jumpservice配置：快速入門

時間 2019-11-25

標籤 jumpservice 配置快速入門简体版

原文原文鏈接

快速入門

說明

到 Jumpserver 會話管理-終端管理查看 Coco Guacamole 等應用是否在線

1、系統設置

1.1 基本設置

 
    # 修改 url 的"localhost"爲你的實際 url 地址, 不然郵件收到的地址將爲"localhost" 也沒法建立新用戶  
   

1.2 郵件設置

 
    # 點擊頁面上邊的"郵件設置", 進入郵件設置頁面 # 默認使用 25 端口, 不勾選 SSL 和 TLS; 若是須要勾選 SSL, 端口須要修改爲 465; 若是須要勾選 TLS, 端口須要改爲 587 # 不能夠同時勾選 SSL 和 TLS # 配置郵件服務後, 點擊頁面的"測試鏈接"按鈕, 若是配置正確, Jumpserver 會發送一條測試郵件到您的 SMTP 帳號郵箱裏面, 肯定收到測試郵件後點擊保存便可使用  
   

1.3 LDAP設置

 
    # 若是不須要使用"ldap"用戶登錄 jumpserver, 能夠直接跳過, 不須要設置 # 先"測試"經過才能保存 # DN 和 OU 必定要完整(如 "DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org") # 注：可借用第三方 gui 工具查看 ldap 用戶的屬性, 新版本已經支持中文名登陸, 即cn=中文也可正常使用  
   

參考 LDAP 使用說明php

1.4 終端設置

 
    # "密碼認證"和"密鑰認證"是 SSH 鏈接跳板機時所使用的認證方式(都不選會形成沒法使用 SSH 方式鏈接登陸跳板機, 不影響 web 登陸) # "Telnet成功正則表達式" telnet設備登錄失敗須要設置 # "命令存儲""錄像存儲"位置設置 # "命令存儲""錄像存儲"修改後, 須要在Jumpserver 會話管理-終端管理 修改terminal的配置 錄像存儲 命令記錄, 而後重啓 Jumpserver 服務 # 設置後重啓 Coco 才能生效  
   

_images/admin_settings_terminal_list_01.jpg

_images/admin_settings_terminal_list_02.jpg

1.5 安全設置

 
    # "MAF二次認證"勾選會開啓全局強制"MFA", 全部 jumpserver 用戶必須使用動態口令進行認證登陸(即時生效) # "限制登陸失敗"和"限制登陸時間"設置須要重啓 jumpserver 才能生效 # "SSH最大空閒時間"設置須要重啓 coco 才能生效 # "密碼校驗規則"設置當即生效  
   

_images/admin_settings_security_list_01.jpg

_images/admin_settings_security_list_02.jpg

2、用戶管理

2.1 建立 Jumpserver 用戶

 
    # 點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面 # 點擊頁面左上角"建立用戶"按鈕, 進入建立用戶頁面, (也能夠經過右上角導入模版進行用戶導入) # 其中, 用戶名即 Jumpserver 登陸帳號(具備惟一性, 不能重名)。名稱爲頁面右上角用戶標識(可重複) # 成功提交用戶信息後, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱 # 點擊郵件中的設置密碼連接, 設置好密碼後, 您就能夠用戶名和密碼登陸 Jumpserver 了。 # 用戶首次登陸 Jumpserver, 會被要求完善用戶信息, 按照嚮導操做便可。 注：MFA 即 Google Authenticator, 使用此軟件須要APP時間與瀏覽器時間同步  
   

3、資產管理

3.1 編輯資產樹

 
    # "節點"不能重名, 右擊節點能夠添加、刪除和重命名節點, 以及進行資產相關的操做 注：若是有 linux 資產和 windows 資產, 建議先創建 Linux 節點與 Windows 節點, 否則"受權"時很差處理  
   

3.2 建立管理用戶

 
    # "管理用戶"是資產上的 root, 或擁有 NOPASSWD: ALL sudo 權限的用戶, Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。 Windows或其它硬件能夠隨意設置一個 # "名稱" 不能重複 # "ssh私鑰" 若是私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰  
   

_images/admin_assets_admin-user_create.jpg

3.3 建立系統用戶

 
    # "系統用戶"是 Jumpserver 跳轉登陸資產時使用的用戶, 用戶使用該用戶登陸資產 # "自動生成密碼"、"自動推送"、"Sudo"等功能須要對應資產的"管理用戶"是且有root權限, 不然自動推送失敗 # ssh 協議的 "Sudo" 欄設定用戶的 sudo 權限, # ssh 協議若是建立的"系統用戶"已在資產上面存在, "推送"將會覆蓋掉原用戶的"home"目錄權限(注: 替換成700權限) # ssh 協議的 "ssh私鑰" 若是私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰 # 這裏簡單舉幾個 "sudo" 設置例子 Sudo /bin/su # 當前系統用戶能夠免sudo密碼執行sudo su命令 Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail # 當前系統用戶能夠免sudo密碼執行git php cat more less tail Sudo !/usr/bin/yum # 當前系統用戶不能夠執行sudo yum命令 # 此處的權限應該根據使用用戶的需求彙總後定製, 原則上給予最小權限便可 # "系統用戶"建立時, 若是選擇了"自動推送" Jumpserver 會使用"Ansible"自動推送系統用戶到資產中, "root"用戶不支持推送 # 若是資產(交換機、Windows)不支持"Ansible", 請去掉"自動生成密鑰"、"自動推送"勾選。手動填寫資產上已有的帳號及帳號密碼 # 若是想讓用戶登陸資產時本身輸入密碼, 能夠在建立系統用戶時選擇"手動登陸"  
   

