我们的Jenkins CI构建服务器是在运行OSX Lion(10.7.3)的Mac Mini上设置的,我很难让它签署iOS构建,以便将它们上传到TestFlight。
该进程以一个名为jenkins的普通用户的身份运行,并且在启动时使用launchd启动。(外部世界无法访问该机器,因此在正常用户帐户下运行该机器不应该有任何安全问题。)
以下是jenkins控制台输出中的错误:
[workspace] $ /usr/bin/xcodebuild -target iMobileStCloud -configuration Release clean build
=== CLEAN NATIVE TARGET MyApp OF PROJECT MyProject WITH CONFIGURATION Release ===
Check dependencies
[BEROR]Code Sign error: The identity 'iPhone Distribution' doesn't match any valid certificate/private key pair in the default keychain
问题的一部分似乎是,当进程在启动时从launchd启动时,只有系统密钥链可用。我在构建过程中添加了一个脚本来列出密钥链:
[workspace] $ /bin/sh -xe /var/folders/1y/1q3st_ss58z9ffj4dwbkdw8r0000gt/T/hudson8514187812830984272.sh
+ /usr/bin/security list-keychains
"/Library/Keychains/System.keychain"
"/Library/Keychains/applepushserviced.keychain"
"/Library/Keychains/System.keychain"
+ /usr/bin/security find-identity
我找到了两个解决办法,但都不可行:
如果我们登录到服务器并在每次机器重新启动时重新启动launchd进程,那么jenkins就可以加载登录密钥链并访问证书进行签名:
sudo launchctl unload /Library/LaunchDaemons/org.jenkins-ci.plist sudo launchctl load /Library/LaunchDaemons/org.jenkins-ci.plist我们可以将证书添加到系统密钥链中,但这意味着我们不能使用这台机器进行应用商店分发构建。(Xcode不喜欢系统钥匙扣)。
其他人找到其他可行的解决方案了吗?除了launchd之外,还有其他东西可以用来在OSX上启动时运行进程吗?
我通过将SessionCreate=true添加到我的org.jenkins-ci.plist文件中解决了这个问题。此调用初始化安全框架。
来源:http://developer.apple.com/library/mac/#technotes/tn2083/_index.html
请参阅以下我的全部内容:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>EnvironmentVariables</key>
<dict>
<key>JENKINS_HOME</key>
<string>/Users/Shared/Jenkins/Home</string>
</dict>
<key>GroupName</key>
<string>daemon</string>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>org.jenkins-ci</string>
<key>ProgramArguments</key>
<array>
<string>/bin/bash</string>
<string>/Library/Application Support/Jenkins/jenkins-runner.sh</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>UserName</key>
<string>jenkins</string>
<key>SessionCreate</key>
<true/>
</dict>
</plist>
您也可以尝试我的替代Jenkins安装程序,它将Jenkins作为应用程序运行。
该项目位于https://github.com/stisti/jenkins-app.下载位于https://github.com/stisti/jenkins-app/downloads
Jenkins需要在用户上下文中运行才能访问密钥链。
我也遇到了同样的问题。主要问题实际上是在launchd启动LaunchDaemon时引起的。即使您指定了要在其下运行launchd进程的用户,也不会将其作为该用户登录来运行。这就是为什么你在Jenkins可用的钥匙链列表中没有看到登录钥匙链的原因。
我遇到了一项工作,涉及从launchd plist(作为LaunchDaemon)调用su - yourbuilduser -c ./start-jenkins.sh,其中start-jenkins.sh是一个自定义的启动脚本。这保证了对登录密钥链的访问,但使Jenkins很难从launchd进行控制。具体来说,您不能通过调用launctl unload ...来阻止Jenkins,您必须手动终止该进程。
目前,我们在LaunchAgents中使用plist运行iOS CI(这只是使用java -jar jenkins.war启动Jenkins),而不是在LaunchDaemons中。令人担忧的是,这意味着你的用户必须登录到服务器(如果你的机器在你的专用网络中或在正确配置的DMZ中,这不是问题),但这也意味着可以从launchctl控制Jenkins进程,并且它可以访问用户的密钥链。您可以将用户设置为自动登录,以便在启动时获得Jenkins。
我已经成功地实现了iOS二进制文件连续交付管道的几乎所有方面的自动化——这是我的解决方案唯一感觉不对劲的部分(理想情况下,我只能使用可以访问用户钥匙链的LaunchDaemon)。