Pam360plugin 为Jenkins
Jenkins 是一个领先的基于 Java 的开源自动化工具,在 DevOps 环境中广泛使用,用于持续构建和测试软件项目。 与构建、测试、交付或部署软件相关的 SDLC 任务可以在 Jenkins 中创建为自动化计划,称为"作业"。 在大多数 DevOps 环境中,此类凭据存储在 Jenkins 服务器中的纯文本文件中,这可能导致一系列安全和管理问题。
PAM360plugin 专为 Jenkins 中的秘密管理而开发,有助于提高组织 DevOps 管道的安全性。 在 Jenkins 中启用的插件可确保每次运行作业时从 PAM360 的保管库检索所需的凭据,而不是嵌入脚本文件中的纯文本中。 在安全检索后,凭据可用于环境变量,例如连接到远程服务器进行生成激活。 该插件还使用户不必在每次更新时手动更新脚本文件中的密码。 通常,有些情况下,由于脚本文件中的密码过时,用户无法运行作业,因为他们被锁定在目标应用程序或服务器外。 现在,在 PAM360 中存储的凭据中,它们会定期轮换并在相应的远程设备中更新,从而确保在运行作业时仅从保管库检索最新的密码。 目前,该插件可用于工作层面的秘密管理,即自由式项目作业。
配置 PAM360 Jenkins 插件的步骤
以下是使用 PAM360 设置和开始管理 Jenkins 机密的主要两个步骤。
第 1步:在 PAM360 中启用 Jenkins 集成
步骤2:在 Jenkins 中安装和启用插件
在 PAM360 中启用 Jenkins 集成
- 登录 PAM360 并导航到管理 >> 集成 >> CI/CD 平台集成
- 单击Jenkins选项。
- 身份验证令牌:单击"生成"以自动填充身份验证令牌。 稍后在 Jenkins 控制台中配置插件时需要这样做。 设置完成后,来自 Jenkins 的所有传入连接将由 PAM360 使用此 AUTH 令牌进行验证。
- 用户名:在这里,输入活动 PAM360 用户的用户名,其帐户将由 Jenkins 自动使用,以便安全地从 PAM360 的保管库中检索所需的密码。
重要说明:确保您提供的用户帐户具有此工作流所需的最低权限,即查看/检索 Jenkins 必须连接到的资源的密码的权限。 - 单击 [启用。
注意:由于 Jenkins 可能有多个实例,"主机名"检查将禁用 Jenkins 请求。
在 Jenkins 中安装和启用插件
在 Jenkins'控制台中要执行的以下操作需要具有管理工具中插件权限的用户角色。
安装
- 首先,在这里下载 插件。
- 打开 Jenkins 的控制台并导航管理 >> Jenkins >> 管理插件 >> 高级
- 在 上传插件部分下,上传插件文件。
- 此外, Jenkins 还需要 PAM360 安装时设置的 SSL 证书。 因此, SSL 证书必须添加到 Jenkins 的密钥库中。 使用以下命令添加 SSL 证书:
键托 - 导入 - 信任记录 - 键存储 <
1gt2< - 安装后,重新启动 Jenkins 服务器以应用更改。
启用插件
- 导航到 管理 >> Jenkins >> 配置系统。
- 在加载的 UI 中,向下滚动以找到 PAM360plugin 部分。
- PAM360URL:输入 PAM360stance 的 URL ,格式为 https://
:portnumber/ - PAM360AUTH 令牌:在这里,复制并粘贴在 PAM360 界面中较早生成的 AUTH 令牌。 请注意, PAM360 和 Jenkins 中的 AUTH 令牌条目应始终匹配成功进行插件配置和密码检索。
- 保存更改以启用并开始使用 Jenkins 中的 PAM360plugin。
- PAM360URL:输入 PAM360stance 的 URL ,格式为 https://
从 PAM360 检索用于自由式项目作业的密码
目前,该插件可用于从 PAM360 检索Jenkins自由式项目作业所需的凭据。 这需要在配置作业时添加各种 PAM360 属性,如资源名称、帐户名称和密码。 在作业级别进行此属性配置时,这些 PAM360 属性的值将在作业执行期间用作"环境变量"。 当 Jenkins 连接到 PAM360 以检索特定密码时,环境变量将是前者如何识别后者中所需的值。 以下是对所涉及的操作的逐步解释:
- 创建特定的自由式项目作业后,您可以在其"构建环境"部分下找到使用 PAM360plugin 用于该作业的选项。
- 使用PAM360 插件启用管理凭据旁边的复选框,然后单击添加帐户。
- 在资源名称和帐户名称字段中,指定希望 Jenkins 从 PAM360 获取的资源及其帐户各自的名称。
- 下一步是创建变量属性对, Jenkins 将使用这些对从 PAM360 检索所需的值。 要创建对,请先参考下面给出的可用 PAM360 属性列表,并在 PAM360 属性字段中指定所需的属性。 然后为环境变量添加 所需的名称,自动为该变量分配相应的 PAM360 属性的值。
- 单击"添加变量/属性对"以类似方式包含所有必需的 PAM360 属性,然后保存配置。 该插件现在准备在Jenkins使用。
可用 PAM360 属性列表
- RESOURCE_NAME
- RESOURCE_DESCRIPTION
- OPERATINGSYSTEM
- DNSNAME
- DEPARTMENT
- LOCATION
- RESOURCE_URL
- ACCOUNTNAME
- NOTES
- PASSWORD
- 资源级和帐户级附加字段,不包括基于文件的附加字段。