专栏首页DevOps持续集成第4章 Jenkins系统用户认证配置管理

第4章 Jenkins系统用户认证配置管理

第4章 Jenkins系统用户管理
  • 1.1 Jenkins 专有用户数据库
  • 1.2 LDAP认证集成
  • 1.3 GitLab单点登录
  • 1.4 GitHub单点登录

我们进入系统设置 > 全局安全配置,在这里可以配置jenkins的用户认证和授权策略。

在配置之前还是要嘱咐一句,由于配置失败或者不当可能会影响后续用户的登录。在此建议大家首先在测试环境进行测试。可以提前将${JENKINS_HOME}/config.xml备份一下,然后配置失败的时候迅速还原。

还有一种情况,配置gitlab和jenkins 用户认证时弄的jenkins没有权限了。修改${JENKINS_HOME}/config.xml中的<useSecurity>true</usrSecurity><useSecurity>false</usrSecurity>以关闭Jenkins的权限认证,然后重启Jenkins,重新配置管理的权限,最后开启权限认证功能。可以暂时开启允许任何人访问。

我们先来看Authentication部分,Jenkins默认使用的Jenkins专有用户数据库管理用户,支持LDAP、GitHub、GitLab等认证集成。但是同时只能配置一种认证集成方式。我们主要配置这三种认证。

1.1 Jenkins 专有用户数据库

系统管理>安全>管理用户, 可以对系统用户增删改查。

我们来创建一个普通的用户zeyang

创建完成后,我们进入${JENKINSS_HOME}/users目录下可以看到如下内容:

[root@zeyang-nuc-service users]# ls
admin_3285798656405222668  users.xml  zeyang_1686679553273142732

Jenkins的所有配置都是采用文件存储,即xml文件。在这里users目录包含了两部分数据:用户文件夹和所有用户信息配置文件users.xml。Jenkins默认在users目录下创建一个与用户同名的文件夹存储该用户的配置信息,保存在该目录下的config.xml文件中。

[root@zeyang-nuc-service users]# ls zeyang_1686679553273142732/
config.xml

这个config.xml文件中包含了用户的配置信息,这些信息都可以在web页面中更新。

更新完成后,点击保存。则会更新${JENKINS_HOME}/users目录下该用户目录对应的config.xml文件。类似下面这样:

<?xml version='1.1' encoding='UTF-8'?>
<user>
  <version>10</version>
  <id>zeyang</id>
  <fullName>zeyangli</fullName>
  <properties>
    <jenkins.security.ApiTokenProperty>
      <tokenStore>
        <tokenList/>
      </tokenStore>
    </jenkins.security.ApiTokenProperty>
    <io.jenkins.plugins.localization__zh__cn.UserCommunityProperty plugin="localization-zh-cn@1.0.17">
      <showCondition>Chinese</showCondition>
    </io.jenkins.plugins.localization__zh__cn.UserCommunityProperty>
    <com.cloudbees.plugins.credentials.UserCredentialsProvider_-UserCredentialsProperty plugin="credentials@2.3.12">
      <domainCredentialsMap class="hudson.util.CopyOnWriteMap$Hash"/>
    </com.cloudbees.plugins.credentials.UserCredentialsProvider_-UserCredentialsProperty>
    <hudson.plugins.emailext.watching.EmailExtWatchAction_-UserProperty plugin="email-ext@2.69">
      <triggers/>
    </hudson.plugins.emailext.watching.EmailExtWatchAction_-UserProperty>
    <hudson.model.MyViewsProperty>
      <views>
        <hudson.model.AllView>
          <owner class="hudson.model.MyViewsProperty" reference="../../.."/>
          <name>all</name>
          <filterExecutors>false</filterExecutors>
          <filterQueue>false</filterQueue>
          <properties class="hudson.model.View$PropertyList"/>
        </hudson.model.AllView>
      </views>
    </hudson.model.MyViewsProperty>
    <org.jenkinsci.plugins.displayurlapi.user.PreferredProviderUserProperty plugin="display-url-api@2.3.3">
      <providerId>default</providerId>
    </org.jenkinsci.plugins.displayurlapi.user.PreferredProviderUserProperty>
    <hudson.model.PaneStatusProperties>
      <collapsed/>
    </hudson.model.PaneStatusProperties>
    <jenkins.security.seed.UserSeedProperty>
      <seed>d93c5425095c7688</seed>
    </jenkins.security.seed.UserSeedProperty>
    <hudson.search.UserSearchProperty>
      <insensitiveSearch>true</insensitiveSearch>
    </hudson.search.UserSearchProperty>
    <hudson.model.TimeZoneProperty/>
    <hudson.security.HudsonPrivateSecurityRealm_-Details>
      <passwordHash>#jbcrypt:$2a$10$KwFJ/S69z8S/wf65xnyFB.iUEbsNWJCN0gKlD8AkOyL.k2cgKVLSO</passwordHash>
    </hudson.security.HudsonPrivateSecurityRealm_-Details>
    <hudson.tasks.Mailer_-UserProperty plugin="mailer@1.32">
      <emailAddress>zeyangli@test.com</emailAddress>
    </hudson.tasks.Mailer_-UserProperty>
  </properties>
</user>

1.2 LDAP认证集成

LDAP系统是用于统一管理用户,关于LDAP服务的部署,在测试环境推荐用Docker部署更加方便些。基本上企业中都会有现成的LDAP服务,所以我们的重点是拿到系统信息即可,在jenkinsLDAP能够正常通信的前提下,你可能需要需要的信息:

