如何在CentOS上管理Jenkins用户

在CentOS上管理Jenkins用户的完整流程

1. 准备Jenkins基础环境

在CentOS上管理Jenkins用户前，需确保Jenkins已正确安装并运行。若未安装，可通过以下命令快速部署：

# 添加Jenkins官方YUM源 sudo wget -O /etc/yum.repos.d/jenkins.repo https://pkg.jenkins.io/redhat-stable/jenkins.repo sudo rpm --import https://pkg.jenkins.io/redhat-stable/jenkins.io.key # 安装Jenkins及依赖 sudo yum install -y jenkins java-11-openjdk-devel # 启动Jenkins服务并设置开机自启 sudo systemctl start jenkins sudo systemctl enable jenkins 

访问http://<CentOS服务器IP>:8080，按提示完成初始设置（默认管理员账号为admin，初始密码位于/var/lib/jenkins/secrets/initialAdminPassword）。

2. 启用Jenkins安全配置

默认情况下，Jenkins未启用安全机制，需通过以下步骤开启：

• 登录Jenkins管理界面，点击顶部导航栏Manage Jenkins → Configure Global Security。
• 在Security Realm（安全域）部分，选择Jenkins’ own user database（Jenkins专用用户数据库），取消勾选Allow users to sign up（允许用户自行注册）（如需管理员手动创建用户）。
• 在Authorization（授权策略）部分，选择Matrix-based security（矩阵式安全）或Role-Based Strategy（基于角色的策略）（推荐后者，适用于复杂团队）。
• 勾选Overall → Administer（全局管理权限）给管理员账号（如初始的admin），保存配置。

3. 创建Jenkins用户

通过管理界面手动创建用户（若已禁用自行注册）：

• 点击Manage Jenkins → Manage Users → Create User。
• 填写用户信息：
  • Username：用户名（如dev_user）；
  • Password：密码（建议使用强密码）；
  • Full Name：用户全名（如“Development Team User”）；
  • Email Address：邮箱地址（可选，用于通知）。
• 点击Create User完成创建。

4. 配置用户权限（基于角色的策略，推荐）

为实现细粒度权限控制，需安装并配置Role-based Authorization Strategy插件：

• 安装插件：
  点击Manage Jenkins → Manage Plugins → Available标签页，搜索“Role-based Authorization Strategy”，点击Install without restart（无需重启）。
• 启用角色策略：
  进入Manage Jenkins → Configure Global Security，在Authorization部分选择Role-Based Strategy，点击Save。
• 创建角色：
  点击Manage Jenkins → Manage and Assign Roles → Manage Roles，分别创建以下角色：
  • Global Roles（全局角色）：
    • admin：分配Overall → Administer（全局管理权限，可管理Jenkins所有功能）；
    • viewer：分配Overall → Read（仅查看权限，可访问项目但不修改）。
  • Item Roles（项目角色）：
    • developer：设置项目正则表达式（如dev-.*，匹配所有以dev-开头的项目），分配Job → Build（构建权限）、Job → Cancel（取消权限）、Job → Read（查看权限）；
    • tester：设置项目正则表达式（如test-.*，匹配所有以test-开头的项目），分配Job → Read（查看权限）、Job → Console Output（查看控制台输出权限）。
• 分配角色给用户：
  进入Manage and Assign Roles → Assign Roles，在Global roles部分将admin角色分配给管理员账号（如admin），将viewer角色分配给需要查看权限的用户；在Item roles部分将developer角色分配给开发人员账号（如dev_user），将tester角色分配给测试人员账号（如test_user）。

5. 验证权限设置

• 使用dev_user账号登录Jenkins，尝试访问dev-*开头的项目（应能构建、查看），访问test-*开头的项目（应无权限）。
• 使用tester_user账号登录Jenkins，尝试访问test-*开头的项目（应能查看控制台输出），访问dev-*开头的项目（应无权限）。
• 使用admin账号登录Jenkins，尝试管理用户、修改全局配置（应能正常操作）。

6. 可选：调整Jenkins运行用户及文件权限

Jenkins默认以jenkins用户身份运行，需确保该用户对Jenkins目录有正确的访问权限：

# 查看Jenkins运行用户 ps aux | grep jenkins | grep -v grep # 修改Jenkins目录所有者（若用户为jenkins） sudo chown -R jenkins:jenkins /var/lib/jenkins sudo chown -R jenkins:jenkins /var/cache/jenkins sudo chown -R jenkins:jenkins /var/log/jenkins # 若需修改Jenkins运行用户（如改为apache），需编辑/etc/sysconfig/jenkins sudo vim /etc/sysconfig/jenkins # 修改以下行 JENKINS_USER="apache" JENKINS_GROUP="apache" # 重启Jenkins sudo systemctl restart jenkins 

注意：修改运行用户后，需确保新用户对Jenkins目录有读写权限，避免服务异常。

通过以上步骤，可在CentOS上完成Jenkins用户的创建、权限分配及验证，确保团队成员仅能访问其职责范围内的资源，提升系统安全性。