Jump server的進階使用(二)Centos7環境

jumpserver進階使用(Centos7環境)

環境：

一臺安裝好 Jumpserver 系統的可用主機（堡壘機）
一臺或多臺可用的 Linux、Windows資產設備（被管理的資產）

角色	IP
jumpserver	192.168.2.5
server(資產機)	192.168.2.6

1、系統設置

配置qq郵箱SMTP服務

下拉至

這個密鑰充當着登陸密碼的做用，若是你獲取密鑰後,修改了QQ密碼,那麼密鑰會無效,那就要從新獲取。若是你早已打開了該SMTP服務,但沒有密鑰,關閉從新打開服務

smtp密碼處輸入qq給予你的字符串密碼，測試鏈接.根據提示這個jumpserver版本修改系統設置後須要手動重啓jumpserver，回到終端下運行./jms restart all，回到cocod終端下./cocod restart，涉及到的組件也重啓

2、建立用戶

其中，用戶名即 Jumpserver 登陸帳號。用戶組是用於資產受權，當某個資產對一個用戶組受權後，這個用戶組下面的全部用戶就均可以使用這個資產了。角色用於區分一個用戶是管理員仍是普通用戶
①建立用戶組

若是剛剛修復了郵件沒法發送的問題，沒有收到重置密碼的郵件，回到用戶列表點進須要發送的用戶，選擇發送重置密碼郵件
系統設置中基本設置中有當前站點URL須要支持域名解析，如在內網實驗，須要填寫jumpserverip：8080，並手動重啓jumpserver，不然沒法跳轉至jumpserver

②生成用戶密鑰,回到jumpserver
(py3) [root@localhost ~]# ssh-keygen -t rsa -C "441811842@qq.com"
(py3) [root@localhost ~]# cat .ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCjoNuvOLm+nTh1lm7m/KXjIRXdL+54sOUa+Z1QKX/x/g11PyQoitMh2XpalhimMKHEJ1IbpI64eOAM4mfDLIeKa06jrRR/i1eD8lWNO8E2dcz9d9z5ldRvimac8qoB3psCW75tR26nDuwqBqgiBId1Uu0c6bi9HwkiclRJLbk1KziUqjl6TRU0EfDUe0KjtCxTJVLDjtzKmvRheWWCNVdz1Pa5r44a8QsJET/yvTZaC/PQRcyYNl+IiVmMlTixYBGt2V5+yCT5iQDNKeH/pc/mu1pqdoInHCzdlSZ/uxZGSroimDbh1vtgOCW6H6mnhIBCD6TOrBSHEJS7r7iTb6ej 441811842@qq.com

複製到用戶公鑰處，提交

③確保Coco存活，在終端能夠查看2222端口是否存在

使用命令行測試登陸，使用2.6測試鏈接

Connecting to 192.168.2.6:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Last login: Mon May 28 18:10:15 2018 from 192.168.2.1
[root@localhost ~]# ssh -p 2222 wushuting@192.168.2.5
The authenticity of host '[192.168.2.5]:2222 ([192.168.2.5]:2222)' can't be established.
RSA key fingerprint is 77:a3:09:bc:58:61:d8:f2:7d:1a:f1:ba:67:79:ec:fc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.2.5]:2222' (RSA) to the list of known hosts.
wushuting@192.168.2.5's password:

Opt> exit

Connection to 192.168.2.5 closed.

測試成功說明jumpserver與資產機用戶間通信正常

3、建立管理用戶

①建立一些節點與子節點

②建立管理用戶
管理用戶是服務器的 root，或擁有 NOPASSWD: ALL sudo 權限的用戶，Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。
若是使用ssh私鑰，須要先在資產上設置，這裏舉個例子供參考（本例登陸資產使用root爲例）
[root@localhost ~]# cat .ssh/id_rsa.pub >> ~/.ssh/authorized_keys
[root@localhost ~]# chmod 400 ~/.ssh/authorized_keys
[root@localhost ~]# vim /etc/ssh/sshd_config

......
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
......

