SVNプラグインによるジョブごとのクレデンシャル管理について

400 views
Skip to first unread message

eiich...@gmail.com

unread,
Oct 13, 2011, 10:03:35 PM10/13/11
to jenkin...@googlegroups.com
MLのみなさんこんにちは。
巽といいます。

SVNプラグインによるジョブごとの認証情報保管について教えてください。

現在、SCMとしてSubversionを利用しており、SVNプラグイン経由でアクセスしています。
SVNプラグインの仕様では、Subversionリポジトリにアクセスするための認証情報を
ジョブごとに保管可能ですが、この認証情報を保管するためには「Administor」権限が
必要ではないでしょうか?

こちらの環境では、RoleBased-Strategyプラグインの利用にて開発者の権限はジョブに
対してのみに限定しようと考えておりますが、この仕様ですと開発者にAdministor権限を
渡さないとSubversionリポジトリへのアクセス設定ができないことになります。

確かに管理者がリポジトリへのアクセス設定を一括登録しても対応可能ですが、認証情報の
管理と変更・削除への対応が必要なため、実施したくないのが本音です。(^^;)

皆様どのようにされてますでしょうか??

巽英一郎

Mu 六ツ崎 賢志 (オープンソリューション技術課)

unread,
Oct 13, 2011, 11:21:56 PM10/13/11
to jenkin...@googlegroups.com
巽さん
先日クレデンシャル管理で質問した六ツ崎といいます。

>SVNプラグインの仕様では、Subversionリポジトリにアクセスするための認証情報を
>ジョブごとに保管可能
ここは微妙に違ってて
[HUDSON_HOME]/ hudson.scm.SubversionSCM.xml
を見ると接続先ごとにクレデンシャルを保存しているように見えます。
ジョブが違っても「既存の接続先が登録してあればそれを使う」動きをしていますので
実際にはジョブを作るたびに認証情報を入力しなければいけないというわけでもないと思います。

________________________________________
From: jenkin...@googlegroups.com [mailto:jenkin...@googlegroups.com] On Behalf Of eiich...@gmail.com
Sent: Friday, October 14, 2011 11:04 AM
To: jenkin...@googlegroups.com
Subject: [jenkinsci-ja:227] SVNプラグインによるジョブごとのクレデンシャル管理について

kooo96

unread,
Oct 14, 2011, 6:25:15 AM10/14/11
to jenkin...@googlegroups.com
こんにちは.K96 です.

うちも同じ問題をかかえていて困っています.

簡単に言えば,


> [HUDSON_HOME]/ hudson.scm.SubversionSCM.xml
> を見ると接続先ごとにクレデンシャルを保存しているように見えます。
> ジョブが違っても「既存の接続先が登録してあればそれを使う」動きをしていますので
> 実際にはジョブを作るたびに認証情報を入力しなければいけないというわけでもないと思います。

は余計なお世話で,「ジョブ作成者がジョブごとにクレデンシャルを設定したい」のですが…
理由は同じ接続先でも Subversion アカウントごとに権限がちがったり,サブディレクトリごとに権限設定している場合があるからです.

先日 #jenkinsspa で @kohsukekawa さんや @ssogabe に直接聞いてみたのですが,
svnkit がらみで簡単ではないかも… といったお話でした.

もし皆さんで何か情報お持ちでしたらぜひお願いします.


2011年10月14日12:21 Mu 六ツ崎 賢志 (オープンソリューション技術課) <muts...@techmatrix.co.jp>:

--
@kuhcrow

Seiji Sogabe

unread,
Oct 14, 2011, 10:22:31 AM10/14/11
to jenkin...@googlegroups.com
曽我部です。

Jenkins温泉合宿でも、ジョブごとに認証を設定したいという要望は
聞きました。

あまりソースはみていないですが、
 ・認証情報をJobの作成あたりの権限を持っていれば可能にする。
・ジョブごとに認証情報を設定できるようにする。
 ・できれば互換性を保つ
あたりで考えてみます。

#時間と能力不足でできないかもしれませんが、、、

でわ。

2011年10月14日19:25 kooo96 <koo...@gmail.com>:

--
s.sogabe at gmail.com

K96

unread,
Oct 15, 2011, 12:46:57 AM10/15/11
to 日本Jenkinsユーザー会
K96 です.

