Answers:
最简单的解决方案是完全禁用安全-变化true给false在/var/lib/jenkins/config.xml文件中。
<useSecurity>true</useSecurity>
然后只需重新启动詹金斯,
sudo service jenkins restart
然后转到管理面板并再次设置所有内容。
如果您以为是从docker在k8s pod中运行Jenkins,这是我的情况,并且无法运行service命令,那么您可以通过删除pod来重新启动Jenkins:
kubectl delete pod <jenkins-pod-name>
发出命令后,k8将终止旧的pod并开始一个新的pod。
sudo service jenkins restart
find / -name "config.xml" 在您的终端中使用config.xml 。
另一种方法是手动为您的用户编辑配置文件(例如/var/lib/jenkins/users/username/config.xml)并更新passwordHash的内容:
<passwordHash>#jbcrypt:$2a$10$razd3L1aXndFfBNHO95aj.IVrFydsxkcQCcLmujmFQzll3hcUrY7S</passwordHash>
完成此操作后,只需重新启动Jenkins并使用以下密码登录:
test
<passwordHash>XML标签的孩子<hudson.security.HudsonPrivateSecurityRealm_-Details>。查看默认的admin用户以了解总体XML结构。
我在/ var / lib / jenkins中找到了问题文件config.xml,对此文件进行了修改,从而解决了该问题。
/Applications/jenkins-2.19.3-0/apps/jenkins/jenkins_home/users/admin/config.xml
中的<passwordHash>元素users/<username>/config.xml将接受格式的数据
salt:sha256("password{salt}")
因此,如果您使用的是盐,bar而密码是,foo则可以这样生成SHA256:
echo -n 'foo{bar}' | sha256sum
您应该得到7f128793bc057556756f4195fb72cdc5bd8c5a74dee655a6bfb59b4a4c4f4349结果。将哈希值和盐一起放入<passwordHash>:
<passwordHash>bar:7f128793bc057556756f4195fb72cdc5bd8c5a74dee655a6bfb59b4a4c4f4349</passwordHash>
重新启动Jenkins,然后尝试使用password登录foo。然后将您的密码重置为其他密码。(Jenkins默认情况下使用bcrypt,并且一轮SHA256并不是安全的密码存储方式。重置密码后,您将获得bcrypt哈希存储。)
在El-Capitan 中找不到config.xml
/ var / lib / jenkins /
它可用在
〜/ .jenkins
然后像其他提到的那样打开config.xml文件并进行以下更改
在此替换<useSecurity>true</useSecurity>为<useSecurity>false</useSecurity>
删除<authorizationStrategy>并<securityRealm>
保存并重启jenkins(sudo service jenkins restart)
修改的答案是正确的。但是,/var/lib/jenkins/config.xml如果您激活了“基于项目的矩阵授权策略” ,那么我认为应该看起来像这样。删除/var/lib/jenkins/config.xml并重新启动詹金斯也可以解决问题。我也删除了用户,/var/lib/jenkins/users从头开始。
<authorizationStrategy class="hudson.security.ProjectMatrixAuthorizationStrategy">
<permission>hudson.model.Computer.Configure:jenkins-admin</permission>
<permission>hudson.model.Computer.Connect:jenkins-admin</permission>
<permission>hudson.model.Computer.Create:jenkins-admin</permission>
<permission>hudson.model.Computer.Delete:jenkins-admin</permission>
<permission>hudson.model.Computer.Disconnect:jenkins-admin</permission>
<!-- if this is missing for your user and it is the only one, bad luck -->
<permission>hudson.model.Hudson.Administer:jenkins-admin</permission>
<permission>hudson.model.Hudson.Read:jenkins-admin</permission>
<permission>hudson.model.Hudson.RunScripts:jenkins-admin</permission>
<permission>hudson.model.Item.Build:jenkins-admin</permission>
<permission>hudson.model.Item.Cancel:jenkins-admin</permission>
<permission>hudson.model.Item.Configure:jenkins-admin</permission>
<permission>hudson.model.Item.Create:jenkins-admin</permission>
