Google-Authentifizierung für Gerrit und Jenkins

Jenkins und Gerrit haben beide plugins für OpenID 2.0, aber diese API ist mittlerweile veraltet, die von Google 19. Mai 2014 (https://developers.google.com/accounts/docs/OpenID) macht es unmöglich für die neue installation zu nutzen und bestehende Anlagen müssen die Migration auf OAuth2.0(OpendID verbinden). Wenn Sie versuchen, zu verwenden OpenID 2.0 erhalten Sie die Fehlermeldung "error 400: OpenID-auth-Anforderung enthält eine nicht registrierte domain".

Den Gerrit-team ist das problem bekannt aber keine Lösung bisher:
https://code.google.com/p/gerrit/issues/detail?id=2677

Nicht sicher über Jenkins.

  • Passen die Erwartungen von einem Q&Eine Seite, es sollte eine Frage hier. Vielleicht hätte mir geholfen zu verstehen, was Ihre Antwort enthielt.
InformationsquelleAutor revau.lt | 2014-10-06
  1. 12

    Update 2014/11/05: Für diejenigen, die hier den ersten Platz, Lesen Sie auf unten. Dank hans-zandbelt für das feedback. Es ist integriert in der aktuellen version. Das setup verwendet nun die Verbesserungen vorgeschlagen und verwendet nur mod_rewrite umleiten der gerrit logout-url an der richtigen Stelle. Beachten Sie auch, dass anstatt nur mit der non-domain-Teil der E-Mail die E-Mail ist unverändert zum Einsatz. Dies bedeutet, dass, wenn Sie geschehen, um eine bestehende Installation müssen Sie Benutzernamen ändern Zuordnungen.

    Für Jenkins Folgendes tun:

    • move ${jenkins_home}/Benutzer/youruser zu ${jenkins_home}/Benutzer/youruser@yourdomain
    • öffnen ${jenkins_home}/config.xml Suche nach "youruser" und ersetzen mit youruser@yourdomain

    Für Gerrit:

    entweder an der Maschine selbst (ändern GERRIT_HOME, wo Sie es auf Ihrer Maschine):

    • öffnen Sie die sql-Datenbank mit einer der beiden folgenden Methoden:

      1. [Empfohlen] Entweder durch die gerrit Befehl über ssh:

        ssh  gerrit.revault.ch gerrit  gsql

      2. ODER auf der Maschine selbst (ändern GERRIT_HOME, wo Sie es auf Ihrer Maschine):

        export GERRIT_HOME=/var/gerrit_home
pushd ${GERRIT_HOME}
java -cp $(find . -name "h2*.jar") org.h2.tools.Shell -url "jdbc:h2:file:${GERRIT_HOME}/db/ReviewDB;IFEXISTS=TRUE"

    • externen 

      select * from ACCOUNT_EXTERNAL_IDS;

    • den externen ids anzeigen Ihr Konto, um die verschiedenen Nutzernamen, E-Mails usw.

    • diejenigen vorangestellt Benutzername: z.B. username:[email protected] für ssh /git login-Namen
    • diejenigen vorangestellt gerrit: z.B. gerrit:[email protected] verwendet werden für die web-Schnittstelle

    • für einen bestimmten account_id, können Sie einfach fügen Sie neue Zuordnungen für die bestehenden Benutzer, die mit sql: z.B.

      insert into ACCOUNT_EXTERNAL_IDS values(1000032, NULL,NULL, 'username:[email protected]');
insert into ACCOUNT_EXTERNAL_IDS values(1000032, NULL,NULL, 'gerrit:[email protected]');

    Lösung

    Können Sie einen Apache als reverse-proxy-handling-Authentifizierung für Sie:

    Gerrit

    Vorausgesetzt, dass Sie bereits installiert haben Gerrit und überwacht-Adresse 10.10.10.10:8080.
    Sie müssen zum konfigurieren gerrit, die Standardauthentifizierung zu verwenden, die [auth] Abschnitt in Ihrem
    ${gerrit_installation}/etc/gerrit.config sollte so Aussehen:

    [gerrit]
        basePath = git
        canonicalWebUrl = http://gerrit.example.com
[database]
        type = h2
        database = db/ReviewDB
[index]
        type = LUCENE
[auth]
        type = HTTP
        emailFormat = {0}@example.com
        httpHeader =  X-Forwarded-User
[sendemail]
        smtpServer = localhost
[container]
        user = gerrit
        javaHome = /usr/lib/jvm/java-8-oracle/jre
[sshd]
        listenAddress = 10.10.10.10:2222
[httpd]
        listenUrl = http://10.10.10.10:8080/
[cache]
        directory = cache

    Wird der Benutzername in der Kopfzeile X-Forwarded-Benutzer. Das ist, wie Apache leiten den Benutzernamen
    zu Gerrit.

