined-md5* formatted (see `gitblit.properties` -> *realm.passwordStorage*).
dd7961 381
20714a 382 ### User Roles
JM 383 There are four actual *roles* in Gitblit:
384
385 - *#admin*, which grants administrative powers to that user
386 - *#notfederated*, which prevents an account from being pulled by another Gitblit instance
387 - *#create*, which allows the user the power to create personal repositories
388 - *#fork*, which allows the user to create a personal fork of an existing Gitblit-hosted repository
389
390 Administrators automatically have access to all repositories.  All other *roles* are repository permissions.  If a repository is access-restricted, the user must have the repository's name within his/her roles to bypass the access restriction.  This is how users are granted access to a restricted repository.
391
392 **NOTE:**  
393 The following roles are equivalent:
394
395 - myrepo.git
396 - RW+:myrepo.git
397
398 This is to preserve backwards-compatibility with Gitblit <= 1.1.0 which granted rewind power to all access-permitted users.
399
400 ### Personal Repositories & Forks
401
402 Personal Repositories and Forks are related but are controlled individually.
403
404 #### Creating a Personal Repository
405 A user may be granted the power to create personal repositories by specifying the *#create* role through the web ui or through the RPC mechanism via the Gitblit Manager.  Personal repositories are exactly like common/shared repositories except that the owner has a few additional administrative powers for that repository, like rename and delete.
406
407 #### Creating a Fork
408 A user may also be granted the power to fork an existing repository hosted on your Gitblit server to their own personal clone by specifying the *#fork* role through the web ui or via the Gitblit Manager.
409
410 Forks are mostly likely personal repositories or common/shared repositories except for two important differences:
411
412 1. Forks inherit a view/clone access list from the origin repository.  
413 i.e. if Team A has clone access to the origin repository, then by default Team A also has clone access to the fork.  This is to facilitate collaboration.
414 2. Forks are always listed in the fork network, regardless of any access restriction set on the fork.  
415 In other words, if you fork *RepoA.git* to *~me/RepoA.git* and then set the access restriction of *~me/RepoA.git* to *Authenticated View, Clone, & Push* your fork will still be listed in the fork network for *RepoA.git*.
416
417 If you really must have an invisible fork, the clone it locally, create a new personal repository for your invisible fork, and push it back to that personal repository.
dd7961 418
6e15cb 419 ## Alternative Authentication and Authorization
eb96ea 420
6e15cb 421 ### LDAP Authentication
JM 422 *SINCE 1.0.0*
423
424 LDAP can be used to authenticate Users and optionally control Team memberships.  When properly configured, Gitblit will delegate authentication to your LDAP server and will cache some user information in the usual users file (.conf or .properties).
425
426 When using the LDAP User Service, new user accounts can not be manually created from Gitblit.  Gitblit user accounts are automatically created for new users on their first succesful authentication through Gitblit against the LDAP server.  It is also important to note that the LDAP User Service does not retrieve or store user passwords nor does it implement any LDAP-write functionality.
427
428 To use the *LdapUserService* set *realm.userService=com.gitblit.LdapUserService* in your `gitblit.properties` file or your `web.xml` file and then configure the *realm.ldap* settings appropriately for your LDAP environment.
429
430 #### Example LDAP Layout
431 ![block diagram](ldapSample.png "LDAP Sample")
432
433 Please see [ldapUserServiceSampleData.ldif](https://github.com/gitblit/gitblit/blob/master/tests/com/gitblit/tests/resources/ldapUserServiceSampleData.ldif) to see the data in LDAP that reflects the above picture.
434
435 #### Gitblit Settings for Example LDAP Layout
436 The following are the settings required to configure Gitblit to authenticate against the example LDAP server with LDAP-controlled team memberships.