<permission>hudson.model.Item.Delete:jenkins-admin</permission>
<permission>hudson.model.Item.Discover:jenkins-admin</permission>
<permission>hudson.model.Item.Read:jenkins-admin</permission>
<permission>hudson.model.Item.Workspace:jenkins-admin</permission>
<permission>hudson.model.View.Configure:jenkins-admin</permission>
<permission>hudson.model.View.Create:jenkins-admin</permission>
<permission>hudson.model.View.Delete:jenkins-admin</permission>
<permission>hudson.model.View.Read:jenkins-admin</permission>
</authorizationStrategy>
如果使用矩阵权限(很容易适应其他登录方法),则要在不禁用安全性的情况下重置它:
config.xml,设置disableSignup为false。config.xml,复制其中<permission>hudson.model.Hudson.Administer:username</permission>一行,并username用新用户替换。disableSignup重新设置为truein config.xml。可选清理:
<permission>行config.xml。在此回答期间,没有证券受到损害。
要在Linux中的简单步骤中禁用Jenkins安全性,请运行以下命令:
sudo ex +g/useSecurity/d +g/authorizationStrategy/d -scwq /var/lib/jenkins/config.xml
sudo /etc/init.d/jenkins restart
它会删除useSecurity,并authorizationStrategy从您的线条config.xml根的配置文件,然后重新启动您的詹金斯。
另请参阅:在詹金斯网站上禁用安全性
获得对Jenkins的访问权限后,您可以通过选择Access Control / Security Realm在“ 配置全局安全性”页面中重新启用安全性。之后,别忘了创建admin用户。
在偶然的情况下,由于权限错误,您意外地将自己锁定在Jenkins之外,并且您没有服务器端访问权限以切换到jenkins用户或root用户。
sed -i 's/<useSecurity>true/<useSecurity>false/' ~/config.xml
然后单击立即构建并重新启动Jenkins(如果需要,请重新启动服务器!)
ProjectMatrixAuthorization。进行更改并重新启动Jenkins时,我在Jenkins-UI中看到Java异常。为了解决这个问题,我也删除了与该行,authorizationStrategy这又可以了。詹金斯(Jenkins)在下一个开始时将其读为空标签。
我们可以在保持安全性的同时重置密码。
/ var / lib / Jenkins / users / admin /中的config.xml文件的行为类似于/ etc / shadow文件Linux或类似UNIX的系统或Windows中的SAM文件,因为它存储了帐户的密码。
如果您需要不登录而重设密码,则可以编辑此文件,并将旧的哈希替换为从bcrypt生成的新哈希:
$ pip install bcrypt
$ python
>>> import bcrypt
>>> bcrypt.hashpw("yourpassword", bcrypt.gensalt(rounds=10, prefix=b"2a"))
'YOUR_HASH'
这将输出带有前缀2a的哈希,这是Jenkins哈希的正确前缀。
现在,编辑config.xml文件:
...
<passwordHash>#jbcrypt:REPLACE_THIS</passwordHash>
...
插入新的哈希后,重置Jenkins:
(如果您在使用systemd的系统上):
sudo systemctl restart Jenkins
您现在可以登录,并且没有让系统保持打开状态一秒钟。
1首先检查位置,如果您安装了war或Linux或基于Windows的Windows
例如,如果在Linux和管理员用户之间进行战争
/home/“User_NAME”/.jenkins/users/admin/config.xml
在#jbcrypt之后转到此标签:
<passwordHash>#jbcrypt:$2a$10$3DzCGLQr2oYXtcot4o0rB.wYi5kth6e45tcPpRFsuYqzLZfn1pcWK</passwordHash>
使用任何网站的bcrypt哈希生成器更改此密码
https://www.dailycred.com/article/bcrypt-calculator
确保它以$ 2a开头,因为这一个jenkens使用
sudo su -xclip -sel clip < /var/lib/jenkins/secrets/initialAdminPasswordctrl + v密码输入框。$ sudo apt-get install xclip詹金斯通过KUBENETES和Docker
在的情况下,詹金斯在通过管理的容器Kubernetes POD是因为更复杂一点:kubectl exec PODID --namespace=jenkins -it -- /bin/bash你会允许直接访问到运行詹金斯容器,但你没有root访问权限,sudo,vi和许多命令不可用,因此解决方法是必需的。
使用kubectl describe pod [...]查找运行你盘上的节点和容器ID(docker://...)
