Jenkins - 用户及权限

Jenkins本地用户

Jenkins默认使用“Jenkins专有用户数据库”来进行管理

本地用户列表

新建用户需要填写用户名、密码、全名等。

LDAP 认证集成

Jenkins的系统用户来源支持多种方式，在大规模用户场景下，通过LDAP认证实现用户统一登录是常见的方式。

LDAP 简介

LDAP （lightweight directory access protocol，轻量级目录访问协议）是一种成熟、灵活且支持良好的、基于标准的与目录服务器交互的机制。
通常用于身份验证和存储有关用户、组和应用程序的信息，采用 LDAP 系统管理组织中的所有用户是常用的方式。

获取LDAP信息

需要的信息：LDAP服务器地址、用户组织信息、具有查询权限的用户

LDAP 插件

Jenkins 可以通过插件LDAP Plugin与 LDAP 系统集成，实现用户登入。

更改全局配置

Dashboard --》Manage Jenkins --》Security --》Authentication --》Security Realm，选择 LDAP

根据提示填写信息

• Server、root DN、User search base、User search filter、Group search base、Group search filter等
• Manager DN、Manager Password、Display Name LDAP attribute、displayname、Email Address LDAP attribute等

重启

配置完成后重启Jenkins Server使LDAP生效，然后使用LDAP用户登录。

权限管理

• Jenkins可以为每个项目组配置权限，减少错误触发的情况
• 项目的规范标准是进行高效权限管理的基础：命名规则、群组划分等
• Jenkins提供多个类别的权限管理方式
• Jenkins可以通过集成Role-based Authorization Strategy 插件进行权限管理

Role-based Authorization Strategy 插件

更改全局安全配置

Dashboard --》Manage Jenkins --》Security --》Authorization

管理和分配角色

Dashboard --》Manage Jenkins --》Manage and Assign Roles
依次在Manage Roles页面和Assign Roles页面创建和授权 Global roles 和 Item roles
Note: Item roles 匹配的是项目名称。

凭据管理

Jenkins与其他系统集成和交互需要用到凭据（credentials）

Credentials 插件

使用Credentials Plugin插件管理账号密码信息可以实现加密存储，而且不会在日志中输出

配置凭据

Credentials Plugin安装完成后，可以进入到Credentials页面
Dashboard --》Manage Jenkins --》Credentials

默认存在global域，点击"global"可以查看到当前域的所有凭据信息

点击Add Credentials可以创建凭据，根据需要和提示来选择和填写相关信息
创建完成后，可以在Dashboard --》Manage Jenkins --》Credentials页面查看到创建完成的凭据。