jenkins全局安全设置

         如何进入安全设置界面

         在Jenkins的主界面，点击 configure Global Security 选项，进入Jenkins的系统安全设置界面。安全界面以下图。在这里咱们分别介绍各个选项的功能。

 

         启用安全

         启用安全，若是启动此项,你必须使用用户名/密码登陆才能配置和执行构建,若是Jenkins在内网环境(或者是一个"可信任"的环境),一般会禁用此项,以便项目开发人员可以配置他们本身的项目,而不用麻烦管理员.若是Jenkins暴露在公网环境,你最好启用此项.Jenkins若是在一个不安全的环境下可能会遭到黑客的攻击. 
         当咱们选择启用安全时，页面中会展开不少的东西，以下图所示：在增长的内容中，有如下几项（若是安装了其余插件，可能会出现的更多，这里再也不介绍）。

         JNLP节点代理的TCP端口

         Jenkins使用一个TCP端口和JNLP节点代理通信. 一般这个端口号是随机选取的,以免冲突,可是这对于系统来讲是不固定的.若是不使用JNLP节点代理, 推荐禁用TCP端口.另外一种选择就是指定一个不变的端口号,以便防火墙作对应的设置. 这里若是没有出现问题，建议不要更改，直接默认随机选取就能够了。

         Disable remember me

         选择此选项将删除“记住我在这台计算机上的登陆”复选框。每次输入用户名密码都必须手动输入，而不能让浏览器记住用户名和密码。

         访问控制

         接下来就是最重要的访问控制了。这里的设置可给Jenkins的用户设置权限，使某些用户没法使用某些共能，或者直接没法登入系统。

         访问控制有两个子选项：1.安全域。2.受权策略。

         安全域说的是用什么做为工具去控制用户的访问，这里的工具我目前理解的也不深入，就不误导你们了，您若是也是新手的话，直接选择其中的“Jenkins专有用户数据库 ”这一项，而且将容许用户注册选项选中便可。

         另外一个是受权策略，受权策略是给用户分配具体的权限的。共有五个选项：

1.任何用户能够作任何事(没有任何限制) 不执行任何受权,任何人都能彻底控制Jenkins,这包括没有登陆的匿名用户. 
这种状况对于可信任的环境(好比公司内网)很是有用,或者你只是使用受权作一些个性化的支持.这样的话,若是某人想快速的更改Jenkins,他就可以避免被强制登陆. ；

2.安全矩阵 ，在这种受权模型中,你能够经过一个大的表格来配置什么用户能够作什么事. 
每一列表明一个权限.把鼠标移动到权限名称上能够查看更详细的权限说明信息. 
每一行表明一个用户或组(一般称为'角色',取决于安全域.),这其中包含特殊用户'anonymous',其表明未登陆用户,一样还有'authenticated',其表明全部已认证的用户(也就是除了匿名用户的全部用户.) 可使用表格下方的输入框来添加新的用户/组/角色到表格中,而且能够点击[x]图标将其从表格中删除. ；

3.登陆用户能够作任何事，这种受权模式下,每一个登陆用户都持有对Jenkins的所有控制权限.只有匿名用户没有所有控制权,匿名用户只有查看权限. 
这种受权模式的好处是强制用户登陆后才能执行操做,这样你能够随时记录谁都作了什么操做.这种设置也适用于公共使用的Jenkins,只有你信任的人才拥有帐户. ；

4.遗留模式 ，适用于Jenkins1.164之前的版本.也就是说,若是你是"admin"角色,那么你将拥有Jenkins的一切控制权,其它角色(包括匿名用户) 只有查看权限. 

5.项目矩阵受权策略 ，这个受权模型扩展自"安全矩阵",容许把下面的ACL(访问控制列表)矩阵附加到每一个项目定义中(在Job配置页面). 
这容许你宣布相似这样的声明"约翰可以访问A,B和C,可是不能访问D."

这里建议你们使用安全矩阵。选中安全矩阵，出现以下界面：

         在添加用户/组的后面输入已经存在的用户的用户名，点击添加，而后在表的相应位置选中相应的功能赋值给用户。

         Markup Formatter

         选择job description写的html代码是显示代码仍是显示html源码。选择raw HTML的时候，显示的是本身写的源代码。选择escaped HTML的时候，显示的是html的源码。

         防止跨站点请求伪造

         跨站点请求伪造(或CSRF/XSRF)，它是一种利用你的身份经过未经受权的第三方手段在网站上执行操做.对于Jenkins进行删除任务,构建或者更改配置. 当启用此项,Jenkins会检查临时生成的值,以及任何致使Jenkins服务器改变的请求.这包括任何形式的提交和远程API调用. 

         Enable Slave → Master Access Control

          容许子节点控制父节点，具体有哪些权限能够被子节点控制。能够在一个经过点击rules can be tweaked here 这句话中的here来设置。如图所示：