SSH 进入节点docker exec -ti -u root -- /bin/bash以Root特权访问容器apt-get updatesudo apt-get install vim第二个区别是Jenkins配置文件放置在与永久卷的安装点相对应的不同路径中,即/var/jenkins_home,此位置将来可能会更改,请检查其运行情况df。
然后禁用安全性-在/var/jenkins_home/jenkins/config.xml文件中将true更改为false 。
<useSecurity>false</useSecurity>
现在,足以重新启动Jenkins,该操作将导致容器和Pod死亡,由于持久的卷,它将在几秒钟内再次创建,并更新了配置(并删除了vi,update等所有机会)。
整个解决方案已在Google Kubernetes Engine上进行了测试。
UPDATE
请注意,ps -aux即使没有超级用户访问权限,也可以纯文本形式显示密码。
jenkins@jenkins-87c47bbb8-g87nw:/$ps -aux
[...]
jenkins [..] -jar /usr/share/jenkins/jenkins.war --argumentsRealm.passwd.jenkins=password --argumentsRealm.roles.jenkins=admin
[...]
很多时候,您将无权编辑config.xml文件。
最简单的方法是config.xml使用sudo命令退回并删除。
使用以下命令重新启动詹金斯 sudo /etc/init.d/jenkins restart
这将禁用Jenkins中的所有安全性,并且登录选项将消失
使用bcrypt可以解决此问题。为尝试使用bash和python自动化过程的人扩展@Reem答案。
#!/bin/bash
pip install bcrypt
yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install xmlstarlet
cat > /tmp/jenkinsHash.py <<EOF
import bcrypt
import sys
if not sys.argv[1]:
sys.exit(10)
plaintext_pwd=sys.argv[1]
encrypted_pwd=bcrypt.hashpw(sys.argv[1], bcrypt.gensalt(rounds=10, prefix=b"2a"))
isCorrect=bcrypt.checkpw(plaintext_pwd, encrypted_pwd)
if not isCorrect:
sys.exit(20);
print "{}".format(encrypted_pwd)
EOF
chmod +x /tmp/jenkinsHash.py
cd /var/lib/jenkins/users/admin*
pwd
while (( 1 )); do
echo "Waiting for Jenkins to generate admin user's config file ..."