[root@localhost ~]# systemctl restart sshd
[root@localhost ~]# ssh-copy-id 192.168.2.5

密鑰與密碼必填一個，能夠選擇將資產機的id_rsa拷貝到宿主機
又若是使用root密碼那就是資產機root密碼，此處選擇密碼

4、建立系統用戶

系統用戶是 Jumpserver 跳轉登陸資產時使用的用戶，能夠理解爲登陸資產用戶，如 web, sa, dba(ssh web@some-host), 而不是使用某個用戶的用戶名跳轉登陸服務器(ssh xiaoming@some-host); 簡單來講是 用戶使用本身的用戶名登陸Jumpserver, Jumpserver使用系統用戶登陸資產
系統用戶的 Sudo 欄填寫容許當前系統用戶免sudo密碼執行的程序路徑，如默認的/sbin/ifconfig，意思是當前系統用戶能夠直接執行 ifconfig 命令或 sudo ifconfig 而不須要輸入當前系統用戶的密碼，執行其餘的命令任然須要密碼，以此來達到權限控制的目的

此處本人爲建立出來，點回更新的界面，正常界面下會顯示自動生成密鑰，若是資產機沒有這個系統用戶，此處選擇自動生成密鑰，若是用戶存在能夠選擇相應密碼

5、建立資產

提交後回到資產列表選擇資產能夠測試鏈接

若是資產不能正常鏈接，請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH 從 Jumpserver 主機正確登陸到資產主機上

6、建立網域

建立網關(若是沒有網關能夠跳出此步)
IP信息通常默認填寫網域資產的IP便可（如用做網域的資產有多塊網卡和IP地址，選能與jumpserer通訊的任一IP便可），用戶名與密碼能夠在資產上面建立亦可以使用jumpserver的推送功能（須要手動輸入密碼），確認該用戶擁有執行ssh命令的權限

jumpserver：
(py3) [root@localhost .ssh]# useradd gateway
(py3) [root@localhost .ssh]# passwd gateway

更改用戶 gateway 的密碼
新的 密碼：
無效的密碼： 密碼未經過字典檢查 - 過於簡單化/系統化
從新輸入新的 密碼：
passwd：全部的身份驗證令牌已經成功更新

7、建立受權規則

建立的受權規則要與節點一致

！！在使用以前必須回到系統用戶，管理用戶，資產列表每個尋找測試鏈接的界面，測試全部的鏈接，沒有報錯後繼續下一步！！

若有報錯訪問官文FAQ：http://docs.jumpserver.org/zh...

8、用戶使用受權資產

右上角註銷用戶，選擇登陸測試用戶登陸

選擇web終端

雙擊進入資產，如出現報錯，參考官網FAQ
http://docs.jumpserver.org/zh...
斷開資產

9、本人搭建以及使用遇到的問題

本人遇到了luna版本與coco版本的不兼容，多是coco版本最近的更新致使luna沒法在前端顯示

發生錯誤前luna版本：

進入到前端luna空白頁沒有顯示

解決方法：
進入到jumpserver下
[root@localhost opt]# ls

coco         jumpserver  logs  luna.tar.gz   nginx-1.14.0.tar.gz  rh
dist.tar.gz  keys        luna  nginx-1.14.0  py3                  sessions

(py3) [root@localhost jumpserver]# ./jms stop
[root@localhost opt]# rm -rf luna
刪掉舊版本的luna，去到github下載最新的luna
訪問：https://github.com/jumpserver...

複製下載連接使用wget下載到jumpserver中，解壓luna移動到/opt下
從新啓動jumpserver和coco以及各組件,刪除瀏覽器緩存，也能夠更換瀏覽器繼續嘗試

特別鳴謝jumpserver開源社區

官方文檔： http://docs.jumpserver.org/zh...

報錯FAQ排查： http://docs.jumpserver.org/zh...