一、背景
在jenkins job中执行scp的shell命令,当然不希望每次输入密码,另外处于出于安全考虑,也不建议在scp命令中指定。
所以,我们需要对远程机器进行免密登录。
本文遇到的问题是,在jenkins机器上执行scp已做到了免密,无需输入密码;但是,在jenkins job中执行scp命令,却报错Permission denied, please try again.
二、总体架构
三、scp免密
把jenkins机器上的.ssh/id_rsa添加到远程ssh机器的文件~/.ssh/authorized_keys里。
然后在jenkins机器上执行
其中,192.168.10.5是ftp的地址,ssh用户是devuser,端口默认是22。
这个过程可以说是很简单,经验证,在jenkins机器上上,执行scp命令,成功地下载了zip文件到本地。
但是,当在jenkins执行scp的时候,报错见下:
bash
# 尝试从远程机器192.168.10.5的目录/opt/php下载xxx.zip到本地(workspace目录)
+ scp phpuser@192.168.10.5:/opt/php/xxx/xxx.zip ./xxx.zip
Permission denied, please try again.
Permission denied, please try again.
phpuser@192.168.10.5: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
Build step 'Execute shell' marked build as failure
Finished: FAILURE也就是说,ssh免密登录在jenkins用户执行的时候是失效的。
四、免密用户
在Jenkins job中,尝试执行.ssh/id_rsa文件所在的路径,比如:
bash
scp -i /root/.ssh/id_rsa phpuser@192.168.10.5:/opt/php/xxx/xxx.zip ./xxx.zip仍旧报同样的错误。
但是jenkins机器只有一个root用户,jenkins进程本身也是root用户起的。
正当陷入纠结时,发现jenkins工作目录下也有一个.ssh目录。
- /var/jenkins_home/.ssh
注意:它是一个隐藏文件夹。
再次把这个文件夹下的ssh公钥添加至远程ssh的授权文件~/.ssh/authorized_keys里。
五、jenkins job 指定ssh私钥
上一步是把jenkins工作目录下的.ssh公钥做好了免密授权。
但是,jenkins job在执行scp命令时,默认读取的是/root/.ssh/id_rsa,而非/var/jenkins_home/.ssh/id_rsa。
在scp的后面指定好ssh私钥文件所在。
bash
scp -i /var/jenkins_home/.ssh/id_rsa phpuser@192.168.10.5:/opt/php/xxx/xxx.zip ./xxx.zip至此,jenkins用户在执行scp命令时,免密登录就实现了。