    Auf Apache verwenden wir mod_auth_openidc die Unterstützung für oauth2. Für weitere Informationen und
    Beispiel docs finden https://github.com/pingidentity/mod_auth_openidc. Auf einer aktuellen Ubuntu-installation
    sieht wie folgt aus:

    sudo aptitude install libjansson-dev apache2 apache2-dev libcurl4-openssl-dev build-essential autoconf libhiredis-dev

git clone https://github.com/pingidentity/mod_auth_openidc.git
cd mod_auth_openidc
./autogen.sh 
./configure
make
sudo make install

sudo a2enmod auth_openidc
sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod headers
sudo a2enmod rewrite

    Müssen Sie eine Konfigurationsdatei, z.B. gerrit.conf ähnlich dem unten (Sie werden wahrscheinlich möchten von TLS, die auch in /etc/apache2/sites-available an und aktivieren Sie ihn mit:

    sudo a2ensite gerrit.conf

    Die Datei /etc/apache2/sites-available/gerrit.conf sieht wie folgt aus:

    <VirtualHost *:80>
ServerName gerrit.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

OIDCProviderMetadataURL https://accounts.google.com/.well-known/openid-configuration
OIDCClientID <from api console>
OIDCClientSecret <from api console>

OIDCScope "openid email profile"
OIDCRedirectURI http://gerrit.example.com/oauth2callback
OIDCCryptoPassphrase <generate long random passphrase here, no sure if used>

OIDCSessionInactivityTimeout 600

OIDCCookiePath /

OIDCAuthRequestParams hd=example.com
OIDCRemoteUserClaim email
OIDCAuthNHeader X-Forwarded-User

RewriteEngine On
#LogLevel alert rewrite:trace2
RewriteRule ^/logout$ /oauth2callback?logout=http://gerrit.example.com/[R]

ProxyPass / http://gerrit.example.com:8080/nocanon
ProxyPassReverse /http://gerrit.example.com:8080/
ProxyRequests     Off
AllowEncodedSlashes NoDecode


<Proxy http://gerrit.example.com:8080/*>
# add rewrites here if necessary
</Proxy>

<Location />
   AuthType openid-connect
   Require claim hd:example.com
   Require valid-user
</Location>

</VirtualHost>

    In Auftrag, um die Parameter OIDCClientID und OIDCClientSecret gehen Sie auf die api-Konsole unter https://console.developers.google.com/project. Die Anmeldeinformationen werden im Rahmen eines Projekts, wenn Sie noch nicht ein Projekt erstellen zuerst. E. g. Beispiel-es-Authentifizierung

    Google-Authentifizierung für Gerrit und Jenkins

    Auf dem Projekt gehen Sie zu APIs & auth:

    • Unter-APIs aktivieren Sie die Google+ - API. Google-Authentifizierung für Gerrit und Jenkins
    • Unter Anmeldeinformationen, OAuth create new Client ID. Google-Authentifizierung für Gerrit und Jenkins
    • Füllen OIDCClientID und OIDCClientSecret in der apache config (z.B. gerrit.conf) Google-Authentifizierung für Gerrit und Jenkins
    • Unter Zustimmung Bildschirm ausfüllen E-Mail-und Produkt-Namen (Sie erhalten eine Fehlermeldung, wenn Sie nicht)

    service apache2 restart

    Sollten Sie getan werden!

    Jenkins

    Vorausgesetzt, dass Sie bereits installiert haben Jenkins und es hört auf 10.10.10.11:8080.

    Für Jenkins die Konfiguration ist fast identisch. Sie müssen Sie installieren und aktivieren Sie die Reverse-Proxy-Auth-Plugin http://wiki.jenkins-ci.org/display/JENKINS/Reverse+Proxy+Auth+Plugin. Unter Konfigurieren der Globalen Sicherheits-check der "HTTP-Header von reverse-proxy" - radio.
    Google-Authentifizierung für Gerrit und Jenkins

    Die default-Werte entsprechen der Konfiguration unten. Sie müssen Anmeldeinformationen, die passend zu den jenkins hostname in der api-Konsole https://console.developers.google.com/project. Melden Sie Ihre Konfiguration vor (z.B. jenkins.conf). Das sollte alles sein.