437
438 <table class="table">
439 <thead>
440 <tr><th>parameter</th><th>value</th><th>description</th></tr>
441 </thead>
442 <tbody>
443 <tr>
444   <th>realm.ldap.server</th><td>ldap://localhost:389</td>
445   <td>Tells Gitblit to connect to the LDAP server on localhost port 389.  The URL Must be of form ldap(s)://&lt;server&gt;:&lt;port&gt; with port being optional (389 for ldap, 636 for ldaps).</td>
446 </tr>
447 <tr>
448   <th>realm.ldap.username</th><td>cn=Directory Manager</td>
449   <td>The credentials that will log into the LDAP server</td>
450 </tr>
451 <tr>
452   <th>realm.ldap.password</th><td>password</td>
453   <td>The credentials that will log into the LDAP server</td>
454 </tr>
455 <tr>
456   <th>realm.ldap.backingUserService</th><td>users.conf</td>
457   <td>Where to store all information that is used by Gitblit.  All information will be synced here upon user login.</td>
458 </tr>
459 <tr>
460   <th>realm.ldap.maintainTeams</th><td>true</td>
461   <td>Are team memberships maintained in LDAP (<em>true</em>) or manually in Gitblit (<em>false</em>).</td>
462 </tr>
463 <tr>
464   <th>realm.ldap.accountBase</th><td>OU=Users,OU=UserControl,OU=MyOrganization,DC=MyDomain</td>
465   <td>What is the root node for all users in this LDAP system.  Subtree searches will start from this node.</td>
466 </tr>
467 <tr>
468   <th>realm.ldap.accountPattern</th><td>(&(objectClass=person)(sAMAccountName=${username}))</td><td>The LDAP search filter that will match a particular user in LDAP.  ${username} will be replaced with whatever the user enters as their username in the Gitblit login panel.</td>
469 </tr>
470 <tr>
471   <th>realm.ldap.groupBase</th><td>OU=Groups,OU=UserControl,OU=MyOrganization,DC=MyDomain</td>
472   <td>What is the root node for all teams in this LDAP system.  Subtree searches will start from this node.</td>
473 </tr>
474 <tr>
475   <th>realm.ldap.groupMemberPattern</th><td>(&(objectClass=group)(member=${dn}))</td><td>The LDAP search filter that will match all teams for the authenticating user.  ${username} will be replaced with whatever the user enters as their username in the Gitblit login panel.  Anything else in ${} will be replaced by Attributes from the User node.</td>
476 </tr>
477 <tr>
478   <th>realm.ldap.admins</th><td>@Git_Admins</td><td>A space-delimited list of usernames and/or teams that indicate admin status in Gitblit.  Teams are referenced with a leading <em>@</em> character.</td>
479 </tr>
480 </tbody>
481 </table>
482
483 #### LDAP In-Memory Server
484
485 You can start Gitblit GO with an in-memory LDAP server by specifying the *--ldapLdifFile* command-line argument.  The LDAP server will listen on localhost of the port specified in *realm.ldap.url* of `gitblit.properties`.  Additionally, a root user record is automatically created for *realm.ldap.username* and *realm.ldap.password*.  Please note that the ldaps:// protocol is not supported for the in-memory server.
486
487 ### Custom Authentication
eb96ea 488 This is the simplest choice where you implement custom authentication and delegate all other standard user and team operations to one of Gitblit's user service implementations.  This choice insulates your customization from changes in User and Team model classes and additional API that may be added to IUserService.
JM 489
490 Please subclass [com.gitblit.GitblitUserService](https://github.com/gitblit/gitblit/blob/master/src/com/gitblit/GitblitUserService.java) and override the *setup()* and *authenticate()* methods.  
491 Make sure to set the *serviceImpl* field in your *setup()* method.
492
493 You may use your subclass by specifying its fully qualified classname in the *realm.userService* setting.
494
495 Your subclass must be on Gitblit's classpath and must have a public default constructor.  
496
6e15cb 497 ### Custom Everything
93f472 498 Instead of maintaining a `users.conf` or `users.properties` file, you may want to integrate Gitblit into an existing environment.
dd7961 499
3b5289 500 You may use your own custom *com.gitblit.IUserService* implementation by specifying its fully qualified classname in the *realm.userService* setting.
dd7961 501
fe24a0 502 Your user service class must be on Gitblit's classpath and must have a public default constructor.  
