Discussion :

[romaintaz]

Hello,

Je poste ici, ça me paraît être le mieux pour ce sujet (à ce propos, avis aux modérateurs, un sous-forum Intégration Continue serait la bienvenue, non ?)

J'ai donc installé sur ma machine Hudson, dont j'avais entendu le plus grand bien.
Je ne suis pas allé très loin dans son exploration, mais je le trouve vraiment attractif !

Une question toutefois : Y a-t'il une façon de paramétrer des utilisateurs pour l'utilisation de Hudson. Cela permettrait de catégoriser les utilisateurs en administrateur (qui peut tout faire), en manager de projets (qui peut manipuler ses projets), ou en visiteur (qui peut regarder les projets, mais ne pas les modifier ou relancer leur build) ?
Si non, est-ce prévu dans un avenir plus ou moins lointain ?

[evenisse]

Je ne sais pas pour Hudson, mais en tout cas, c'est possible dans Continuum

[romaintaz]

Personne n'utilise Hudson ici ?
C'est dommage, parce que hormis ce petit souci, je le trouve vraiment extra

[ehsavoie]

Il ne me semble pas que tu aies la notion de role dans hudson. Ils utilisent l'authentification et la securite du container (donc sous Tomcat users.xml par defaut) avec soit un role admin soit un role de consultation. Je pense qu'il doit être assez simple de modifier cela.
Par contre ce n'est pas lié aux utilisateurs d'hudson (au sens des developpeurs d'un projet) et là je pense que ca serait plus complexe.
Emmanuel

[romaintaz]

ehsavoie,

C'est effectivement ce qu'il me semblait, d'après quelques informations récupérées aujourd'hui.
J'espère toutefois que cela sera implémenté dans de futures versions de Hudson, parce que je trouve ça assez important (mais bon, ce n'est que mon avis )

[ehsavoie]

Si tu veux des roles supplementaires tu peux facilement les ajouter dans ton users;xml et ajouter les contraintes de securite qui correspondent (sur les urls) dans le web.xml du hudson.war. Par contre lier les utilisateurs d'hudson aux utilisateurs Tomcat (ou tout autre serveur d'app) me semble trop complexecar on tombe sur les realm jaas propres à chaque implémentation de serveur.

Emmanuel

[lordseth0]

Les posts précédents datent d'une année. Il est aujourd'hui possible de gérer des profils utilisateurs. Cependant, il n'est pas encore possible (à ma connaissance) de gérer les droits par projets (jobs), du moins grâce à la matrice de droits d'Hudson. Quelqu'un a-t-il déjà mis en place une telle gestion des droits grâce à Hudson? L'article dans développez évoque notamment la possibilité de coupler les droits svn avec Hudson de façon dynamique mais mes recherches n'ont rien donné à ce sujet...

[romaintaz]

Les posts précédents datent d'une année. Il est aujourd'hui possible de gérer des profils utilisateurs.

Bonjour et bienvenue à toi,

J'ai initié ce post en effet, car à l'époque, il n'était pas possible (ou du moins difficilement) de gérer les droits d'utilisateurs selon un profil. C'est aujourd'hui le cas !

Cependant, il n'est pas encore possible (à ma connaissance) de gérer les droits par projets (jobs), du moins grâce à la matrice de droits d'Hudson. Quelqu'un a-t-il déjà mis en place une telle gestion des droits grâce à Hudson?

A ma connaissance, il n'est pas possible de gérer aussi finement les droits des utilisateurs. Du moins dans les versions actuelles... Un plugin serait une bonne idée, soumettre cette amélioration au développeur d'Hudson en serait une autre (si ce n'est pas déjà fait)

L'article dans développez évoque notamment la possibilité de coupler les droits svn avec Hudson de façon dynamique mais mes recherches n'ont rien donné à ce sujet...

Tu parles de mon article sur Hudson ?
A quelle partie pense-tu en parlant de ça ?

