jenkins全局安全設置

         如何進入安全設置界面

         在Jenkins的主界面，點擊 configure Global Security 選項，進入Jenkins的系統安全設置界面。安全界面如下圖。在這裏我們分別介紹各個選項的功能。

 

         啓用安全

         啓用安全，如果啓動此項,你必須使用用戶名/密碼登錄才能配置和執行構建,如果Jenkins在內網環境(或者是一個"可信任"的環境),通常會禁用此項,以便項目開發人員能夠配置他們自己的項目,而不用麻煩管理員.如果Jenkins暴露在公網環境,你最好啓用此項.Jenkins如果在一個不安全的環境下可能會遭到黑客的攻擊. 
         當我們選擇啓用安全時，頁面中會展開很多的東西，如下圖所示：在增加的內容中，有以下幾項（如果安裝了其他插件，可能會出現的更多，這裏不再介紹）。

         JNLP節點代理的TCP端口

         Jenkins使用一個TCP端口和JNLP節點代理通訊. 通常這個端口號是隨機選取的,以避免衝突,但是這對於系統來說是不固定的.如果不使用JNLP節點代理, 推薦禁用TCP端口.另一種選擇就是指定一個不變的端口號,以便防火牆做對應的設置. 這裏如果沒有出現問題，建議不要更改，直接默認隨機選取就可以了。

         Disable remember me

         選擇此選項將刪除“記住我在這臺計算機上的登錄”複選框。每次輸入用戶名密碼都必須手動輸入，而不能讓瀏覽器記住用戶名和密碼。

         訪問控制

         接下來就是最重要的訪問控制了。這裏的設置可給Jenkins的用戶設置權限，使某些用戶無法使用某些共能，或者直接無法登入系統。

         訪問控制有兩個子選項：1.安全域。2.授權策略。

         安全域說的是用什麼作爲工具去控制用戶的訪問，這裏的工具我目前理解的也不深刻，就不誤導大家了，您如果也是新手的話，直接選擇其中的“Jenkins專有用戶數據庫 ”這一項，並且將允許用戶註冊選項選中即可。

         另一個是授權策略，授權策略是給用戶分配具體的權限的。共有五個選項：

1.任何用戶可以做任何事(沒有任何限制) 不執行任何授權,任何人都能完全控制Jenkins,這包括沒有登錄的匿名用戶. 
這種情況對於可信任的環境(比如公司內網)非常有用,或者你只是使用授權做一些個性化的支持.這樣的話,如果某人想快速的更改Jenkins,他就能夠避免被強制登錄. ；

2.安全矩陣 ，在這種授權模型中,你可以通過一個大的表格來配置什麼用戶可以做什麼事. 
每一列代表一個權限.把鼠標移動到權限名稱上可以查看更詳細的權限說明信息. 
每一行代表一個用戶或組(通常稱爲'角色',取決於安全域.),這其中包含特殊用戶'anonymous',其代表未登錄用戶,同樣還有'authenticated',其代表所有已認證的用戶(也就是除了匿名用戶的所有用戶.) 可以使用表格下方的輸入框來添加新的用戶/組/角色到表格中,並且可以點擊[x]圖標將其從表格中刪除. ；

3.登錄用戶可以做任何事，這種授權模式下,每個登錄用戶都持有對Jenkins的全部控制權限.只有匿名用戶沒有全部控制權,匿名用戶只有查看權限. 
這種授權模式的好處是強制用戶登錄後才能執行操作,這樣你可以隨時記錄誰都做了什麼操作.這種設置也適用於公共使用的Jenkins,只有你信任的人才擁有賬戶. ；

4.遺留模式 ，適用於Jenkins1.164以前的版本.也就是說,如果你是"admin"角色,那麼你將擁有Jenkins的一切控制權,其它角色(包括匿名用戶) 只有查看權限. 

5.項目矩陣授權策略 ，這個授權模型擴展自"安全矩陣",允許把下面的ACL(訪問控制列表)矩陣附加到每個項目定義中(在Job配置頁面). 
這允許你宣佈類似這樣的聲明"約翰能夠訪問A,B和C,但是不能訪問D."

這裏建議大家使用安全矩陣。選中安全矩陣，出現如下界面：

         在添加用戶/組的後面輸入已經存在的用戶的用戶名，點擊添加，然後在表的相應位置選中相應的功能賦值給用戶。

         Markup Formatter

         選擇job description寫的html代碼是顯示代碼還是顯示html源碼。選擇raw HTML的時候，顯示的是自己寫的源代碼。選擇escaped HTML的時候，顯示的是html的源碼。

         防止跨站點請求僞造

         跨站點請求僞造(或CSRF/XSRF)，它是一種利用你的身份通過未經授權的第三方手段在網站上執行操作.對於Jenkins進行刪除任務,構建或者更改配置. 當啓用此項,Jenkins會檢查臨時生成的值,以及任何導致Jenkins服務器改變的請求.這包括任何形式的提交和遠程API調用. 

         Enable Slave → Master Access Control

          允許子節點控制父節點，具體有哪些權限可以被子節點控制。可以在一個通過點擊rules can be tweaked here 這句話中的here來設置。如圖所示：