if [[ -f "./config.xml" ]]; then
break
fi
sleep 10
done
echo "Admin config file created"
admin_password=$(python /tmp/jenkinsHash.py password 2>&1)
# Repalcing the new passowrd
xmlstarlet -q ed --inplace -u "/user/properties/hudson.security.HudsonPrivateSecurityRealm_-Details/passwordHash" -v '#jbcrypt:'"$admin_password" config.xml
# Restart
systemctl restart jenkins
sleep 10
我在这里将密码硬编码,但是根据需要它可以是用户输入。还请确保添加sleep其他内容,否则围绕Jenkins进行的任何其他命令都将失败。
要非常简单地禁用安全性和启动向导,请使用JAVA属性:
-Djenkins.install.runSetupWizard=false
这样做的好处是,您可以在Docker映像中使用它,这样您的容器将始终在没有登录屏幕的情况下立即启动:
# Dockerfile
FROM jenkins/jenkins:lts
ENV JAVA_OPTS -Djenkins.install.runSetupWizard=false
请注意,正如其他人所提到的,Jenkins config.xml位于/var/jenkins_home映像中,但是sed用于从Dockerfile对其进行修改失败,因为(大概)直到服务器启动,config.xml才存在。
我遇到了类似的问题,在收到ArtB的回复后,
我发现我的用户没有正确的配置。所以我做了什么:
注意:手动修改此类XML文件存在风险。自行承担风险。由于我已经被锁定在外,因此我没有太多损失。AFAIK最坏的情况是,我会删除〜/ .jenkins / config.xml文件,就像之前提到的那样。
**> 1. SSH到詹金斯机
- cd〜/ .jenkins(我猜有些安装将它放在/var/lib/jenkins/config.xml下,但在我看来不是)
- vi config.xml,并在authorizationStrategy xml标记下添加以下部分(仅使用我的用户名而不是“ put-your-username”)
- 重新启动詹金斯。在我的情况下,作为根服务tomcat7停止;; 服务tomcat7启动
- 尝试再次登录。(为我工作)**
下
加:
<permission>hudson.model.Computer.Build:put-your-username</permission>
<permission>hudson.model.Computer.Configure:put-your-username</permission>
<permission>hudson.model.Computer.Connect:put-your-username</permission>
<permission>hudson.model.Computer.Create:put-your-username</permission>
<permission>hudson.model.Computer.Delete:put-your-username</permission>
<permission>hudson.model.Computer.Disconnect:put-your-username</permission>
<permission>hudson.model.Hudson.Administer:put-your-username</permission>
<permission>hudson.model.Hudson.ConfigureUpdateCenter:put-your-username</permission>
<permission>hudson.model.Hudson.Read:put-your-username</permission>
<permission>hudson.model.Hudson.RunScripts:put-your-username</permission>
<permission>hudson.model.Hudson.UploadPlugins:put-your-username</permission>
<permission>hudson.model.Item.Build:put-your-username</permission>
<permission>hudson.model.Item.Cancel:put-your-username</permission>
<permission>hudson.model.Item.Configure:put-your-username</permission>
<permission>hudson.model.Item.Create:put-your-username</permission>
<permission>hudson.model.Item.Delete:put-your-username</permission>
<permission>hudson.model.Item.Discover:put-your-username</permission>
<permission>hudson.model.Item.Read:put-your-username</permission>
<permission>hudson.model.Item.Workspace:put-your-username</permission>
<permission>hudson.model.Run.Delete:put-your-username</permission>
<permission>hudson.model.Run.Update:put-your-username</permission>
<permission>hudson.model.View.Configure:put-your-username</permission>
<permission>hudson.model.View.Create:put-your-username</permission>
<permission>hudson.model.View.Delete:put-your-username</permission>
<permission>hudson.model.View.Read:put-your-username</permission>
<permission>hudson.scm.SCM.Tag:put-your-username</permission>
现在,您可以转到不同的方向。例如,我有github oauth集成,因此我可以尝试用以下内容替换authorizationStrategy:
注意:,它在我的情况下有效,因为我已经配置了特定的github oauth插件。因此,它比以前的解决方案更具风险。
<authorizationStrategy class="org.jenkinsci.plugins.GithubAuthorizationStrategy" plugin="github-oauth@0.14">
<rootACL>
<organizationNameList class="linked-list">
<string></string>
</organizationNameList>
<adminUserNameList class="linked-list">
<string>put-your-username</string>
<string>username2</string>
<string>username3</string>
<string>username_4_etc_put_username_that_will_become_administrator</string>
</adminUserNameList>
<authenticatedUserReadPermission>true</authenticatedUserReadPermission>
<allowGithubWebHookPermission>false</allowGithubWebHookPermission>
<allowCcTrayPermission>false</allowCcTrayPermission>
<allowAnonymousReadPermission>false</allowAnonymousReadPermission>
</rootACL>
</authorizationStrategy>