Jenkins access roles

Материал из naname.com.ua
Перейти к навигацииПерейти к поиску


Создание ролей в Jenkins

В Jenkins права распределяются немного "заморочено". Лично до меня дошло не с первого раза, по-тому и появилась эта заметка.


Установить нужные плагины

Можно обойтись только одним плагином role-strategy, но тогда придется следить за именами job и при переименовании права могут ломаться. По этой причине лучше сразу же использовать совместно с плагином role-strategy

role-strategy

java -jar /var/cache/jenkins/war/WEB-INF/jenkins-cli.jar  -s http://127.0.0.1:8080/ install-plugin  "role-strategy" --username  admin --password r00tme
Installing cloudbees-folder from update center

cloudbees-folder

java -jar /var/cache/jenkins/war/WEB-INF/jenkins-cli.jar  -s http://127.0.0.1:8080/ install-plugin  "cloudbees-folder" --username  admin --password r00tme
Installing cloudbees-folder from update center

Перезапуск Jenkins

После установки этих плагинов требуется перезапуск:

java -jar /var/cache/jenkins/war/WEB-INF/jenkins-cli.jar  -s http://127.0.0.1:8080/   safe-restart  --username  admin --password r00tme

Настройка прав доступа

Уже существуют 2 группы пользователей в LDAP:

  • cicd_users
  • cicd_administrators

Нужно назначать ограниченные права для группы cicd_users

Создать folder

Тут - проще сделать используя веб-интерфейс чем CLI, так-как create-item принимает на вход XML который еще требуется написать. Как один из вариантов - использовать конфигурацию существующей job.

Новый Item

Создать новый элемент - выбрать пункт New Item
JenkinsAccess1.png

Выбрать имя и задать тип элемента - Folder
JenkinsAccess2.png

Сохранить пока-что пустой Folder
JenkinsAccess3.png

Ожидаемый результат:
JenkinsAccess4.png

Поместить в него job

Создаем новый Job внутри Folder
Тип: FreeStyle
JenkinsAccess5.png

Добавить Build Step: Execute shell.
Это нужно для того что бы тестовая Job-а делала хоть что-то.
JenkinsAccess6.png
Простейший тестовый код - вывести переменные окружения.


JenkinsAccess7.png
Результат - есть Folder и внутри него существует Job
JenkinsAccess8.png

Назначение прав

В разделе Manage Jenkins перейти к Manage and Assign Roles


JenkinsAccess9.png



JenkinsAccess10.png

Создание ролей

В разделе Manage and Assign Roles требуется создать роли - для этого перейти в раздел Manage Roles


Создать 2 глобальные роли

  • Админ с полным доступом
  • overall/Read - глобальная роль которая имеет только право на чтение глобально

(overall/Read - это название привилегии в Jenkins и роль которая владеет только этой привилегией названа точно так же)


JenkinsAccess11.png

Создать 2 проектные роли:

  • pythonFolder c паттерном "pythonFolder"
  • pythonFolderChilds c паттерном "pythonFolder/.*"


Первая роль обеспечивает доступ к фолдеру, вторая - к содержимому


JenkinsAccess12.png

JenkinsAccess13.png

Назначение ролей группе пользователей

Перейти в раздел Assign Roles


JenkinsAccess14.png

Добавить Global Role overall/read для группы cicd_users. (Без этой роли пользователи этой группы не смогут читать никакие job - будет сообщение о том что не назначена эта роль)




JenkinsAccess15.png

Назначить группе cicd_users роли pythonFolder и pythonFolderChilds
JenkinsAccess16.png


JenkinsAccess17.png

Проверка ролей

Требуется логин под пользователем test или любым другим из группы cicd_users.
рекомендуется использовать другой браузер что бы не делать постоянный перелогин
Если назначена роль pythonFolder но не назначена pythonFolderChilds то фолдер видно, но его содержимое - нет.

JenkinsAccess18.png
Содержимое фолдера не видно:
JenkinsAccess19.png

Для того что бы видеть в том числе и содержимое - проверить/добавить если не добавлена роль pythonFolderChilds
JenkinsAccess20.png

После чего содержимое фолдера становится доступно:
JenkinsAccess21.png
Согласно политики, у пользователя из группы cicd_users есть права на запуск job но нет более никаких прав.
JenkinsAccess22.png
Если создать фолдер javaFolder то можно убедиться что к нему у пользователя test доступа не будет

Ссылки