Jumpserver堡壘機安裝配置全過程（二）-配置

在非IE瀏覽器中輸入：http://192.168.1.15訪問Jumpserver

1、系統設置

一、基本設置

當前站點URL：http://jumpserver.abc.com:8080

發送重置密碼郵件中指向Jumpserver的網站域名，設置這個不影響Jumpserver訪問

Email主題前綴：[*******堡壘機]

Jumpserver發送郵件給用戶時的標題

二、配置郵件發送服務器

點擊頁面上邊的"郵件設置"標籤，進入郵件設置頁面：

SMTP主機：smtp.abc.com

SMTP端口：25

SMTP帳號：jumpserver@abc.com

SMTP密碼：****

使用SSL：不勾選

使用TLS：不勾選

三、LDAP設置

此處省略

上邊這些能夠按照下圖的官方文檔http://docs.jumpserver.org/zh/docs/faq_ldap.html來填寫

 

2、建立用戶（此過程建立的是Jumpserver的用戶，不是服務器的使用帳號）

一、建立用戶組

用戶組，顧名思義，給用戶分組。用戶組信息頗有用，在分配資產權限的時候，針對的某個用戶組下的全部用戶，能夠爲一個用戶分配多個用戶組。

點擊頁面左側"用戶管理"菜單下的"用戶組"，進入用戶組列表頁面。

點擊頁面左上角"建立用戶組"按鈕，進入建立用戶組頁面：

名稱即用戶組名稱，建議填寫簡單明瞭有用的信息。建立用戶組的時候能夠把已存在的用戶加入到該分組中，一個用戶能夠存在多個分組中。若是沒有已存在的用戶，能夠留空

建立完畢

二、建立用戶

點擊頁面左側"用戶列表"菜單下的"用戶列表"，進入用戶列表頁面。點擊頁面左上角"建立用戶"按鈕，進入建立用戶頁面。

填寫帳戶，角色安全，我的等信息。其中，用戶名即 Jumpserver 頁面登陸帳號。用戶組是用於資產受權，當某個資產對一個用戶組受權後，這個用戶組下面的全部用戶就均可以使用這個資產了。角色用於區分一個用戶是管理員仍是普通用戶。

 

建立完畢

成功提交用戶信息後，Jumpserver 會發送一條"重置密碼"的郵件到您填寫的用戶郵箱。

點擊郵件中的設置密碼連接，設置好密碼後，您就能夠用戶名和密碼登陸 Jumpserver 了。

用戶首次登陸 Junmpserver，會被要求完善用戶信息，不完善也不影響使用。

除了使用瀏覽器登陸 Jumpserver 外，還可以使用命令行登陸：

確保 Coco 服務正常

也能夠直接在 Jumpserver 主機上執行以下命令檢測 Coco 是否存活

netstat -ntpl

命令行登陸 Jumpserver ，Coco 服務默認使用 2222 端口：

IP：192.168.1.15

端口：2222

登陸成功後界面以下:

3、建立管理用戶（此過程添加的是服務器的最高權限帳號）

一、建立Linux管理用戶

"管理用戶"是Linux服務器的 root帳號，或擁有 NOPASSWD: ALL sudo 權限的用戶，Jumpserver 使用該用戶來推送"系統用戶"、獲取資產硬件信息等。此root帳戶必須得創建一個（能夠不填寫密碼），不然後邊的Linux資產沒法建立。

名稱能夠按資產樹來命名。用戶名 root。

二、建立 Windows 管理用戶

若是是Windows服務器，這個帳號用途就只有獲取資產硬件信息。

同 Linux 系統的管理用戶同樣，名稱能夠按資產樹來命名，用戶名是管理員用戶名，密碼是管理員的密碼。

 

4、建立系統用戶（此過程添加的是服務器的通常權限帳號）

一、建立Linux系統用戶

系統用戶是 Jumpserver 跳轉登陸資產時使用的用戶，能夠理解爲登陸資產用戶，如 web, sa, dba(ssh web@some-host), 而不是使用某個用戶的用戶名跳轉登陸服務器（ssh xiaoming@some-host）; 簡單來講是 用戶使用本身的用戶名登陸 Jumpserver, Jumpserver 使用系統用戶登陸資產。

系統用戶建立時，若是選擇了自動推送 Jumpserver 會使用 Ansible 自動推送系統用戶到資產中，若是資產（交換機、Windows）不支持 Ansible, 請手動填寫帳號密碼。

Linux 系統協議項務必選擇 ssh 。若是用戶在系統中已存在，請去掉自動生成密鑰、自動推送勾選。

二、建立 Windows 系統用戶

因爲目前 Windows 不支持自動推送，因此 Windows 的系統用戶設置成與管理用戶同一個用戶。

Windows 資產協議務必選擇 rdp。

5、資產管理

一、 建立 Linux 資產

（1）編輯資產樹

節點不能重名，右擊節點能夠添加、刪除和重命名節點，以及進行資產相關的操做。

重命名爲須要的節點，而後再添加一個節點

節點建立完畢

（2）建立資產

 

點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕，查看當前全部的資產列表。點擊頁面左上角的"建立資產"按鈕，進入資產建立頁面，填寫資產信息。

IP 地址和管理用戶要確保正確，確保所選的管理用戶的用戶名和密碼能"牢靠"地登陸指定的 IP 主機上。資產的系統平臺也務必正確填寫。公網 IP 信息只用於展現，可不填，Jumpserver 鏈接資產使用的是 IP 信息。

資產建立信息填寫好保存以後，可測試資產是否能正確鏈接：

若是資產不能正常鏈接，請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH 從 Jumpserver 主機正確登陸到資產主機上。