  • LDAP服务器地址:ldap://192.168.1.200
  • LDAP服务器端口:389
  • 用于认证集成组织OU信息:ou=jenkins,dc=devops,dc=com
  • 用于集成时具有查询权限的用户:cn=admin,dc=devops,dc=com

首先,我需要在Jenkins系统中安装LDAP插件,然后进入系统管理 >全局安全配置。

填写好信息之后,我们可以点击测试按钮进行测试。会模拟用户登录,成功后再保存配置即可。


1.3 GitLab单点登录

为什么要配置GitLab单点登录呢?之前有这样的一个场景,每次开发人员登录Jenkins和其他系统的时候都需要再次填写登录信息。增加了工具链之间的跳转成本。为了解决这样的问题,我们可以以GitLab为中心配置单点登录。配置过程分为两部分:GitLab创建应用、Jenkins配置Gitlab插件信息。

首先,我们需要使用管理员账号在GitLab中添加一个应用。系统设置 > 应用管理 > 新建应用。

填写Jenkins回调地址http://jenkinsserver:8080/securityRealm/finishLogin,勾选权限默认具有read_user权限即可。(这里的地址填写的是jenkins的实际地址)保存配置,会提示下面的信息:

OK,这些信息后续需要填写到Jenkins中。ApplicationID secret。我们开始配置Jenkins。我们需要在Jenkins系统中安装插件Gitlab Authentication, 然后导航到全局安全配置,填写Gitlab系统地址和上面在Gitlab创建的应用的ApplicationId secret

到此就配置完成了。注意:当Jenkins前面有代理的时候可能会出现跳转错误的问题。这时候需要看下提示错误的redirect URL地址,检查下图配置。如果下图配置没有问题,请检查代理的配置问题。另外要注意是http模式哦


1.4 GitHub单点登录

配置的GitHub集成与GitLab配置很类似: 首先登录GitHub, settings -> Developer Settings -> Oauth Apps。

新建应用:填写Jenkins回调地址http://jenkinsserver:8080/securityRealm/finishLogin

保存,获取应用ID和secret。

接下来我们需要在Jenkins系统中安装插件Github Authentication, 然后导航全局安全配置。填写GitHub系统地址和上面在GitHub创建的应用的ApplicationId secret

最终的效果如下:


到此,我们完成了Jenkins用户的认证管理。大家按需配置即可。后续我们来讲解权限管理为项目和用户授权。

历史文章

关于作者

泽阳,DevOps领域实践者。专注于企业级DevOps运维开发技术实践分享,主要以新Linux运维技术、DevOps技术课程为主。丰富的一线实战经验,课程追求实用性获得多数学员认可。课程内容均来源于企业应用,在这里既学习技术又能获取热门技能,欢迎您的到来!(微信ID: devopsvip)

本文分享自微信公众号 - DevOps云学堂(idevopsvip),作者:Lizeyang

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何使用代码配置运行Jenkins实例?

    在传播了关于DevOps文化的一些想法之后,我想再次关注Jenkins主题。我将大部分时间都花在各种环境之间,而对于每种环境,我都在一个完全不同的Jenkins...

    泽阳
  • Jenkins简介

    Jenkins官网 Jenkins前身是Hudson,使用java语言开发的自动化发布工具。在中大型金融等企业中普遍使用Jenkins来作为项目发布工具。Jen...

    泽阳
  • Jenkins实践文档(一)- Jenkins简介

    Jenkins官网 Jenkins前身是Hudson,使用java语言开发的自动化发布工具。在中大型金融等企业中普遍使用Jenkins来作为项目发布工具。 Je...

    泽阳
  • 剑指offer 把数组排成最小的数

    输入一个正整数数组,把数组里所有数字拼接起来排成一个数,打印能拼接出的所有数字中最小的一个。例如输入数组{3,32,321},则打印出这三个数字能排成的最小数字...

    week
  • 快速入门开发实现订单类图片识别结果抽象解析

    摘要:本文主要介绍一种针对订单类图片识别结果进行行列解析的抽象流程和方案,帮助提高开发效率。

    宜信技术学院
  • 67.Add Binary(String-Easy)

    Given two binary strings, return their sum (also a binary string). For example, ...

    Jack_Cui
  • React Native之react-native-scrollable-tab-view详解

    在React Native开发中,官方为我们提供的Tab控制器有两种:TabBarIOS和ViewPagerAndroid。TabBarIOS,仅适用于IOS平...

    xiangzhihong
  • 前端常用PS技巧总结之将图片背景透明化

    接下来几个篇文章我会写关于常用的PS使用技巧以及怎么处理一些图片问题,之所以写是因为很多时候啊,不是每一个公司都会帮你配一个UI设计师,帮你将图片P好,整理好,...

    何处锦绣不灰堆
  • ​Python-时间及日期-07-获取本周或上周几具体日期

    系统:Windows 7 语言版本:Anaconda3-4.3.0.1-Windows-x86_64 编辑器:pycharm-community-2016.3....

    zishendianxia
  • How-to: 利用Web Camera模拟Windows Phone 7的重力加速度传感器

    引言         目前,对于我们国内大多数的Windows Phone 7开发者来说,模拟器是调试程序的唯一选择。因此,和硬件相关的一些功能就没有办法进行...

    ShiJiong

扫码关注云+社区

领取腾讯云代金券