一、Jenkins 的用户权限管理

我们可以利用Role-based Authorization Strategy 插件来管理Jenkins用户权限

1、安装Role-based Authorization Strategy插件

2、开启权限全局安全配置

授权策略切换为"Role-Based Strategy"，保存

3、创建角色

点击 Manage Jenkins ，找到 Manage and Assign Roles 管理和分配角色选项

点击 Manage Role ，进行管理角色，添加角色，修改角色权限

角色介绍:

Global roles（全局角色）：管理员等高级用户可以创建基于全局的角色

Project roles（项目角色）： 针对某个或者某些项目的角色 ,在老版本里，项目角色叫做project roles

Slave roles（奴隶角色）：节点相关的权限

我们添加以下三个角色：

baseRole：该角色为全局角色。这个角色需要绑定Overall下面的Read权限，是为了给所有用户绑定最基本的Jenkins问权限。注意：如果不给后续用户绑定这个角色，会报错误：用户名 is missing the Overall/Read permission

role1：该角色为项目角色。使用正则表达式绑定"apple.*"，意思是只能操作apple开头的项目。

role2：该角色也为项目角色。绑定"orange.*"，意思是只能操作orange开头的项目。

添加项目角色

添加完角色后，点击Save保存

4、创建用户

点击Manage Jenkins，在系统管理页面进入 Manage Users

分别创建两个用户：jack 和 kali

5、给用户分配角色

系统管理页面进入Manage and Assign Roles，点击Assign Roles

绑定规则如下：

• kali用户分别绑定baseRole和role1角色
• jack用户分别绑定baseRole和role2角色

将 jack 和 kali 用户加入到 项目角色分配列表中

为 jack 和 kali 分配项目角色 jack 和Role1 绑定, kali 和 Role2绑定

• jack 用户只能查看到 apple 开头的项目
• kali 用户只能查看到orange开头的项目

6、创建项目,测试权限

以管理员账创建两个项目,分别为apple01 和orange01

点击 New Item,新建项目

分别使用不同用户登录:

• jack 用户登录只能看到 apple01 项目
• kali 用户登录只能看到 orange01 项目

二、Jenkins 凭证管理

Jenkins 是通过本地 git 复制远程 gitlab 的方式获取gitlab中的数据，

过程如下：

开发人员将代码推送到本地git，然后和远程的 gitlab 服务器复制，这样远程的gitlab服务器就获取到了开发人员本地的git数据

之后Jenkins服务器的本地 git 复制远程gitlab服务器的数据，通过git 插件推送给 Jenkins 服务

凭据可以用来存储需要密文保护的数据库密码、Gitlab密码信息、Docker私有仓库密码等，以便Jenkins可以和这些第三方的应用进行交互。

1、安装 Credentials Binding 插件

要在Jenkins使用凭证管理功能，需要安装Credentials Binding插件

安装插件后，点击Manage Jenkins，能够看到 Manage Credentials 和 凭据配置，如没有出现，重新安装插件重启即可

2、安装 git 插件和 git 工具

为了让Jenkins支持从Gitlab拉取源码，需要安装Git插件以及在CentOS7上安装Git工具。

Jenkins 服务器 192.168.10.20 上安装 git

yum -y install git

git --version   #安装后查看git版本

3、Jenkins 的5种凭证类型

点击 Manage Jenkins，进入Manage Credentials

添加的凭证有5种：

• Username with password：用户名和密码
• SSH Username with private key： 使用SSH用户和密钥
• Secret file：需要保密的文本文件，使用时Jenkins会将文件复制到一个临时目录中，再将文件路径设置到一个变量中，等构建结束后，所复制的Secret file就会被删除。
• Secret text：需要保存的一个加密的文本串，如钉钉机器人或Github的api token
• Certificate：通过上传证书文件的方式

常用的凭证类型有：Username with password（用户密码）和SSH Username with private key（SSH密钥）

4、创建用户密码类型

创建凭证

Jenkins-->Manage Jenkins-->Manage Credentials -->global -->Add Credentials

5、测试凭证是否可用

创建一个 FreeStyle 项目

New Item --->FreeStyle Project--->确定

点击Build Now ,开始构建项目

6、在Jenkins服务器上查看

7、SSH 密钥类型

SSH免密登录示意图

在Jenkins服务器上,使用root 用户生成密钥对

ssh-keygen -t rsa
ls /root/.ssh/
#id_rsa：私钥文件
#id_rsa.pub：公钥文件

把生成的公钥放在Gitlab中

以root账户登录gitlab--->点击头像--->Settings->SSH Keys

粘贴公钥到Gitlab上

在Jenkins中添加凭证，配置私钥

Manage Jenkins ---> Manage Credentails --->global --->Add Credentials

注意 Username 项填写的是生成密钥对的用户

在Jenkins服务器上复制私钥

测试凭证是否可用

新建"test02"项目->源码管理->Git，这次要使用Gitlab的SSH连接，并且选择SSH凭证

 在 Jenkins 服务器上查看