    <VirtualHost *:80>
ServerName jenkins.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

OIDCProviderMetadataURL https://accounts.google.com/.well-known/openid-configuration
OIDCClientID <from api console>
OIDCClientSecret <from api console>

OIDCScope "openid email profile"
OIDCRedirectURI http://jenkins.example.com/oauth2callback
OIDCCryptoPassphrase <generate long random passphrase here, no sure if used>

OIDCSessionInactivityTimeout 600

OIDCCookiePath /

OIDCAuthRequestParams hd=example.com
OIDCRemoteUserClaim email
OIDCAuthNHeader X-Forwarded-User

ProxyPass / http://jenkins.example.com:8080/nocanon
ProxyPassReverse /http://jenkins.example.com:8080/
ProxyRequests     Off
AllowEncodedSlashes NoDecode

<Proxy http://jenkins.example.com:8080/*>
# add rewrites here if necessary
</Proxy>

<Location />
   AuthType openid-connect
   Require claim hd:example.com
   Require valid-user
</Location>

<Location ~ "^/(cli|jnlpJars|subversion|whoAmI|computer/[^/]+/slave-agent.jnlp|tcpSlaveAgentListener)">
 Satisfy Any
 Allow from all 
</Location>

</VirtualHost>

    Derzeit scheint es nicht zu sein, Unterstützung für Gruppen in mod_auth_openidc. Wenn Sie brauchen Gruppen, die Sie installieren können eine LDAP speichert Sie (aber dies ist wahrscheinlich nicht das, was Sie wollen, da Sie mit Google auth) oder warten, bis es unterstützt wird durch mod_auth_openidc.

    • Ich bin mir nicht sicher, welchen Aspekt des Problems wird hier gelöst. Apache kann die neue Stil-Authentifizierung, so Gerrit erzählt wird, zu Fragen, statt Google, für details?
    • Wenn Sie eine neue Installation von Gerrit (neue domain), werden Sie nicht in der Lage, die Authentifizierung mit Google über die integrierte OpenID plugin. Google hat, dass die API veraltet und wird nicht lassen Sie registrieren Sie die neuen domains. Dieser Artikel beschreibt einen workaround, bis Gerrit unterstützt OAuth2.0 (OpenID connect) aus der box.
    • Fantastische Antwort, danke. Ich habe eine Frage und zwar über die Einstellungen in jenkins. Wenn ich eine domain admin.olly.com und setzen Sie die oauth-rund um die gesamte Domäne, so dass admin.olly.com/jenkins ist nicht erreichbar, ohne es, muss ich dann noch tun müssen, um die Jenkins-security-setup? Was zusätzliche ist, diese hinzufügen? Danke!
    • Angenommen, Sie möchten anzeigen /jenkins zu Jenkins nur alle anderen dirs serviert von Apache direkt Sie würde nur anzeigen /jenkins in der ProxyPass/ProxyPassReverse und <Proxy></Proxy> in der Apache-conf. Die jenkins-setup bleibt das gleiche. Außer, wenn Sie verwenden möchten, jenkins, ohne Unterscheidung verschiedener Benutzer in diesem Fall können Sie nur deaktivieren Sie die Option "Sicherheit Aktivieren" in Jenkins.
    • Tolle Antwort, aber ich kann nicht scheinen, um in der H2-Datenbank mit option 1 oder 2. Es besagt Folgendes: Unrecognized option: -url
    • Ich würde empfehlen, den SSH-Methode, tut mir Leid nicht gesagt haben so. Wenn Sie müssen die shell verwenden: In Ihrem Fall ist es nicht die h2*.jar damit der Befehl ausgeführt wird, mit einem leeren -cp-argument. Wie 'java -cp-bla -url-bla'. Ist GERRIT_HOME Satz richtig? Wenn Sie find ${GERRIT_HOME} -name "h2*.jar" auf eigenen es sollte das h2*.jar. Vielleicht auf der installation-es Leben außerhalb von ${GERRIT_HOME}.
    • Vielen Dank für Ihre Antwort. Wenn ich versuche den SSH-alternative, es ist nur der Mitgliedstaaten bash gerrit Befehl nicht gefunden', so dass ich denke, es ist nicht richtig eingerichtet. Sollte die 'gerrit' Befehl als alias für den 'gerrit.sh" in bin? Als für die andere alternative, mein GERRIT_HOME festgelegt ist, an der gerrit Ordner, den Papierkorb, db, logs, etc (etc..) Ordner - so sollte es korrekt sein, aber ich kann nicht finden, h2*.jar - aber ich habe eine ReviewDB.h2.db in den db-Ordner. Auch ich bin mit der version 2.9.1 von gerrit.
    • Ich bin auch im selben Boot wie MARMELADE. Diese Lösung scheint nicht zu funktionieren für mich auch, mehr Aufklärung, wäre sehr dankbar.
    • Diese Lösung funktionierte für mich, wenn ich migriert von google oauth zu openid connect, aber ich entdeckte neue Benutzer können den Zugriff auf die Benutzeroberfläche. Gerrit melden Sie klagte über ungültige Benutzernamen (die E-Mail-Adresse enthalten das Zeichen@, das gerrit nicht akzeptiert): Cannot assign user name [email protected] to account 73; name does not conform. Die Lösung war, war die OIDCRemoteUserClaim email ^(.*)@ im apache config. Der zweite Teil der Wert ist eine regex, die nur gibt den Namensteil der E-Mail. Danach musste ich zum erstellen neuer Einträge in die account_external_ids für bestehende Benutzer ohne Domäne.

