前言

在使用jenkins的过程中,需要为不同的角色分配相应的权限,如果jenkins的用户数据能和公司现在的帐号系统结合起来那会更好。

关于如何为用户分组,我推荐使用 role based authorization strategy 这个插件

我的环境如下:

版本:Jenkins ver. 2.32.3

系统:windows 7 x64

进入用户管理

如果使用的是jenkins内置的用户数据库,操作方法如下:

1.使用管理员帐号登录,选择 Configure Global Security  就可以打开用户管理界面

admin没有overall/Read权限

在授权策略中选择安全矩阵之后,并没有为amdin勾选 overall的权限

image

刷新或者点其它操作就会出现 admin没有overall/Read权限

image

解决办法:

1. 在jenkins的安装目录下找到 config.xml,备份一份,并打开

2. 找到 <authorizationStrategy> 节点 ,修改内容如下(两个配置可选)

<authorizationStrategy class="hudson.security.AuthorizationStrategy$Unsecured"/>
这个权限对应“任何用户可以做任何事(没有任何限制)”
 
<authorizationStrategy class="hudson.security.FullControlOnceLoggedInAuthorizationStrategy"/>
这个权限对应“登录用户可以做任何事”

3. 重启jenkins的服务

内置用户和权限管理

推荐这篇博客讲解jenkins内置的用户管理比较详细

Jenkins学习七:Jenkins的授权和访问控制 

用户管理插件

在插件库搜索到的安装量较高的用户管理有两个:

Role-based Authorization Strategy:https://plugins.jenkins.io/role-strategy

安装量:20931

介绍:网上相关的文档资料较多(推荐使用)

 

Matrix Authorization Strategy:https://plugins.jenkins.io/matrix-auth

安装量:131937

介绍:文档较少,未使用。

Role-based Authorization Strategy

这个章节讲解这个插件的使用笔记,插件地址:https://plugins.jenkins.io/role-strategy

安装完 role based authorization strategy 之后,在系统管理的菜单项中会多出一项 “Manager and Assign Roles

创建用户组

1. 选择 系统管理Manager and Assign Roles 中的 mangage Roles 进行创建用户组

2. 记住要为所有用户组勾选overallread权限

image

我的测试可以只勾选Global roles,而无需在project roles中创建

为用户分配组

1. 选择 系统管理Manager and Assign Roles 中的 Assign Roles 可以为用户分组

image

我也只在Global roles为用户分配权限,并没有为特定的项目分配。

使用通配符

Manager and Assign Roles  – Project roles 中可以添加通配符,为不同组指定可以打包那些项,通配符是匹配创建的job名字

image

我的试验

1. 在Manage Roles中在Global roles创建用户组

2. 在Assign Roles 中为具体的用户分配组,只在global roles下为具体用户分配组

3 . 如上图所示,在project roles中并没有给qingqing_zhao没有分配权限,但global roles中分配了job_ops权限,所以qingqing_zhao这个用户拥有job_ops组的权限

4. 而在 anonymous 分配在 job_read 组,这样无需登录也可以项目信息,但仅仅可查看job信息,而无权进行任何操作

global roles 和 project roles

global roles全局角色(全局角色可以对jenkins系统进行设置与项目的操作)

project roles项目角色(项目角色只能对项目进行操作)

上述我的试验中,对qingqing_zhao 这个用户分配了全局角色权限,所以他也拥有项目的权限,golbal role 的权限大于project roles。

不同用户的视图

按照上面的测试,我对用户分了三个组:admin ,ops ,readonly,下面是这三个组进入jenkins的视图。

admin组视图

最高权限组,包括系统和job的管理权限

image

ops组图

仅仅可对job(项目)进行操作,包括build ,cancel

image

readonly 组

只可对job(项目)进行只读

image

不同用户组不同job

总结来说就是在建立job有一定的命名规范,在分配project roles时利用pattern进行过滤(例如:build.*  。表示build开头号的job都可以访问)

参考: https://my.oschina.net/boltwu/blog/404893

TODO

利用公司已有帐号系统

Jenkins 使用公司帐号体系或已有帐号进行登录,利用ldap,不同公司的配置数据不一样。

我使用的2.32.3版本自带ldap插件

参考:

http://blog.csdn.net/wanglei_storage/article/details/52935312

用户权限管理

Jenkins的用户组管理中的pattern (正规表达式)部分的使用

其他

通过Jenkins copy job 创建新的job 之后不能立即构建

小技巧

web页url操作jenkins

在web页就可以重启或关闭jenkins,操作如下:如果当前登录的帐号俱备管理员权限,在网址后面加上 /restart就可

http://192.168.70.224:8080/restart

/exit 退出

/reload 重载

版权声明:本文为zhaoqingqing原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/zhaoqingqing/p/6607175.html