Jenkins access roles: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
 
(не показано 11 промежуточных версий этого же участника)
Строка 41: Строка 41:
 
Тут - проще сделать используя веб-интерфейс чем CLI, так-как create-item принимает на вход XML который еще требуется написать. Как один из вариантов - использовать конфигурацию существующей job.
 
Тут - проще сделать используя веб-интерфейс чем CLI, так-как create-item принимает на вход XML который еще требуется написать. Как один из вариантов - использовать конфигурацию существующей job.
   
====Новый Item====
+
===Новый Item===
 
Создать новый элемент - выбрать пункт New Item
 
Создать новый элемент - выбрать пункт New Item
 
<BR>
 
<BR>
Строка 85: Строка 85:
 
<BR>
 
<BR>
   
  +
===Назначение прав===
===Назначить права===
 
 
В разделе Manage Jenkins перейти к Manage and Assign Roles
 
В разделе Manage Jenkins перейти к Manage and Assign Roles
   
Строка 96: Строка 96:
 
[[image:JenkinsAccess10.png|400px]]
 
[[image:JenkinsAccess10.png|400px]]
 
<BR>
 
<BR>
  +
====Создание ролей====
 
 
В разделе Manage and Assign Roles требуется создать роли - для этого перейти в раздел Manage Roles
 
В разделе Manage and Assign Roles требуется создать роли - для этого перейти в раздел Manage Roles
   
Строка 102: Строка 102:
 
Создать 2 глобальные роли
 
Создать 2 глобальные роли
 
* Админ с полным доступом
 
* Админ с полным доступом
* overall/Read - глобальная роль которая имеет только право на чтение глобально (overall/Read - это название привилегии в Jenkins и роль которая владеет только этой привилегией названа точно так же)
+
* overall/Read - глобальная роль которая имеет только право на чтение глобально
  +
(overall/Read - это название привилегии в Jenkins и роль которая владеет только этой привилегией названа точно так же)
   
 
<BR>
 
<BR>
 
[[image:JenkinsAccess11.png|1000px]]
 
[[image:JenkinsAccess11.png|1000px]]
 
<BR>
 
<BR>
  +
  +
Создать 2 проектные роли:
  +
* pythonFolder c паттерном "pythonFolder"
  +
* pythonFolderChilds c паттерном "pythonFolder/.*"
  +
<BR>
  +
Первая роль обеспечивает доступ к фолдеру, вторая - к содержимому
 
<BR>
 
<BR>
[[image:JenkinsAccess12.png|400px]]
 
 
<BR>
 
<BR>
   
  +
<BR>
 
 
[[image:JenkinsAccess12.png|400px]]
 
  +
<BR>
 
<BR>
 
<BR>
 
[[image:JenkinsAccess13.png|400px]]
 
[[image:JenkinsAccess13.png|400px]]
 
<BR>
 
<BR>
  +
====Назначение ролей группе пользователей====
 
  +
Перейти в раздел Assign Roles
 
   
 
<BR>
 
<BR>
 
[[image:JenkinsAccess14.png|400px]]
 
[[image:JenkinsAccess14.png|400px]]
 
<BR>
 
<BR>
  +
  +
Добавить Global Role overall/read для группы cicd_users.
  +
(Без этой роли пользователи этой группы не смогут читать никакие job - будет сообщение о том что не назначена эта роль)
  +
  +
  +
   
 
<BR>
 
<BR>
 
[[image:JenkinsAccess15.png|400px]]
 
[[image:JenkinsAccess15.png|400px]]
 
<BR>
 
<BR>
  +
<BR>
 
  +
Назначить группе cicd_users роли pythonFolder и pythonFolderChilds
 
<BR>
 
<BR>
 
[[image:JenkinsAccess16.png|400px]]
 
[[image:JenkinsAccess16.png|400px]]
Строка 134: Строка 148:
 
[[image:JenkinsAccess17.png|400px]]
 
[[image:JenkinsAccess17.png|400px]]
 
<BR>
 
<BR>
 
 
<BR>
 
<BR>
  +
====Проверка ролей====
[[image:JenkinsAccess18.png|400px]]
 
  +
Требуется логин под пользователем test или любым другим из группы cicd_users.
 
<BR>
 
<BR>
  +
<I>рекомендуется использовать другой браузер что бы не делать постоянный перелогин</I>
 
 
<BR>
 
<BR>
  +
Если назначена роль pythonFolder но не назначена pythonFolderChilds то фолдер видно, но его содержимое - нет.
[[image:JenkinsAccess19.png|400px]]
 
 
<BR>
 
<BR>
 
 
 
<BR>
 
<BR>
[[image:JenkinsAccess20.png|400px]]
+
[[image:JenkinsAccess18.png|600px]]
  +
<BR>
  +
Содержимое фолдера не видно:
  +
<BR>
 
[[image:JenkinsAccess19.png|600px]]
 
<BR>
 
<BR>
   
  +
Для того что бы видеть в том числе и содержимое - проверить/добавить если не добавлена роль pythonFolderChilds
 
 
<BR>
 
<BR>
[[image:JenkinsAccess21.png|400px]]
+
[[image:JenkinsAccess20.png|600px]]
 
<BR>
 
<BR>
   
  +
После чего содержимое фолдера становится доступно:
  +
<BR>
 
[[image:JenkinsAccess21.png|600px]]
  +
<BR>
  +
Согласно политики, у пользователя из группы cicd_users есть права на запуск job но нет более никаких прав.
 
