公告:因企鹅审核规定,本公众号从《德国IT那些事》更名为《欧盟IT那些事》。 该集锦所有故事来自欧洲各类公司的IT人的真实吐槽,不定期更新。欢迎大家匿名吐槽。快下班时,同事突然抱怨Jenkins的编译Job全部挂掉了。开发组的小马哥心想,你是故意的吗,现在才说?不过现在不解决,明早也还得早起解决,那么多服务都等着新的编译好的image呢。
同事发来失败的Job日志截图,说是无法连接到仓库Nexus了。但是Nexus访问没问题。还是自己登进去Jenkins看看吧。嗯?无法登录?密码打错?又试了下,小马哥发现自己的账户没法登录了。还好还有一个顶级admin用户,赶紧试了试,卧槽,也没法登录了!
这个admin和小马哥的个人账号都同属公司LDAP里一个组。突然想到前几天有同事在群里提过,这几天很多部署到各个服务器上的公司内部证书都到期了。是不是这个原因?
还好还有一个OPS的德国同事老乔还在线,不过还在开会。老乔说,证书很有可能过期了哦,你去下载LDAP服务器的新证书,再导入到Jenkins的Keystore里试试看。
整个编译发布系统包括Jenkins和Nexus是印度部门最早负责安装设置的,在经历三哥无数次神一般的操作后,小马哥忍无可忍,才主动承担下日常的维护工作。最初的证书也不知道放哪了,找了一会在进程日志里发现Jenkins的Keystore的藏匿路径。
噼里啪啦一顿命令行,从LDAP服务器下载了新的Certificate(Chain),导入了Keystore。重启Jenkins。
老乔这时开完了会,一起远程帮着检查。研究日志发现,好像是LDAP服务器拒绝登录。老乔突然想起来,他最近收到通知,说IT总部那边说要清理一下LDAP的账号和组,该不会是他们碰巧把现在正在用的组给清理了吧,不过老乔那边倒有一个新的组可以用。小马哥问,为什么IT那边可以随便改我们的设置啊?老乔说,正常的,我已经习惯了。但是这个组信息需要在Jenkins登录后的设置界面里更改,可是这时Jenkins已经不能登录了。只好先改Jenkins的设置文件,临时关闭安全登录,这时任何匿名登录都是admin。进去后测试了下现有的组,果然不能通过验证,换了老乔的新组信息后,可以了!赶紧恢复安全登录,重启Jenkins。终于可以登录了!接着搞Nexus,也是一样的问题,也无法登录,也要改LDAP。但是Nexus没有设置文件,所有Config是加密存储在独立数据库里的。貌似只有重装Nexus这一条路了?小马哥说:“你说Nexus会不会有一个超级admin账户,如果LDAP挂掉的话,就可以应急用了。” 老乔笑了,怎么可能?这会有潜在的安全问题啊!小马哥不死心,放狗搜了搜,哎呦我去,Nexus 3.17.0之前版本确实有个超级admin用户,密码是admin123。现在用的恰好是老版本,小马哥和老乔激动不已,三哥同事该不会正好没改这个默认的超级admin用户吧?!小马哥怀着激动的心情输入了admin/admin123,卧槽,真的登进去了!
进入Nexus的设置界面改了LDAP用户组,保存。基于安全原因,服务之间最好别用固定用户账户通讯,而是用authN和authZ来做。 
|
