AP
nohup sshuttle ..... &
пробовал. не прокатило
пробовал. не прокатило
Size: a a a
2021 June 29
пробовал. не прокатило
OL
Спасибо
DS
https://plugins.jenkins.io/authorize-project
Вот этот плагин.
Выглядит вот так
https://i.ibb.co/jrbfbqV/image.png
В доках job dsl об этом узнал: https://github.com/jenkinsci/job-dsl-plugin/wiki/Script-Security
Вот этот плагин.
Выглядит вот так
https://i.ibb.co/jrbfbqV/image.png
В доках job dsl об этом узнал: https://github.com/jenkinsci/job-dsl-plugin/wiki/Script-Security
S
Еще проблема такая. Фронт апач, делаю basic auth.
Если без этого, то все ок проксирует, если с ним, то
Т.е. дженкинсу что-то не нравится, непонятно, что?
ProxyPass /jenkins http://0.0.0.0:8080/jenkins
ProxyPassReverse / http://0.0.0.0:8080/jenkins
<Proxy *>
Order deny,allow
Allow from all
AuthType Basic
AuthName "Password Required"
AuthUserFile /etc/httpd/conf/.htpasswd
Require valid-user
</Proxy>
Если без этого, то все ок проксирует, если с ним, то
HTTP ERROR 401 Unauthorized
URI: /jenkins/
STATUS: 401
MESSAGE: Unauthorized
SERVLET: Stapler
Powered by Jetty:// 9.4.39.v20210325
Т.е. дженкинсу что-то не нравится, непонятно, что?
JR
В логах что?
S
кого
JR
Дженкинс и апача надо начать с логов
S
у апач все ок, дженкинс сек
S
Он ничего не пишет
[root@fedora-s-1vcpu-1gb-ams3-01 conf]# tail -f /var/log/jenkins/jenkins.log
2021-06-29 19:00:55.066+0000 [id=30] INFO jenkins.InitReactorRunner$1#onAttained: System config loaded
2021-06-29 19:00:55.297+0000 [id=30] INFO jenkins.InitReactorRunner$1#onAttained: System config adapted
2021-06-29 19:00:55.301+0000 [id=30] INFO jenkins.InitReactorRunner$1#onAttained: Loaded all jobs
2021-06-29 19:00:55.355+0000 [id=30] INFO jenkins.InitReactorRunner$1#onAttained: Configuration for all jobs updated
2021-06-29 19:00:55.407+0000 [id=43] INFO hudson.model.AsyncPeriodicWork#lambda$doRun$0: Started Download metadata
2021-06-29 19:00:55.431+0000 [id=43] INFO hudson.model.AsyncPeriodicWork#lambda$doRun$0: Finished Download metadata. 18 ms
2021-06-29 19:00:55.701+0000 [id=30] INFO jenkins.InitReactorRunner$1#onAttained: Completed initialization
2021-06-29 19:00:55.760+0000 [id=23] INFO hudson.WebAppMain$3#run: Jenkins is fully up and running
2021-06-29 19:31:37.981+0000 [id=63] INFO hudson.model.AsyncPeriodicWork#lambda$doRun$0: Started Periodic background build discarder
2021-06-29 19:31:37.992+0000 [id=63] INFO hudson.model.AsyncPeriodicWork#lambda$doRun$0: Finished Periodic background build discarder. 7 ms
N
а зачем вообще basic auth на апаче и почему нельзя использовать внутренний механизм jenkins я просто не в теме
JR
Люди любят секс
N
но это больше похоже на что то другое … бессмысленное
nginx как реверс прокси для ssl ofloading
auth через internal security или ldap/ad
nginx как реверс прокси для ssl ofloading
auth через internal security или ldap/ad
JR
Ну ssl все таки лучше на nginx, а вот с авторизацией Jenkins прекрасно справляется не поспоришь
DS
так nginx тоже умеет basic auth. Причем он делает заголовки, который jenkins понимает и авторизует пользователя
Но в целом ldap/ad сам jenkins умеет
Но в целом ldap/ad сам jenkins умеет
DS
Apache мне кажется тут имеет смысл выкинуть
JR
Сжечь
S
Спасибо огромное, такой вот конфиг помог
<Proxy "*">
Order deny,allow
Allow from all
Authtype BASIC
AuthName "Please sign in with your Apache user name and password"
# file created with htpasswd
AuthUserFile /usr/local/apache2/conf/passwd
Require valid-user
# Remove these header before to set the right value after, it prevent the client from setting this header
RequestHeader unset "X-Forwarded-User"
RequestHeader unset "X-Forwarded-Groups"
# Remove the basic authorization header to avoid to use it in Jenkins
RequestHeader unset "Authorization"
# Adds the X-Forwarded-User header that indicates the current user name.
# this portion came from http://old.nabble.com/Forcing-a-proxied-host-to-generate-REMOTE_USER-td2911573.html#a2914465
RewriteEngine On
# User to use to login in Jenkins
RequestHeader set "X-Forwarded-User" "%{RU}e"
# Groups are separated by |
RequestHeader set "X-Forwarded-Groups" "%{RU}e|users"
# strip the REALM of Kerberos Login
# RequestHeader edit X-Forwarded-User "@REALM$" ""
# see the Apache documentation on why this has to be lookahead
RewriteCond %{LA-U:REMOTE_USER} (.+)
# this actually doesn't rewrite anything. what we do here is to set RU to the match above
# "NS" prevents flooding the error log
RewriteRule .* - [E=RU:%1,NS]
</Proxy>
N
так я это и написал nginx как реверс прокси с ssl потом все запроси идут с nginx на jenkins по http и авторизация уже через внутрений модуль в jenkins или через ldap/ad plugin там же в jenkins
DS
боже
фанат apache, ну окей =) Круто что работает
фанат apache, ну окей =) Круто что работает