[lordseth0]

Merci pour ta réponse.
En me référant à l'article sur hudson(ton article peut etre?), je pensais à la section IV-D :

La liste des utilisateurs est automatiquement mise à jour par Hudson via les informations récupérées sur le SCM. Lorsqu'un nouvel utilisateur commite un fichier sur le SCM, alors Hudson l'ajoutera lors du prochain build parmi la liste de ces utilisateurs

puis à la section suivante :

Trois options sont proposées pour gérer la liste des utilisateurs :
* Déléguer cela au containeur servlets, par exemple Tomcat.
* Utiliser la liste des utilisateurs d'Hudson (celle présentée au chapitre précédent).
* Utiliser un annuaire LDAP.

Je pensais (naïvement sans doute...) que cette liste utilisait les droits svn pour gérer la sécurité. Ce qui au fond serait assez logique : dans un contexte professionnel, ne peuvent accéder à un projet que les développeurs possédant l'accréditation.

L'idée du plugin nous a évidemment traverser l'esprit, mais il me semble étrange que nous soyons les premiers à avoir cette problématique... De plus cette intégration se fait dans un cadre professionnel, avec des délais insuffisant pour se lancer dans un développement.
Nous allons soumettre l'idée à kohsuke et en attendant probablement utiliser la sécurité d'apache pour empêcher les utilisateurs de faire ce qu'ils veulent.

Néanmoins toute personne qui aurait déjà résolu ce problème (ou toi romaintaz si tu as poussé tes recherches) est la bienvenue avec son idée

[romaintaz]

Merci pour ta réponse.
En me référant à l'article sur hudson(ton article peut etre?), je pensais à la section IV-D :

Oui, c'est bien mon article

Je pensais (naïvement sans doute...) que cette liste utilisait les droits svn pour gérer la sécurité. Ce qui au fond serait assez logique : dans un contexte professionnel, ne peuvent accéder à un projet que les développeurs possédant l'accréditation.

Je t'avoue que je n'ai jamais utilisé cette fonctionnalité (je définis moi même les profils).
Cependant, je pense que cela va permettre de définir des droits de façon très fines sur les personnes, pas sur les profils. Ainsi, le développeur A pourra faire plein de trucs, le développeur B pourra faire moins de choses, et ainsi de suite. Mais cela ne permettra pas de donner des droits spécifiques à un (ou plusieurs) projet.

L'idée du plugin nous a évidemment traverser l'esprit, mais il me semble étrange que nous soyons les premiers à avoir cette problématique...

C'est marrant, mais une personne dans ma boite a posé la même question la semaine dernière (j'ai fourni, bien entendu, la même réponse ).

Il existe, a priori, une façon de faire ce que tu désires, mais qui est un peu lourde, et qui ne fonctionne que si tu souhaites ne pas gérer beaucoup de groupes de projets.

Admettons que tu as 2 groupes de projets :

Tu installes un serveur Hudson sur une machine et tu y configures tes projets pour ce groupe. Tu crées un profil d'utilisateur avec un mot de passe, qui pourra accéder à cette instance d'Hudson.

Tu installes un autre serveur Hudson (qui peut être sur la même machine que le 1er) et tu y configures les projets pour ce 2e groupe. Tu crées un profil d'utilisateur avec un autre mot de passe, qui pourra accéder à cette instance d'Hudson.

Les utilisateurs pour le groupe 1 se connecteront à la première URL avec le 1e mot de passe, tandis que les utilisateurs pour le groupe 2 se connecteront à la deuxième URL avec le 2e mot de passe.

Enfin, pour parfaire cette configuration, tu installes un 3 serveur Hudson qui aura pour esclave les 2 précédents serveurs. Ainsi, les utilisateurs de ce serveur "maître" auront accès aux projets des deux groupes.

Je n'ai pas essayé cette solution, mais je pense qu'elle marche. Si ce n'est qu'elle est un peu lourdre à mettre en place.
Mais en attendant un plugin ou une amélioration d'Hudson, je ne vois pas d'autre solution...