    InformationsquelleAutor revau.lt
  2. 3

    Google OpenID 2.0 wurde abgelöst durch OpenID Connect. Das Apache-Modul mod_auth_openidc implementiert OpenID Connect, so kann es verwendet werden, ein reverse-proxy, Fronten Gerrit/Jenkins, wie beschrieben, durch revau.lt.

    Beachten Sie jedoch, dass sich auf dem non-domain-Teil einer e-mail-Adresse als eindeutige Kennung ist unsicher, es sei denn, Sie beschränken Anmeldungen an eine bestimmte Domäne mit den folgenden zwei Konfigurationseinstellungen:

    OIDCAuthRequestParams hd=example.com

    überspringen Google-Konto-Auswahl-Bildschirm, und in der <Location> Abschnitt:

    Require claim hd:example.com

    beschränken Sie den Zugriff nur für Benutzer aus der example.com Google-domain. Wenn Ihre Anwendung ist offen für alle Google-Konto sollten Sie nicht verwenden die e-mail-Adresse als primären Bezeichner, weil man die Kollision die Gefahr, dass Benutzer in verschiedenen domains haben den gleichen Benutzer Präfix.

    Deshalb ist es besser, sich auf die vollständige e-mail-Adresse, z.B.

    OIDCRemoteUserClaim email

    oder die (undurchsichtigen) primäre Kennung, die Google verwendet, in der sub Anspruch, z.B.:

    OIDCRemoteUserClaim sub

    Außerdem, anstatt umschreiben Ansprüche im Header können Sie einfach:

    OIDCAuthNHeader X-Forwarded-User

    Migration von OpenID 2.0 OpenID Connect (Beibehaltung der OpenID-2.0-Benutzer-IDS) möglich ist, wie beschrieben hier und hier, so dass Sie verwenden würden:

    OIDCAuthRequestParams openid.realm=<urlencoded-realm-value>
OIDCRemoteUserClaim openid_id

    Für eine erschöpfende übersicht über die Konfiguration-primitive, siehe: https://github.com/pingidentity/mod_auth_openidc/blob/master/auth_openidc.conf

    • Ich danke Ihnen sehr für diese. Ich denke, dass ich nicht tief genug in den doc. Ihre Anregungen fließen in meine Antwort.
    • Sie setup scheint zu verwenden, der ausschließlich Benutzer aus einer einzelnen Domäne, in dem Fall würde ich dringend raten, zu verwenden, die OIDCRequestParams und Erfordern behaupten, Einstellungen wie vorgeschlagen, aus Gründen der Sicherheit
    • Ihrem setup davon ausgegangen, dass die Google-e-mail-Präfix ist eigentlich das gleiche wie der Benutzername in Jenkins, die ist etwas, das muss erzwungen werden, wenn das erstellen von Benutzerkonten in Google, die Leute müssen sich dessen bewusst zu sein; ein weiterer Ansatz, um das mapping wäre, zu schreiben, die OIDCAuthNHeader, nachdem es gesetzt wurde, von mod_auth_openidc, anstelle der übersetzung alle Benutzer-IDS in der Datenbank
    InformationsquelleAutor Hans Z.
  3. 2

    Als ich weiß, der Schnellste Weg zur Anmeldung an Gerrit mit dem Google-Konto ist:

    1. Client-ID erstellen in Google Entwickler-Konsole
    2. Download dieser Version von Gerrit und Google-OAuth-provider plugin
    3. Re-initialisieren, Gerrit: java -jar gerrit-2.10.1-4-a83387b.war init -d gerrit_site_path
    4. Und starten Sie es: gerrit_site_path/bin/gerrit.sh restart

    Zu Jenkins ist neue Google-login plug-in.

    InformationsquelleAutor TomaszKane
Schreibe einen Kommentar