Subversion の アカウントについて

[Mu 六ツ崎 賢志 （オープンソリューション技術課）]

はじめまして、六ツ崎と申します。

Subversion Pluginを利用してソース管理をしています。

 

質問なのですが

■Jenkinsに紐付けられるSVNアカウントは1アプリに付き1ユーザーでしょうか？

社内の複数プロジェクトをJenkinsで管理していますが、

部署ごとに閲覧権限が異なります。

 

プロジェクトの編集画面「ソースコード管理システム」に閲覧権限の異なるリポジトリを追加した場合

権限が無いことでアカウントの変更を促されますが、ここで変更すると全プロジェクトのSVNアカウントが変更されてしまうようです。

 

全てのリポジトリを閲覧できるユーザーはセキュリティ上好ましくないので

なにか回避方法がありましたらご教示願います。

現在は複数のJenkinsアプリを起動する、もしくはJenkins管理するPJのみ閲覧権限を緊急付与する運用にて回避しています。

 

[Kohsuke Kawaguchi]

現在のバージョンでは、ジョブ毎にクレデンシャルを記憶しているので、お使い
になっているように個々のユーザーがリポジトリの一部しか読めないような状況
でも使えるようになっているはずです。これに関してはテストもあるのでひどく
壊れているということはないはずです。

ジョブごとのクレデンシャルとは別に、Jenkins全体でも中央でリポジトリごと
にひとつクレデンシャルを記憶しており、新しいジョブではこれを使おうとします。

メールを拝見した感じでは予期したとおりに動いていないようですが、もし可能
であればテスト用にローカルで起動して、もう少し詳しい再現手順をお教えいた
だければ幸いです。

ジョブごとにクレデンシャルを記憶して中央のクレデンシャルは一切使わない
モード、みたいな感じに陽に設定できたほうがユーザーの混乱は避けられるのか
もしれませんね。このへんは再考の余地がありそうです。

On 06/30/2011 07:26 PM, Mu 六ツ崎 賢志 （オープンソリューション技術課）
wrote:

--
Kohsuke Kawaguchi | CloudBees, Inc. | http://cloudbees.com/

[Mu 六ツ崎 賢志 （オープンソリューション技術課）]

川口さん

確認してみたところバージョン1.18からジョブごとの
クレデンシャル管理が追加されているみたいですね。
ご指摘ありがとうございます。

使用しているバージョンを確認したところ1.17だったので
最新のバージョンで確認したところジョブごとのアカウント管理が可能になっていました。

実はサブプロジェクトとして最新版も使っていたのですが、入力フォームに特に代わりがなかったので未対応と思い込んでいました。

お騒がせしてすみません。

[K96]

こんばんは．

> ジョブごとのクレデンシャルとは別に、Jenkins全体でも中央でリポジトリごと
> にひとつクレデンシャルを記憶しており、新しいジョブではこれを使おうとします。

SVN プラグインがやろうとしていることが，やっと分かりました…

なおうちでは，SVN プラグインは使うのですが，クレデンシャルは SVN プラグインで設定せず，
一度スレーブユーザーでログインしてsvn コマンドで ~/.subversion をセットしてしまうようにしています．
これでもいいのでしょうか？
（以前これをＳＶＮプラグインが上書きしてしまうトラブルがあったようですが，現在はＯＫのようです）

それと，そもそも「ジョブ毎にクレデンシャルを記憶」にセキュリティ上の意味があるのでしょうか？
そのジョブと同じスレーブで動く別ジョブを作って，ビルドスクリプトで元のジョブのワークスペースを見に行けば（たぶん普通チェックアウトされている）
ソースファイルが見えてしまうのでは？

またSVNに限らず， ジョブさえ作れば rm -rf ~/* とか，そのスレーブの実行ユーザーでできることはすべてできてしまうのでは？
「プロジェクトごとに権限設定」では，スレーブごとにそのスレーブを使用する権限（ジョブをビルドする権限）が必要と思うのですが…

K96