二、建立 Windows 資產

（1）建立 Windows 系統管理用戶

同 Linux 系統的管理用戶同樣，名稱能夠按資產樹來命名，用戶名是管理員用戶名，密碼是管理員的密碼。

（2）建立 Windows 系統系統用戶

目前 Windows 暫不支持自動推送，用戶必須在系統中存在且有權限使用遠程鏈接，請去掉自動生成密鑰、自動推送勾選；請確認 windows 資產的 rdp 防火牆已經開放。Windows 資產協議務必選擇 rdp。

（3）建立 Windows 資產

同建立 Linux 資產同樣。建立 Windows 資產，系統平臺請選擇正確的 Windows，端口號爲3389，IP 和 管理用戶請正確選擇，確保管理用戶能正確登陸到指定的 IP 主機上。

三、資產節點管理

（1）爲資產樹節點分配資產

 

在資產列表頁面，選擇要添加資產的節點，右鍵，選擇添加資產到節點。

選擇要被添加的資產，點擊"確認"便可。

（2）刪除節點資產

選擇要被刪除的節點，選擇"從節點刪除"，點擊"提交"便可。

6、建立受權規則

節點，對應的是資產，表明該節點下的全部資產。

用戶組，對應的是用戶，表明該用戶組下全部的用戶。

系統用戶，及所選的用戶組下的用戶能經過該系統用戶使用所選節點下的資產。

節點，用戶組，系統用戶是一對一的關係，因此當擁有 Linux、Windows 不一樣類型資產時，應該分別給 Linux 資產和 Windows 資產建立受權規則。

建立的受權規節點要與資產所在的節點一致。

建立完成後頁面

7、用戶使用資產

一、登陸 Jumpserver

因接入了LDAP，因此用LDAP的帳號密碼登陸。但第一次登陸後要用admin帳號進去設置用戶組，纔有對應權限

建立受權規則的時候，選擇了用戶組，因此這裏須要登陸所選用戶組下面的用戶才能看見相應的資產。用戶正確登陸後的頁面：

二、使用資產

（1）鏈接資產

點擊頁面左邊的 Web 終端：

打開資產所在的節點：

雙擊資產名字，就連上資產了：

鏈接有任何錯誤均可以參考http://docs.jumpserver.org/zh/docs/faq.html

接下來，就能夠對資產進行操做了。

（2）斷開資產

點擊頁面頂部的 Server 按鈕會彈出選個選項，第一個斷開所選的鏈接，第二個斷開全部鏈接。

8、查看命令記錄和錄像

一、查看命令記錄

二、查看錄像

依次點擊"會話管理-歷史會話"，點擊最後一列的"回放"

Windows操做的歷史回放畫面較小

Linux操做的歷史回放能夠看清執行的命令

升級Jumpserver

升級後大機率致使沒法啓動或者內置組件崩潰，建議從新安裝最新版本

由於這裏訪問github.com太慢，因此採用離線升級的方法

必須先執行：source /opt/py3/bin/activate

1、備份

一、Jumpserver

備份jumpserver配置文件、數據庫表結構及錄像文件

jumpserver_backup=/tmp/jumpserver_backup

mkdir -p $jumpserver_backup

cd /opt/jumpserver

cp config.py $jumpserver_backup

cp -r data/media $jumpserver_backup/

for app in audits common users assets ops perms terminal;do

mkdir -p $jumpserver_backup/${app}_migrations

cp apps/${app}/migrations/*.py $jumpserver_backup/${app}_migrations

done

二、備份數據庫，已被不時之需

mysqldump -uroot –p******** jumpserver > $jumpserver_backup/db_backup.sql

2、更新主代碼

一、下載離線包, 更新代碼

cd /opt

mv jumpserver jumpserver_bak

git clone https://github.com/jumpserver/jumpserver.git

cd jumpserver && git checkout master # or other branch

git pull

二、還原配置文件、數據庫表結構文件及錄像文件

cd /opt/jumpserver

for app in audits common users assets ops perms terminal;do

cp $jumpserver_backup/${app}_migrations/*.py apps/${app}/migrations/

done

cp $jumpserver_backup/config.py .

cp -r $jumpserver_backup/media/* data/media/

三、更新依賴或表結構

pip install -r requirements/requirements.txt && cd utils && sh make_migrations.sh

3、更新其餘組件

一、Coco

說明: 如下操做都在 coco 項目所在目錄。coco是無狀態的，備份 keys 目錄便可

備份配置文件及keys

cd /opt/coco

cp conf.py $jumpserver_backup/

cp -r keys $jumpserver_backup/

離線更新升級coco

cd /opt

mv coco coco_bak

git clone https://github.com/jumpserver/coco.git

cd coco && git checkout master # or other branch

git pull

還原 keys目錄

cd /opt/coco

cp $jumpserver_backup/conf.py .

cp -r $jumpserver_backup/keys .

升級依賴

git pull && cd requirements && pip install -r requirements.txt

二、Luna

從新下載 release 包（https://github.com/jumpserver/luna/releases）

cd /opt

mv luna luna_bak

mv luna.tar.gz luna.tar.gz_bak

wget https://github.com/jumpserver/luna/releases/download/1.3.3/luna.tar.gz

tar xvf luna.tar.gz

chown -R root:root luna

三、Guacamole

docker pull registry.jumpserver.org/public/guacamole:latest

docker stop jms_guacamole # 或者寫guacamole的容器ID

docker rename jms_guacamole jms_guacamole_bak # 若是名稱不正確請手動修改

docker run --name jms_guacamole -d \

-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \

-e JUMPSERVER_KEY_DIR=/config/guacamole/key \

-e JUMPSERVER_SERVER=http://jumpserver.abc.com \

registry.jumpserver.org/public/guacamole:latest

# 肯定升級完成後，能夠刪除備份容器

docker rm jms_guacamole_bak