JM 503 Please see the following interface definition [com.gitblit.IUserService](https://github.com/gitblit/gitblit/blob/master/src/com/gitblit/IUserService.java).
230632 504
fa54be 505 ## Groovy Hook Scripts
JM 506
507 *SINCE 0.8.0*
508
444101 509 Gitblit uses Groovy for its push hook mechanism.  This mechanism only executes when pushing to Gitblit, not when pushing to some other Git tooling in your stack.
fa54be 510
JM 511 The Groovy hook mechanism allows for dynamic extension of Gitblit to execute custom tasks on receiving and processing push events.  The scripts run within the context of your Gitblit instance and therefore have access to Gitblit's internals at runtime.
512
eb96ea 513 ### Rules, Requirements, & Behaviors
6cc1d4 514 1. Your Groovy scripts must be stored in the *groovy.scriptsFolder* as specified in `gitblit.properties` or `web.xml`.
JM 515 2. All script files must have the *.groovy* extension. Because of this you may omit the extension when specifying the script.
0b9119 516 3. Script filenames must not have spaces!
JM 517 4. Scripts must be explicitly specified to be executed, no scripts are *automatically* executed by name or extension.
518 5. A script can be specified to run on *all repositories* by adding the script file name to *groovy.preReceiveScripts* or *groovy.postReceiveScripts* in `gitblit.properties` or `web.xml`.
d7905a 519 6. Scripts can be specified for a team.
JM 520 7. Scripts may also be specified per-repository in the repository's settings.
521 8. Globally-specified scripts and team-specified scripts are excluded from the list of available scripts in a repository's settings 
522 9. Globally-specified scripts are executed first, in their listed order; followed by team-specified scripts in their listed order by alphabetical team order; followed by per-repository scripts, in their listed order.
523 10. A script may only be defined once in a pre-receive chain and once in a post-receive chain.  
6cc1d4 524 You may execute the same script on pre-receive and post-receive, just not multiple times within a pre-receive or post-receive event.
d7905a 525 11. Gitblit does not differentiate between what can be a pre-receive script and what can be a post-receive script.
JM 526 12. If a script *returns false* then the hook chain is aborted and none of the subsequent scripts will execute.
fa54be 527
eb96ea 528 Some sample scripts are included in the GO and WAR distributions to show you how you can tap into Gitblit with the provided bound variables.  Additional implementation details may be specified in the header comment of these examples.
JM 529
fa54be 530 Hook contributions and improvements are welcome.
JM 531
67d4f8 532 ### Grapes
JM 533
534 *SINCE 1.0.0*
535
536 [Grape](http://groovy.codehaus.org/Grape) lets you quickly add maven repository dependencies to your Groovy hook script.  
537
e4547f 538 <blockquote>Grape (The Groovy Adaptable Packaging Engine or Groovy Advanced Packaging Engine) is the infrastructure enabling the grab() calls in Groovy, a set of classes leveraging <a href="http://ant.apache.org/ivy">Ivy</a> to allow for a repository driven module system for Groovy. This allows a developer to write a script with an essentially arbitrary library requirement, and ship just the script. Grape will, at runtime, download as needed and link the named libraries and all dependencies forming a transitive closure when the script is run from existing repositories such as Ibiblio, Codehaus, and java.net.</blockquote>
67d4f8 539
JM 540 %BEGINCODE%
541 // create and use a primitive array
542 import org.apache.commons.collections.primitives.ArrayIntList
543
544 @Grab(group='commons-primitives', module='commons-primitives', version='1.0')
545 def createEmptyInts() { new ArrayIntList() }
546
547 def ints = createEmptyInts()
548 ints.add(0, 42)
549 assert ints.size() == 1
550 assert ints.get(0) == 42
551 %ENDCODE%
552
7c1cdc 553 ### Custom Fields
JM 554
555 *SINCE 1.0.0*
556
557 Gitblit allows custom repository string fields to be defined in `gitblit.properties` or `web.xml`.  Entry textfields are automatically created for these fields in the Edit Repository page of Gitblit and the Edit Repository dialog of the Gitblit Manager.  These fields are accessible from your Groovy hook scripts as
558
559     repository.customFields.myField
560
561 This feature allows you to customize the behavior of your hook scripts without hard-coding values in the hook scripts themselves.
