開源跳板機(堡壘機)Jumpserver v0.2.0 使用說明

說明視頻：

  用戶管理： http://v.youku.com/v_show/id_XOTM5Mzc3NDE2.html

  受權管理： http://v.youku.com/v_show/id_XOTM5Mzg1MTY0.html

部署篇： http://laoguang.blog.51cto.com/6013350/1636273

更新log截圖篇： http://laoguang.blog.51cto.com/6013350/1635853

本篇是使用篇

一. 用戶管理

Jumpserver 2.0.0 版本中增長了部門管理員角色，能夠負責管理一個部門的成員和該部門的主機，若是有須要請添加部門，若是服務器或用戶較少能夠不添加部門和部門管理員

1.1 添加部門

用戶管理 -- 添加部門

1.2 添加部門管理員用戶

用戶管理 -- 添加用戶

用戶的web登陸密碼，ssh密鑰密碼等以郵件發送給所填寫的郵箱

查看添加後的用戶

1.3 添加普通用戶

用戶管理 -- 添加用戶

查收郵件

1.4 添加用戶組

2.0.0版本的jumpserver受權主機或者sudo是以組的形式組織的，因此要創建用戶組

用戶管理 -- 添加小組 (有人問爲什麼不是添加用戶組？ 由於四個字比較好看)

1.5 測試添加的用戶

根據郵件說明，登陸web

下載ssh密鑰，用來登陸jumpserver

導入到工具或者使用ssh命令登陸jumpserver，本例使用xshell導入

登陸jumpserver

 

二. 資產管理

2.1 添加IDC機房

(從新登陸管理員帳戶)若是有多個IDC機房，能夠分別添加IDC機房，若是就那麼一個能夠不添加，使用默認的便可

資產管理 -- 添加IDC

查看IDC機房

2.2 添加資產

登陸方式： 有兩種，一中是LDAP也是最主要的方式，服務器須要安裝ldap client，另外一種是map，也就是映射，該模式用於不能安裝ldap的機器，選擇該模式後，須要手動填寫主機的帳號密碼，用戶從跳板機跳轉到該服務器，會以這個用戶登陸

部門：選擇服務器輸入哪一個部門，也至關於把服務器受權給某個部門，未來該部門管理員能夠管理該服務器及受權

所屬主機組：剛開始可不填，當選擇主機組後，若是該主機組已受權給用戶組，則該主機受權給用戶組的各個用戶

查看資產

2.3 批量添加資產

資產管理 -- 添加資產 -- 批量添加

批量添加資產能夠按照格式批量添加資產，對應的各個字段有說明，也有實例

查看資產

2.4 添加主機組

前面也講過受權是基於組的，最終須要以組形式受權，因此添加主機組

資產管理 -- 添加主機組

查看主機組

 

三. 受權管理

受權管理是用來受權主機或者sudo，查看用戶權限申請並處理的模塊

3.1 受權主機組給用戶組

受權管理 -- 小組受權 -- 選擇用戶組 -- 受權編輯

將剛纔創建的主機組受權給該用戶組

查看受權詳情

 

3.2 測試受權

web登陸創建的那個普通用戶，查看受權的主機

該用戶登陸jumpserver，使用jumpserver登陸受權主機

注： jumpserver正常使用會讓 connect.py腳本登陸自啓動，部署文檔後面有說明， 下面的操做爲試了方便測試

# cd /opt/jumpserver

# python connect.py

輸入p或P 查看全部受權主機

輸入g或G 查看受權主機組

輸入g或G加上組的ID，查看該組下的主機

輸入e 能夠進入二級菜單批量在主機執行命令，根據提示輸入IP，支持通配符，能夠逗號分隔，下面輸入執行的命令

注意：報錯可能提示沒有目錄權限，添加該目錄並修改權限

# mkdir –p /opt/jumpserver/logs/exec_cmds

# chmod 777  /opt/jumpserver/logs/exec_cmds -p

輸入q 能夠退出到上一層菜單或者退出

輸入ip地址，或者ip的一部分，或者輸入主機的備註，或者輸入主機的別名(別名是用戶在web端對主機的自定義備註)

注意：報錯可能提示沒有目錄權限，添加該目錄並修改權限

# mkdir /opt/jumpserver/logs/connect/

# chmod 777 /opt/jumpserver/logs/connect/

3.3 Sudo受權

(從新登陸管理員帳戶)

添加sudo可執行的命令組

受權管理 – sudo受權 -- 添加命令組

查看命令組

sudo受權

受權管理 – sudo受權 -- 查看sudo受權 -- sudo受權

查看sudo受權

能夠查看受權了那些主機上執行哪些sudo 命令

3.4 測試sudo命令

想必剛纔的終端你還沒用退出，使用jumpserver登陸後端主機後，sudo測試

 

四. 日誌審計

4.1 監控在線用戶操做

日誌審計 -- 在線 

這時若是你的終端沒用退出的話，會看到測試帳戶

點擊監控，能夠實時查看用戶的操做行爲和歷史操做記錄 (若是不能彈出監控窗，應該是 node index.js程序沒有啓動)

點擊阻斷，強行用戶斷開

 

4.2 查看歷史記錄

日誌審計 -- 歷史記錄 -- 命令統計

查看本次登陸用戶操做的記錄 （若是沒有日誌 多是log_handler.py程序沒有運行）

 

五. 部門管理員角色的職能

將主機受權給部門管理員後，部門管理員能夠管理本部門用戶， 能夠受權該部門下的主機，上面添加用戶時已經添加了 喬峯 爲部門管理員，下面將主機受權給喬峯所在部門

5.1 部門受權

在添加主機時，若是將主機設置爲某個部門，則直接將主機受權給該部門，可省略下面工做

受權管理 -- 部門受權 -- 受權編輯

 

5.2 部門管理員登錄 (什麼，你忘記密碼了？ 去查看郵件吧)

5.3 查看部門管理員相關功能

部門管理員相比超級管理員功能要少些，只能負責該部門的主機受權，用戶管理，須要說明的是，新建的用戶會默認屬於本部門，新添加的主機會屬於本部門

快去試試吧！

 

六. 普通用戶web操做

普通用戶也能夠登陸jumpserver web系統，進行一些操做哦

6.1 登陸

6.2 瀏覽瀏覽

能夠四處瀏覽一下，試試各個功能，儀表盤，我的信息

6.3 申請主機權限

申請主機權限，能夠選擇申請的主機或者組，發郵件給管理員，管理員收到後會處理申請(對不起，目前申請處理還不是自動的)

權限申請 -- 申請主機

查看申請記錄

這時喬峯應該收到了郵件，能夠點擊連接，或者登錄jumpserver處理申請

登錄喬峯帳戶，查看權限申請

受權管理 -- 權限審批 -- 未審批

這時苦逼的管理員須要手動爲該用戶受權，受權完成後點擊確認，嘿嘿

6.4 上傳文件

上傳下載 -- 文件上傳

填寫ip地址，多個ip逗號隔開，將須要上傳的文件或者目錄拖拽上去，點擊所有上傳，上傳文件在服務器的/tmp目錄下，去看看吧

 

到此基本的使用已經介紹完了，一些功能好比修改用戶信息，刪除用戶，回收權限沒有講解，本身試試吧，有問題能夠羣裏討論，Jumpserver是一個年輕的項目，可能存在一些BUG，須要您的及時反饋，幫助咱們一塊兒完善項目！