jenkinsでLDAP認証とジョブごとの権限設定
jenkinsは便利ですが、最初の「とりあえずやってみようぜ」的な流れのまま、
そこそこ危険なジョブも誰でも実行できたりと権限周りがアレな状態なので整理してみました。
なので、認証はLDAPを使い、LDAPのグループで大まかな権限設定行い、
細かいのはジョブごとに権限設定してみました。
バージョン
Jenkins 1.598
LDAP Plugin 1.11
LDAP認証設定
普通にGUIから設定
設定項目 | 内容 | 例 |
サーバー | LDAPサーバー(必要あればポートも) | 10.9.**.*** |
root DN | 検索するroot | dc=hoge_ldap |
Group search base | 検索対象のグループ | ou=hoge_Group |
Group search filter | 検索グループフィルター | cn=*_hoge |
※最初は権限管理を「全員に許可」にしておいてから、LDAPログインできるか確認する。
もし設定に不備があると、ログインできなくなる可能性があります。
その場合、/var/lib/jenkins/config.xmlを直接修正する必要があります。
グループごとの権限設定
グループごとの権限設定は、Jenkins -> Jenkinsの管理 -> グローバルセキュリティの設定から行います
- 権限管理 -> 行列による権限設定(プロジェクト単位)にチェックを入れる
- 対象のグループごとに権限を設定(ここの設定でおおまかな設定を行い、後述のジョブごとの設定で細かい設定を行う)
ジョブごとの権限設定
- 各ジョブの設定 -> 権限設定(プロジェクト単位)の有効化をチェックする
- ここでジョブごとにグループの権限を設定します。
これで取り急ぎ、誰でも何でもできるとかjenkinsだけユーザ作るとかは必要なくなりそうです。
感謝致します。