562
6cc1d4 563 ### Pre-Receive
JM 564
565 Pre-Receive scripts execute after the pushed objects have all been written to the Git repository but before the refs have been updated to point to these new objects.
566
567 This is the appropriate point to block a push and is how many Git tools implement branch-write permissions.
568
569 ### Post-Receive
570
571 Post-Receive scripts execute after all refs have been updated.
572
573 This is the appropriate point to trigger continuous integration builds or send email notifications, etc.
574
0b9119 575 ## Push Email Notifications
JM 576
577 Gitblit implements email notifications in *sendmail.groovy* which uses the Groovy Hook Script mechanism.  This allows for dynamic customization of the notification process at the installation site and serves as an example push script.
578
579 ### Enabling Push Notifications
580
581 In order to send email notifications on a push to Gitblit, this script must be specified somewhere in the *post-receive* script chain.  
e927f4 582 You may specify *sendmail* in one of three places:
0b9119 583
JM 584 1. *groovy.postReceiveScripts* in `gitblit.properties` or `web.xml`, globally applied to all repositories
e927f4 585 2. post-receive scripts of a Team definition
JM 586 3. post-receive scripts of a Repository definition
0b9119 587
JM 588 ### Destination Addresses
589
590 Gitblit does not currently support individual subscriptions to repositories; i.e. a *user* can not subscribe or unsubscribe from push notifications.
591
592 However, Repository Managers and Administrators can specify subscribed email addresses in one of three places:
593
594 1. *mail.mailingLists* in `gitblit.properties` or `web.xml`, globally applied to all push-notified repositories
595 2. mailing lists in a Team definition, applied to all repositories that are part of the team definition
596 3. mailing lists in a Repository definition
597
598 All three sources are checked and merged into a unique list of destination addresses for push notifications.
599
600 **NOTE:**  
601 Care should be taken when devising your notification scheme as it relates to any VIEW restricted repositories you might have.  Setting a global mailing list and activating push notifications for a VIEW restricted repository may send unwanted emails.
602
ff3f0e 603 ## Lucene Search Integration
JM 604
605 *SINCE 0.9.0*
606
a717d5 607 Repositories may optionally be indexed using the Lucene search engine.  The Lucene search offers several advantages over commit-traversal search:
ff3f0e 608
a717d5 609 1. very fast commit and blob searches
JM 610 2. multi-term searches
611 3. term-highlighted and syntax-highlighted fragment matches
612 4. multi-repository searches
613
614 ### How do I use it?
615
7db092 616 First you must ensure that *web.allowLuceneIndexing* is set *true* in `gitblit.properties` or `web.xml`.  Then you must understand that Lucene indexing is an opt-in feature which means that no repositories are automatically indexed.  
a717d5 617 Like anything else, this design has pros and cons.
JM 618
619 #### Pros
7db092 620 1. no wasted cycles indexing repositories you will never search
a717d5 621 2. you specify exactly what branches are indexed; experimental/dead/personal branches can be ignored
JM 622
623 #### Cons
0273b2 624 1. you specify exactly what branches are indexed
a717d5 625
0273b2 626 #### I have 300 repositories and you want me to specify indexed branches on each one??
a717d5 627
0273b2 628 Yeah, I agree that is inconvenient.
a717d5 629
0273b2 630 If you are using Gitblit GO there is a utility script `add-indexed-branch.cmd` which allows you to specify an indexed branch for many repositories in one step.