<BR>
 
<BR>
[[image:JenkinsAccess22.png|400px]]
+
[[image:JenkinsAccess22.png|600px]]
 
<BR>
 
<BR>
  +
Если создать фолдер javaFolder то можно убедиться что к нему у пользователя test доступа не будет
   
 
=Ссылки=
 
=Ссылки=

Текущая версия на 14:55, 14 декабря 2016


Создание ролей в Jenkins

В Jenkins права распределяются немного "заморочено". Лично до меня дошло не с первого раза, по-тому и появилась эта заметка.


Установить нужные плагины

Можно обойтись только одним плагином role-strategy, но тогда придется следить за именами job и при переименовании права могут ломаться. По этой причине лучше сразу же использовать совместно с плагином role-strategy

role-strategy

java -jar /var/cache/jenkins/war/WEB-INF/jenkins-cli.jar  -s http://127.0.0.1:8080/ install-plugin  "role-strategy" --username  admin --password r00tme
Installing cloudbees-folder from update center

cloudbees-folder

java -jar /var/cache/jenkins/war/WEB-INF/jenkins-cli.jar  -s http://127.0.0.1:8080/ install-plugin  "cloudbees-folder" --username  admin --password r00tme
Installing cloudbees-folder from update center

Перезапуск Jenkins

После установки этих плагинов требуется перезапуск:

java -jar /var/cache/jenkins/war/WEB-INF/jenkins-cli.jar  -s http://127.0.0.1:8080/   safe-restart  --username  admin --password r00tme

Настройка прав доступа

Уже существуют 2 группы пользователей в LDAP:

  • cicd_users
  • cicd_administrators

Нужно назначать ограниченные права для группы cicd_users

Создать folder

Тут - проще сделать используя веб-интерфейс чем CLI, так-как create-item принимает на вход XML который еще требуется написать. Как один из вариантов - использовать конфигурацию существующей job.

Новый Item

Создать новый элемент - выбрать пункт New Item
JenkinsAccess1.png

Выбрать имя и задать тип элемента - Folder
JenkinsAccess2.png

Сохранить пока-что пустой Folder
JenkinsAccess3.png

Ожидаемый результат:
JenkinsAccess4.png

Поместить в него job

Создаем новый Job внутри Folder
Тип: FreeStyle
JenkinsAccess5.png

Добавить Build Step: Execute shell.
Это нужно для того что бы тестовая Job-а делала хоть что-то.
JenkinsAccess6.png
Простейший тестовый код - вывести переменные окружения.


JenkinsAccess7.png
Результат - есть Folder и внутри него существует Job
JenkinsAccess8.png

Назначение прав

В разделе Manage Jenkins перейти к Manage and Assign Roles


JenkinsAccess9.png



JenkinsAccess10.png

Создание ролей

В разделе Manage and Assign Roles требуется создать роли - для этого перейти в раздел Manage Roles


Создать 2 глобальные роли

  • Админ с полным доступом
  • overall/Read - глобальная роль которая имеет только право на чтение глобально

(overall/Read - это название привилегии в Jenkins и роль которая владеет только этой привилегией названа точно так же)


JenkinsAccess11.png

Создать 2 проектные роли:

  • pythonFolder c паттерном "pythonFolder"
  • pythonFolderChilds c паттерном "pythonFolder/.*"


Первая роль обеспечивает доступ к фолдеру, вторая - к содержимому


JenkinsAccess12.png

JenkinsAccess13.png

Назначение ролей группе пользователей

Перейти в раздел Assign Roles


JenkinsAccess14.png

Добавить Global Role overall/read для группы cicd_users. (Без этой роли пользователи этой группы не смогут читать никакие job - будет сообщение о том что не назначена эта роль)




JenkinsAccess15.png

Назначить группе cicd_users роли pythonFolder и pythonFolderChilds
JenkinsAccess16.png


JenkinsAccess17.png

Проверка ролей

Требуется логин под пользователем test или любым другим из группы cicd_users.
рекомендуется использовать другой браузер что бы не делать постоянный перелогин
Если назначена роль pythonFolder но не назначена pythonFolderChilds то фолдер видно, но его содержимое - нет.

JenkinsAccess18.png
Содержимое фолдера не видно:
JenkinsAccess19.png

Для того что бы видеть в том числе и содержимое - проверить/добавить если не добавлена роль pythonFolderChilds
JenkinsAccess20.png

После чего содержимое фолдера становится доступно:
JenkinsAccess21.png
Согласно политики, у пользователя из группы cicd_users есть права на запуск job но нет более никаких прав.
JenkinsAccess22.png
Если создать фолдер javaFolder то можно убедиться что к нему у пользователя test доступа не будет

Ссылки