_images/admin_assets_system-user_create_01.jpg

_images/admin_assets_system-user_create_02.jpg

3.4 建立命令過濾

如無須要, 可忽略此步驟, 目前僅支持 ssh 與 telnet 協議html

 
    # "系統用戶"能夠綁定一些"命令過濾器"，一個過濾器能夠定義一些"規則" # 當"用戶"使用這個"系統用戶"登陸資產，而後執行一個命令 這個命令須要被綁定過濾器的全部規則匹配，高優先級先被匹配 # 當一個規則匹配到了，若是規則的動做是 "容許" 這個命令會被放行； 若是規則的動做是 "禁止" 命令將會被禁止執行； 不然就匹配下一個規則，若是最後沒有匹配到規則，則容許執行  
   

_images/admin_assets_cmd-filter_create.jpg

 
    # 點擊 "命令過濾器列表" 規則下方的數字進入 "命令過濾器規則列表" , 點擊新建規則建立相應規則 # 拒絕全部命令可使用正則表達式 .*  
   

_images/admin_assets_cmd-filter_rule_create.jpg

3.5 建立網域網關

如無須要, 可忽略此步驟, 支持代理SSH、RDP和VNCpython

 
    # "網域"功能是爲了解決部分環境沒法直接鏈接而新增的功能, 原理是經過網關服務器進行跳轉登陸 # 點擊頁面左側的"網域列表"按鈕, 查看全部網域列表 # 點擊頁面左上角的"建立網域"按鈕, 進入網域建立頁面, 選擇資產裏用做網域的網關服務器 注：混合雲適用  
   

 
    # 點擊"網域"的名稱, 進入"網域詳情"列表。 # 點擊頁面的"網關"按鈕, 選擇網關列表的"建立網關"按鈕, 進入網關建立頁面, 填寫網關信息 # IP信息通常默認填寫網域資產的IP便可(如用做網域的資產有多塊網卡和IP地址, 選能與jumpserer通訊的任一IP便可) 注：用戶名與密碼可使用網關資產上已存在的任一擁有執行 ssh 命令權限的用戶  
   

_images/admin_assets_domain_gateway_create.jpg

 
    注: 保存信息後點擊"測試鏈接", 肯定設置無誤後到資產列表添加須要使用"網關"登陸的資產便可 注: "Windows資產"可使用"ssh網關"  
   

3.6 建立資產

 
    # 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕, 查看當前全部的資產列表。 # 點擊頁面左上角的"建立資產"按鈕, 進入資產建立頁面, 填寫資產信息。 # IP 地址和管理用戶要確保正確, 確保所選的管理用戶的用戶名和密碼能"牢靠"地登陸指定的 IP 主機上。 # 資產的系統平臺也務必正確填寫。公網 IP 信息只用於展現, 可不填, Jumpserver 鏈接資產使用的是 IP 信息。  
   

 
    # 資產建立信息填寫好保存以後, ssh 協議資產可"測試資產"是否能正確鏈接, 其餘協議暫不支持 注：被鏈接資產須要"python"組件, 且版本大於等於2.6, Ubuntu等資產默認不容許root用戶遠程ssh登陸, 請自行處理 # 若是資產不能正常鏈接, 請檢查"管理用戶"的用戶名和密鑰是否正確以及該"管理用戶"是否能使用 SSH 從 Jumpserver 主機正確登陸到資產主機上  
   

SSH 協議參考 SSH 協議資產鏈接說明linux

RDP 協議參考 RDP 協議資產鏈接說明git

Telnet 協議參考 Telnet 協議資產鏈接說明web

4、建立受權規則

4.1 爲用戶分配資產

 
    # "名稱", 受權的名稱, 不能重複 # "用戶"和"用戶組"二選一, 不推薦即選擇用戶又選擇用戶組 # "資產"和"節點"二選一, 選擇節點會包含節點下面的全部資產 # "系統用戶", 及所選的用戶或用戶組下的用戶能經過該系統用戶使用所選節點或者節點下的資產 # 用戶(組), 資產(節點), 系統用戶是一對一的關係, 因此當擁有 Linux、Windows 不一樣類型資產時, 應該分別給 Linux 資產和 Windows 資產建立受權規則  
   

通常狀況下, 資產受權給我的, 節點受權給用戶組, 一個受權只能選擇一個系統用戶正則表達式

_images/admin_perms_asset-permission_create.jpg

5、用戶登陸

5.1 登陸 Jumpserver

 
    # 用戶只能看到本身被管理員受權了的"資產", 若是登陸後無資產, 請聯繫管理員進行確認  
   

5.2 鏈接資產

 
    # 在個人資產點擊資產右邊的 "鏈接" 快速鏈接資產
# 也能夠點擊左側欄的 "Web終端"

_images/user_terminal_web-terminal_list.jpg

 
    # 點擊 "資產" 名字, 就連上資產了 # 若是顯示鏈接超時, 請參考 FAQ 文檔進行處理  
   

5.3 斷開資產

 
    # 點擊頁面頂部的 "Server" 按鈕會彈出選個選項, 第一個斷開所選的鏈接, 第二個斷開全部鏈接。  
   

5.4 文件管理

 
    # 點擊 "文件管理"
# 先在左邊選擇資產, 目前只支持自動登陸的 SSH 協議資產 # 也可使用 sftp 方式進行文件管理

參考 SFTP 鏈接說明vim

以上就是 Jumpserver 的簡易入門了, Jumpserver 還有不少功能等待您去發現。在使用過程當中, 遇到的問題見下篇博客windows

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。