JM 631
632 If you are using Gitblit WAR then, at present, you are out of luck unless you write your own script to traverse your repositories and use native Git to manipulate each repository config.
633
634     git config --add gitblit.indexBranch "default"
635     git config --add gitblit.indexBranch "refs/heads/master"
a717d5 636
JM 637 #### Indexing Branches
0273b2 638 You may specify which branches should be indexed per-repository in the *Edit Repository* page.  New/empty repositories may only specify the *default* branch which will resolve to whatever commit HEAD points to or the most recently updated branch if HEAD is unresolvable.
JM 639
640 Indexes are built and incrementally updated on a 2 minute cycle so you may have to wait a few minutes before your index is built or before your latest pushes get indexed.
ff3f0e 641
JM 642 **NOTE:**  
a717d5 643 After specifying branches, only the content from those branches can be searched via Gitblit.  Gitblit will automatically redirect any queries entered on a repository's search box to the Lucene search page. Repositories that do not specify any indexed branches will use the traditional commit-traversal search.
ff3f0e 644
7db092 645 #### Adequate Heap
JM 646
647 The initial indexing of an existing repository can potentially exhaust the memory allocated to your Java instance and may throw OutOfMemory exceptions.  Be sure to provide your Gitblit server adequate heap space to index your repositories.  The heap is set using the *-Xmx* JVM parameter in your Gitblit launch command (e.g. -Xmx1024M).
648
0273b2 649 #### Why does Gitblit check every 2 mins for repository/branch changes?
JM 650
651 Gitblit has to balance its design as a complete, integrated Git server and its utility as a repository viewer in an existing Git setup.
652
653 Gitblit could build indexes immediately on *edit repository* or on *receiving pushes*, but that design would not work if someone is pushing via ssh://, git://, or file:// (i.e. not pushing to Gitblit http(s)://).  For this reason Gitblit has a polling mechanism to check for ref changes every 2 mins.  This design works well for all use cases, aside from adding a little lag in updating the index.
654
1f9dae 655 ## Client Setup and Configuration
JM 656 ### Https with Self-Signed Certificates
d39680 657 You must tell Git/JGit not to verify the self-signed certificate in order to perform any remote Git operations.
1f9dae 658
3b5289 659 **NOTE:**  
JM 660 The default self-signed certificate generated by Gitlbit GO is bound to *localhost*.  
661 If you are using Eclipse/EGit/JGit clients, you will have to generate your own certificate that specifies the exact hostname used in your clone/push url.  
9b72a2 662 You must do this because Eclipse/EGit/JGit (<= 1.1.0) always verifies certificate hostnames, regardless of the *http.sslVerify=false* client-side setting. 
d39680 663  
3b5289 664 - **Eclipse/EGit/JGit**
1f9dae 665     1. Window->Preferences->Team->Git->Configuration
JM 666     2. Click the *New Entry* button
3b5289 667     3. <pre>Key = <em>http.sslVerify</em>
JM 668 Value = <em>false</em></pre>
669 - **Command-line Git** ([Git-Config Manual Page](http://www.kernel.org/pub/software/scm/git/docs/git-config.html))  
670 <pre>git config --global --bool --add http.sslVerify false</pre>
1f9dae 671
JM 672 ### Cloning an Access Restricted Repository 
3b5289 673 - **Eclipse/EGit/JGit**  
JM 674 Nothing special to configure, EGit figures out everything.
675 <pre>https://yourserver/git/your/repository</pre>
676 - **Command-line Git**  
677 My testing indicates that your username must be embedded in the url.  YMMV.  
073b11 678 <pre>https://username@yourserver/git/your/repository</pre>
JC 679