侧边栏壁纸
博主头像
枕头下放双臭袜子博主等级

今我何功德,曾不事农桑

  • 累计撰写 162 篇文章
  • 累计创建 30 个标签
  • 累计收到 0 条评论

jumpserver快速入门

枕头下放双臭袜子
2020-08-03 / 0 评论 / 0 点赞 / 1,651 阅读 / 0 字 / 正在检测是否收录...

0、JumpServer架构中有这么几种用户,JumpServer用户、管理用户、系统用户。

首先,JumpServer用户有管理员身份普通用户身份,JumpServer用户是用来登陆JumpServer本身时使用,管理员身份可以对JumpServer进行修改配置。

其次,管理用户是资产(被控服务器)上真实存在的管理员用户,例如Linux上的root用户,windows上的默认管理员用户Administrator。JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等。

然后,在实际生产环境中,开发、测试可能需要使用到某台资产,但是为了安全又不能都给他们管理员权限,所以JumpServer的系统用户就是来解决这个问题的。针对不同人员的不同需求,为其创建不同的系统用户

1、用户配置

JumpServer用户有三种角色:

① 管理员

进行系统的配置和管理,默认管理员账号和密码均为admin

② 普通用户

③ 审计员

对日常使用进行审计的用户

1.1 配置管理员

① 使用管理员登陆

image.png

② 修改管理员密码

image.png

image.png

1.2 创建普通用户

① 用管理员创建1个普通用户

image.png

image.png

1.3 创建审计员

② 用管理员创建1个审计员

image.png

2、资产配置

JumpServer最重要的就是资产管理部分,其可以管理很多的IT资产,常见的如服务器(Linux、Windows等)、数据库(Mysql等)、网络设备(路由器、交换机等)、应用(浏览器等)

① 在创建资产之前,首先我们得有一个该资产的管理用户,该用户对应其管理资产上的root用户,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等。

② 创建资产树节点

③ 创建资产

2.1 创建管理用户

image.png

image.png

2.2 此处资产树节点选择默认的default,所以这里直接回到资产管理->资产列表,创建资产

image.png

创建Linux资产与windows资产( windows2016之后的版本都选择为windows 2016 )

image.png

image.png

3、权限配置

经过上述两步,我们使用JumpServer加了用户,加了资产,接下来我们要做的就是对用户与资产做一个权限的配置,也就是说在JumpServer中,需要对用户( 或用户组 )与资产( 单个资产或资产节点 )做一个集中授权。

image.png

① 创建系统用户

实际连接的过程中,不能让使用者直接使用管理用户去连接实际的资产,我们应该给其创建一个普通的系统级用户,让该使用者通过这样的普通用户去连接到资产

② 资产授权

用户/用户组 -> 资产/资产节点 -> 动作 -> 有效期

3.1 创建系统用户

系统用户是 JumpServer 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web,sa,dba(ssh web@some-host),而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是用户使用自己的用户名( 前面创建的普通用户 )登录 JumpServer,JumpServer 使用系统用户登录资产。 系统用户创建时,如果选择了自动推送,JumpServer 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持 Ansible,请手动填写账号密码。

!image.png

系统用户需不需要真实存在于资产上有待商榷。因为博主本身也是初接触JumpServer,在连接Linux资产的时候,经个人测试发现,如果创建的系统用户存在于要连接的资产上,连接是没问题的,如果创建的系统用户不存在于要连接的资产上,连接失败,报错:Connect asset linux-service error: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain
就博主个人对JumpServer的理解来说,我觉得该用户是不需要存在于资产上的,因为实际测试环境中,有人员需要使用资产,就得给人在资产上创建一个普通用户,那这样还要JumpServer干啥用?但是我又不能解释为啥我的这个,用户存在可以使用JumpServer连接到资产,不存在连接不上的问题
我就问了身边的开发大佬,他说之前简单看过JumpServer的源码,系统用户的创建是相当于继承了该资产管理用户的一部分权限,该系统用户数据是存储在JumpServer的数据库当中的,创建该系统用户不是直接在该资产上创建了一个新用户,而是在JumpServer的数据库中创建了这么一个用户,能够继承该资产的管理用户的一部分权限……然后具体的他也记不住了
该疑问会继续推进,等找到确定的答案,会将真正的答案记录下来!

image.png

3.2 资产授权

image.png

4、使用资产

完成以上的用户配置、资产配置、权限配置 之后,接下来就是使用资产了,使用资产的话有两种方式,一种是JumpServer内建的WebTerminal( JumpServer的Luna组件 ),一种是使用客户端工具。

4.1 Linux资产使用内建的WebTerminal

① 切换到用户界面

image.png

② 使用内建终端

image.png

③ 测试连接Linux

image.png

4.2 使用ssh端连接JumpServer,然后连接资产

admin@192.168.52.10,admin就是JumpServer的管理员,192.168.52.10是堡垒机的IP地址,-p指定的JumpServer的ssh端口

image.png

4.3 windows需要检查是否安装了openssh server

若要安装 OpenSSH,请启动设置,然后转到应用>应用和功能>管理可选功能

扫描此列表,查看 OpenSSH 客户端是否已安装。 如果没有,则在页面顶部选择添加功能,然后:

若要安装 OpenSSH 客户端,请找到OpenSSH 客户端,然后单击安装

若要安装 OpenSSH 服务器,请找到OpenSSH 服务器,然后单击安装

安装完成后,请返回“应用”>“应用和功能”>“管理可选功能”,你应当会看到列出的 OpenSSH 组件

image.png

参考来源:
1、JumpServer官方
https://docs.jumpserver.org/zh/master/admin-guide/quick_start/
2、微软官方
https://docs.jumpserver.org/zh/master/admin-guide/quick_start/

0

评论