Docker+Jenkins+Pipeline实现持续集成(四)权限管理

当开始使用Jenkins后,即会提示启用安全配置。

插件推荐

插件名 作用
Role-based Authorization Strategy 基于角色的授权策略(能够为不同角色不同项目分配不同权限)

安全域

即用户管理,我在实际使用过程中,选择了Jenkins专有用户数据库(不允许用户注册)
当安全配置出现问题,导致登录失败时,解决方法是:

打开config文件,将<useSecurity>true</useSecurity>改为false,删除<authorizationStrategy>和<securityRealm>内容

授权策略

Jenkins默认提供了如下几种授权方式

  1. 任何用户可以做任何事(没有任何限制)
  2. 安全矩阵:用户可以操作所授权的动作,但是所有项目一视同仁
  3. 登录用户可以做任何事
  4. 遗留模式
  5. 项目矩阵授权策略:扩展自"安全矩阵",可以进入每个项目中配置安全矩阵

在我们实际使用的场景中,有多个项目接入到Jenkins进行持续部署的工作,我们希望不同项目的人员是互不可见的,同时有些人员只可以查看构建情况,有些人员能够手动触发构建并有权限修改pipeline脚本。只有项目矩阵授权策略符合我们的需求,但是这种策略需要每个项目、每个用户都进行配置,非常繁琐。最终使用了插件Role-based Authorization Strategy,实现基于角色的授权策略。

Role-based Authorization Strategy:
(1)在全局安全配置授权策略中选择Role-Based Strategy
(2)进入系统管理——Manage and Assign Roles,进入角色权限配置页面,页面中有3个配置选择Manage Roles(管理角色权限),Assign Roles(将角色分配给用户),Role Strategy Macros(通常不需要使用)
(3)Manage Roles:
角色分为3种,全局角色(Global roles)、项目角色(Project roles)、节点角色(Slave roles),这里主要考虑全局角色和项目角色。
注:全局角色会覆盖掉项目角色,如在全局中有读权限,则该角色被允许读所有项目(不管项目角色里面的设置)
1.当我们需要限制用户读/写权限都局限在项目的级别,可以为该角色提供一些有限的权限(如overall read)
2.添加Project roles时,需要提供项目的pattern,这样该角色的权限在匹配上的项目中都生效。pattern是一个正则表达式,且大小写敏感,例如Roger-.\*能够匹配所有项目名以"Roger-"开头的项目。
配置的情况如下图:

Manage Roles

(4)Assign Roles
进入assign roles界面,可以将user/group同时添加到global roles和item roles中,为用户添加相应的角色,从而进行角色的授权控制。
例如,我们有一个用户test,我们为其添加了全局的normal角色和项目的roger角色,如下图:
Assign Roles

因此,test角色有全局overall的读权限(能够看到基本的页面),有凭证的读权限(能够看到所有凭证),有项目Roger-.*的运行、删除、编辑的权限,但是没有删除/编辑构建历史的权限。如下为使用test角色登录后只能查看Roger-test项目,不能进行系统配置、不能添加项目等等:
test用户权限

角色权限解释

Overall

Administer Read
管理员,能够进行系统级的配置修改(会赋予角色所有的权限) 读Jenkins的基本页面

Credentials(凭证)

Create Delete ManageDomains Update View
添加 删除 管理凭证的域 更新 查看(凭证管理页面)

Agent(节点)

Build Configure Connect Create Delete Disconnect Provision
运行在节点上的job 管理节点 连接 新建 删除 断开连接 ?

Job(任务)

Build Cancel Configure Create Delete Discover Move Read Workspace
构建 取消/中止构建 配置 新建(只有全局角色起效) 删除任务 通过url访问时不报404错误(比Read的权限低,如果没有配置read权限,仍不能查看到项目的详细信息) 移动任务所在文件夹(?) 查看job的基本信息 查看job的工作目录

Run(job的构建历史)

Delete Replay Update
删除构建历史 回放历史构建(不起效?) 为历史构建编辑一些备注信息

View(视图,只能在视图中查看有权限的项目)

Configure Create Delete Read
编辑 新建 删除 查看

注:如果用户只有部分项目有权限但却有视图的编辑权限,可能会导致视图配置的出现问题
SCM

Tag
为源代码打tag(?)
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容