ありがとうございます.
何か協力できればいいんですが…

@kuhcrow

On 10月14日, 午後11:22, Seiji Sogabe <s.sog...@gmail.com> wrote:
> 曽我部です。
>
> Jenkins温泉合宿でも、ジョブごとに認証を設定したいという要望は
> 聞きました。
>
> あまりソースはみていないですが、
>  ・認証情報をJobの作成あたりの権限を持っていれば可能にする。
> ・ジョブごとに認証情報を設定できるようにする。
>  ・できれば互換性を保つ
> あたりで考えてみます。
>
> #時間と能力不足でできないかもしれませんが、、、
>
> でわ。
>
> 2011年10月14日19:25 kooo96 <koo...@gmail.com>:
>
>
>
>
>
>
>
>
>
> > こんにちは.K96 です.
>
> > うちも同じ問題をかかえていて困っています.
>
> > 簡単に言えば,
> >> [HUDSON_HOME]/ hudson.scm.SubversionSCM.xml
> >> を見ると接続先ごとにクレデンシャルを保存しているように見えます。
> >> ジョブが違っても「既存の接続先が登録してあればそれを使う」動きをしていますので
> >> 実際にはジョブを作るたびに認証情報を入力しなければいけないというわけでもないと思います。
>
> > は余計なお世話で,「ジョブ作成者がジョブごとにクレデンシャルを設定したい」のですが…
> > 理由は同じ接続先でも Subversion アカウントごとに権限がちがったり,サブディレクトリごとに権限設定している場合があるからです.
>
> > 先日 #jenkinsspa で @kohsukekawa さんや @ssogabe に直接聞いてみたのですが,
> > svnkit がらみで簡単ではないかも… といったお話でした.
>
> > もし皆さんで何か情報お持ちでしたらぜひお願いします.
>
> > 2011年10月14日12:21 Mu 六ツ崎 賢志 (オープンソリューション技術課) <mutsuz...@techmatrix.co.jp>:
> >> 巽さん
> >> 先日クレデンシャル管理で質問した六ツ崎といいます。
>
> >>>SVNプラグインの仕様では、Subversionリポジトリにアクセスするための認証情報を
> >>>ジョブごとに保管可能
> >> ここは微妙に違ってて
> >> [HUDSON_HOME]/ hudson.scm.SubversionSCM.xml
> >> を見ると接続先ごとにクレデンシャルを保存しているように見えます。
> >> ジョブが違っても「既存の接続先が登録してあればそれを使う」動きをしていますので
> >> 実際にはジョブを作るたびに認証情報を入力しなければいけないというわけでもないと思います。
>
> >> ________________________________________
> >> From: jenkin...@googlegroups.com [mailto:jenkin...@googlegroups.com] On Behalf Of eiichiro...@gmail.com

eiich...@gmail.com

unread,
Oct 18, 2011, 10:27:24 PM10/18/11
to jenkin...@googlegroups.com
六ツ崎さん K96さん 曽我部さん

質問者の巽です。
返信が遅くなり申し訳ありません。

まさしく、K96さんが書かれているのと同じ状況でこちらでも悩んでおります。
六ツ崎さんが書かれているjenkins全体の設定も利用可能なのですが、
過去設定された他部門の権限でアクセスできるのも困った問題です。

また、「Administor」権限が無いと認証情報を作成できないのも、開発者の
権限を制限した運用を目指す当方としてはツラいです。

曽我部さんが書かれているように、
> ・認証情報をJobの作成あたりの権限を持っていれば"作成"可能にする。
が実装されれば、私の希望はかないそうです。

ただし、下記2点は現在のバージョンでも実現されているとの認識です。
(1)全体だけではなく、ジョブごとに認証情報を設定できる。
 (2)認証情報の取得はa)~c)のようになる。
  a)ジョブごとの認証/全体での認証が両方設定されていれば、ジョブごとの認証が優先される。
  b)ジョブごとの認証/全体での認証のどちらか一方が設定されていれば、それを利用する。
  c)ジョブ/全体どちらの認証も設定されていなければアクセス不可。

曽我部さんは上記の確認も含めて下記2点を追記いただけたのかと想像しました。
> ・ジョブごとに認証情報を設定できるようにする。
> ・できれば互換性を保つ

お忙しいとは思いますが実装をお願いできれば幸いです。

何かお手伝いできれば良いのですが・・

巽英一郎

K96

unread,
Oct 20, 2011, 12:00:36 AM10/20/11
to 日本Jenkinsユーザー会
K96です。

1つだけ追加希望です。
d)全体での認証情報を無効にするオプション

全体での認証情報があると、そのSubversion URLだけわかれば、
そこにアクセスするジョブが誰でも作れてしまうので。

P.S.
このあたりの問題のまとめとディスカッションのための wiki ページを Securing Jenkins の下に作ってみました。
https://wiki.jenkins-ci.org/display/JENKINS/Security+Problems+relating+to+Job+Execution

関連の問題やご意見があればどんどんご利用ください。
日本語でも誰かが訳してくれると思います。

ではまた。
@kuhcrow


On 10月19日, 午前11:27, eiichiro...@gmail.com wrote:
> 六ツ崎さん K96さん 曽我部さん
>
> 質問者の巽です。
> 返信が遅くなり申し訳ありません。
>
> まさしく、K96さんが書かれているのと同じ状況でこちらでも悩んでおります。
> 六ツ崎さんが書かれているjenkins全体の設定も利用可能なのですが、
> 過去設定された他部門の権限でアクセスできるのも困った問題です。
>
> また、「Administor」権限が無いと認証情報を作成できないのも、開発者の権限を制
> 限した運用を目指す当方としてはツラいです。
>
> 曽我部さんが書かれているように、> ・認証情報をJobの作成あたりの権限を持っていれば"作成"可能にする。

Seiji Sogabe

unread,
Oct 21, 2011, 10:32:54 AM10/21/11
to jenkin...@googlegroups.com
曽我部です。

認証情報を設定できる権限ですが、JIRAにも登録[1]されていたので、
ジョブを設定できる権限(CONFIGURE)があれば設定できるように修正しておきました。
2行の修正ですが。

[1] https://issues.jenkins-ci.org/browse/JENKINS-11415


でわ。

2011年10月20日13:00 K96 <koo...@gmail.com>:

--
s.sogabe at gmail.com

Reply all
Reply to author
Forward
0 new messages