[lordseth0]

Ton idée est plutôt bonne mais comme tu le dis, elle ne fonctionne que pour une faible charge (ce qui malheureusement n'est pas notre cas).

Je pense m'orienter vers une version "custom" d'hudson, pas vraiment un plugin, juste en redéfinissant les paramètres de sécurité (basé sur de l'acegi, appelé maintenant spring security). Il y a notamment quelques fichiers de configuration qui sont des scripts groovy et qui définissent les filtres d'url.

Si cette solution se révèle trop difficile à réaliser (je n'ai pas pour l'instant pousser plus avant que parcourir quelques sources), il restera la solution de mettre un apache spécialement configuré pour intercepter les urls et demander une authentification. Celle-ci serait vérifiée grâce aux droits sur le svn (pas trop compliqué à mettre en place même si mon explication n'est certainement pas très claire ).

Cependant cette solution plus "système" ne nous motive pas trop (notamment parce qu'elle ne réponds pas entièrement aux besoins que nous avons), nous allons donc commencer par étudier la customisation d'Hudson. Je vous tiens au courant des évolutions.

[romaintaz]

Pour information, cette fonctionnalité (très attendue ! ) est désormais disponible !

On peut maintenant configurer les droits pour chaque projet...

Voir ce billet qui explique tout !

Comme quoi, Hudson évolue plutôt vite...

[lordseth0]

Je manque à tous mes devoirs et n'ai pas remercié romaintaz pour sa dernière réponse. Nous avions déjà bouclé une version de Hudson avec une gestion des droits sur Apache lié aux droits que nous avions sur SVN. Ça marche bien, et lorsque ta réponse est apparue j'avais déjà changé de projet, je n'ai donc pas testé cet ajout de fonctionnalité (qui a l'air il est vrai très intéressant). Hudson a finalement répondu à toutes les attentes que nous avions, il est simple à mettre en place, est un plaisir à utiliser (si vous avez utilisé Cruise Control précédemment, vous savez de quoi je parle), et ce même de le cadre d'une grande entreprise. De plus, comme le disait romaintaz, Hudson évolue très vite (ce qui est même un peu difficile à suivre) et propose d'excellentes fonctionnalités. Je ne peux que le conseiller à tous ceux qui voudraient faire le pas vers l'IC (qui est maintenant indispensable en entreprise).

[rseM2]

Effectivement Hudson est un très bon outil qui est de plus en plus utilisé à juste titre.

Revenons au sujet sur la gestion des utilisateurs. Hudson nous propose maintenant une grille pour la gestion des droits. Il y a la notion de rôle qui est apparu. Du coup on se retrouve d'un côté avec une liste des utilisateurs et d'un autre une liste de rôles.
Quid : Comment faire le lien entre les utilisateurs et les rôles ? ou dit autrement comment rattacher un ou plusieurs rôles à utilisateur (et vis-versa) ?

Pour le moment je n'ai pas trouvé comment faire cela dans l'interface d'hudson. Si vous savez faire je suis preneur.

Rémy

[nicocolt]

Bonjour,

Pour ma part je viens de configurer la sécurité via l'Hudson's own user database en Project-based MAtrix Authorization Strategy.

En revanche j'aimerai savoir où Hudson stocke les informations liés aux utilisateurs.

Amicalement,
Nico

[romaintaz]

En revanche j'aimerai savoir où Hudson stocke les informations liés aux utilisateurs.

Sans certitudes, dans ce cas, je crois qu'Hudson place ces informations dans des fichiers XML contenus dans des sous-répertoires de HUDSON_HOME/users.
HUDSON_HOME n'est pas le répertoire d'installation d'Hudson (par ex. Tomcat/webapps/hudson) mais bien le répertoire contenant la configuration d'Hudson (dans "Administrer Hudson" > "Configurer le système", la valeur affichée face à "Répertoire Home").

[nicocolt]

Salut !

Effectivement, c'est bien cela. Dans le répertoire users, un répertoire pour chaque user contenant un fichier config.xml.

Amicalement,
Nico