freeipa 与jenkins的集成

背景:

参照:Freeipa的简单搭建配置,完成一下与jenkins的简单集成,用户组与权限的简单配置!

freeipa 与jenkins的集成

先说一下实现目标与规划:

  1. jenkins 项目任务区分以环境开头qa-xxx是qa 服务器任务 develop-xxx为开发环境任务,当然了还可以有master-xxx master环境任务!这里主要是演示验证。仅演示develop qa两个实例任务!

freeipa 与jenkins的集成_第1张图片

  1. 关于用户 主要拿了三个测试 zhangpeng tanyuqiang huozhongaho(自己名字跟两个小伙伴的名字,经常拿来各种测试祸害了)。要实现A 用户zhangpeng 管理员 ,B用户tanyuqiang可以执行develop qa任务,C用户huozhonghao只能执行develop任务(任务的编辑添加新建先忽略)
  2. 关于授权肯定还是jenkins Role-based Authorization Strategy插件,如果设置用户授权,每添加一个用户还要授权一次?freeipa尝试一下组的概念!

    freeipa创建用户~用户组

    freeipa创建用户组

    组的规划是准备这样的:创建三个用户组jenkins jenkins-qa jenkins-develop:
    freeipa 控制台页面用户组添加:
    freeipa 与jenkins的集成_第2张图片
    freeipa 与jenkins的集成_第3张图片
    freeipa 与jenkins的集成_第4张图片
    将jenkins-qa jenkins-develop组加入jenkins组,套娃一下:
    freeipa 与jenkins的集成_第5张图片
    freeipa 与jenkins的集成_第6张图片

    freeipa创建用户,并将用户加入用户组:

    创建zhangpeng tanyuqiang huozhonghao三个用户:
    freeipa 与jenkins的集成_第7张图片
    freeipa 与jenkins的集成_第8张图片
    freeipa 与jenkins的集成_第9张图片

jenkins用户组中 将zhangpeng用户设置为jenkins member managers:
freeipa 与jenkins的集成_第10张图片
freeipa 与jenkins的集成_第11张图片
freeipa 与jenkins的集成_第12张图片
将tanyuqiang huozhonghao 加入jenkins-develop组:
freeipa 与jenkins的集成_第13张图片
将tanyuqiang用户加入jenkins-qa组:
freeipa 与jenkins的集成_第14张图片

jenkins集成freeipa

安装启动jenkins

关于jenkins的安装我是直接本地启动了一个容器:

mkdir -p /data/jenkins/jenkins_home
docker run -itd --name jenkins -p 8080:8080 -p 50000:50000 -e JAVA_OPTS="-Dorg.apache.commons.jelly.tags.fmt.timeZone='Asia/Shanghai'" --privileged=true  --restart=always -v /data/devops5/jenkins_home:/var/jenkins_home jenkins/jenkins:2.387.1-lts-jdk11

image.png

docker logs -f jenkins

freeipa 与jenkins的集成_第15张图片

chmod 777 -R /data/jenkins/jenkins_home/
docker restart jenkins
docker logs -f  jenkins

freeipa 与jenkins的集成_第16张图片
web登陆jenkins服务器输入日志中的bf4052ecfdae48edbff5xxx 或者在 /var/jenkins_home/secrets/initialAdminPassword中找到
image.png
freeipa 与jenkins的集成_第17张图片
进入插件安装页面:
freeipa 与jenkins的集成_第18张图片
为了节省时间只安装了Localization: Chinese (Simplified) Pipeline Role-based Authorization Strategy LDAP插件
freeipa 与jenkins的集成_第19张图片
等待ing
freeipa 与jenkins的集成_第20张图片
初始化了admin用户
freeipa 与jenkins的集成_第21张图片
保存完成:
freeipa 与jenkins的集成_第22张图片
就绪,开始使用jenkins:
freeipa 与jenkins的集成_第23张图片

jenkins创建测试任务:

创建两个测试认识qa-111 develop-111(两个前缀标识,区分对应jenkins组方便授权!)
freeipa 与jenkins的集成_第24张图片
freeipa 与jenkins的集成_第25张图片
freeipa 与jenkins的集成_第26张图片

jenkins配置ldap

系统管理-全局安全配置:
freeipa 与jenkins的集成_第27张图片
修改安全域,选择ldap:
freeipa 与jenkins的集成_第28张图片
ldap相关配置:
freeipa 与jenkins的集成_第29张图片
freeipa 与jenkins的集成_第30张图片
测试ldap 配置:
freeipa 与jenkins的集成_第31张图片
保存:
freeipa 与jenkins的集成_第32张图片
使用ldap zhangpeng用户测试登陆:
freeipa 与jenkins的集成_第33张图片现在ldap用户登陆了是都可以做任何事的,下面配置一下权限!

启用Role-Based Stragegy授权策略

系统管理-全局安全配置-授权策略-Role-Based Stragegy 保存
freeipa 与jenkins的集成_第34张图片
freeipa 与jenkins的集成_第35张图片
freeipa 与jenkins的集成_第36张图片
刷新一下其他浏览器登陆的ldap用户zhangpeng 发现没有全部/Read权限
freeipa 与jenkins的集成_第37张图片

配置Role-Based Stragegy 策略

系统管理-Manage and Assign Roles
freeipa 与jenkins的集成_第38张图片
Manage Roles 管理角色
freeipa 与jenkins的集成_第39张图片
管理角色:
Global roles:
freeipa 与jenkins的集成_第40张图片
Add 添加jenkins-develop jenkins-qa role给了read权限!
Item roles
role to add 添加jenkins-develop role Pattern 匹配了 develop.jenkins-qa role Pattern 匹配了 qa. 具体权限按需来,为这里都设置了任务的build cancel Didcover Read 视图read
freeipa 与jenkins的集成_第41张图片
Assign Roles
Global roles Add group jenkins-qa 对应 jenkins-qa role jenkins-develop对应jenkins-develop role
freeipa 与jenkins的集成_第42张图片
Item roles也这样: jenkins-develop 用户组对应role jenkins-develop jenkins-qa用户组 对应role jenkins-qa
freeipa 与jenkins的集成_第43张图片

验证用户权限:

其他浏览器(火狐浏览器)登陆huozhonghao用户,控制台只能发现develop-111任务,运行点击develop-111任务可以运行符合预期:freeipa 与jenkins的集成_第44张图片

登陆tanyuqiang用户可以发现develop-111 qa-111任务可运行符合
freeipa 与jenkins的集成_第45张图片
but 登陆zhangpeng 用户是没有权限的,因为只针对了jenkins 组下两个子用户进行了授权!虽然他是组的管理员,他只能在freeips控制台管理jenkins组下的用户以及自权限
freeipa 与jenkins的集成_第46张图片

接着出来的问题:

火狐浏览器登陆admin账户无法登陆了用上面我们初始化jenkins生成的密码,且我们并没有将zhangpeng用户设置为管理员,怎么破?
使用freeipa admin 用户名密码登陆:
freeipa 与jenkins的集成_第47张图片
当然了这里最好的是对zhangpeng用户进行admin授权:
freeipa 与jenkins的集成_第48张图片
刷新火狐浏览器zhangpeng用户拥有Administer权限:
freeipa 与jenkins的集成_第49张图片
也可以Manage and Assign Roles 这里管理角色创建一个角色zhangpeng 绑定Administer权限,然后zhangpeng 用户绑定zhangpeng 角色!这个完全可以看自己的习惯喜好,进行个性化配置!

你可能感兴趣的:(freeipa 与jenkins的集成)