0、JumpServer架构中有这么几种用户,JumpServer用户、管理用户、系统用户。
首先,JumpServer用户有
管理员身份和普通用户身份,JumpServer用户是用来登陆JumpServer本身时使用,管理员身份可以对JumpServer进行修改配置。其次,
管理用户是资产(被控服务器)上真实存在的管理员用户,例如Linux上的root用户,windows上的默认管理员用户Administrator。JumpServer 使用该用户来推送系统用户、获取资产硬件信息等。然后,在实际生产环境中,开发、测试可能需要使用到某台资产,但是为了安全又不能都给他们管理员权限,所以JumpServer的系统用户就是来解决这个问题的。针对不同人员的不同需求,为其创建不同的
系统用户
1、用户配置
JumpServer用户有三种角色:
① 管理员
进行系统的配置和管理,默认管理员账号和密码均为admin
② 普通用户
③ 审计员
对日常使用进行审计的用户
1.1 配置管理员
① 使用管理员登陆
② 修改管理员密码
1.2 创建普通用户
① 用管理员创建1个普通用户
1.3 创建审计员
② 用管理员创建1个审计员
2、资产配置
JumpServer最重要的就是资产管理部分,其可以管理很多的IT资产,常见的如服务器(Linux、Windows等)、数据库(Mysql等)、网络设备(路由器、交换机等)、应用(浏览器等)
① 在创建资产之前,首先我们得有一个该资产的管理用户,该用户对应其管理资产上的root用户,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来
推送系统用户、获取资产硬件信息等。② 创建资产树节点
③ 创建资产
2.1 创建管理用户
2.2 此处资产树节点选择默认的default,所以这里直接回到资产管理->资产列表,创建资产
创建Linux资产与windows资产( windows2016之后的版本都选择为windows 2016 )
3、权限配置
经过上述两步,我们使用JumpServer加了用户,加了资产,接下来我们要做的就是对用户与资产做一个权限的配置,也就是说在JumpServer中,需要对用户( 或用户组 )与资产( 单个资产或资产节点 )做一个集中授权。
① 创建系统用户
实际连接的过程中,不能让使用者直接使用管理用户去连接实际的资产,我们应该给其创建一个普通的系统级用户,让该使用者通过这样的普通用户去连接到资产
② 资产授权
用户/用户组->资产/资产节点->动作->有效期
3.1 创建系统用户
系统用户是 JumpServer 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web,sa,dba(
ssh web@some-host),而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是用户使用自己的用户名( 前面创建的普通用户 )登录 JumpServer,JumpServer 使用系统用户登录资产。 系统用户创建时,如果选择了自动推送,JumpServer 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持 Ansible,请手动填写账号密码。!
系统用户需不需要真实存在于资产上有待商榷。因为博主本身也是初接触JumpServer,在连接Linux资产的时候,经个人测试发现,如果创建的
系统用户存在于要连接的资产上,连接是没问题的,如果创建的系统用户不存在于要连接的资产上,连接失败,报错:Connect asset linux-service error: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain。就博主个人对JumpServer的理解来说,我觉得该用户是不需要存在于资产上的,因为实际测试环境中,有人员需要使用资产,就得给人在资产上创建一个普通用户,那这样还要JumpServer干啥用?但是我又不能解释为啥我的这个,用户存在可以使用JumpServer连接到资产,不存在连接不上的问题
我就问了身边的开发大佬,他说之前简单看过JumpServer的源码,
系统用户的创建是相当于继承了该资产的管理用户的一部分权限,该系统用户数据是存储在JumpServer的数据库当中的,创建该系统用户不是直接在该资产上创建了一个新用户,而是在JumpServer的数据库中创建了这么一个用户,能够继承该资产的管理用户的一部分权限……然后具体的他也记不住了该疑问会继续推进,等找到确定的答案,会将真正的答案记录下来!
3.2 资产授权
4、使用资产
完成以上的用户配置、资产配置、权限配置 之后,接下来就是使用资产了,使用资产的话有两种方式,一种是JumpServer内建的WebTerminal( JumpServer的Luna组件 ),一种是使用客户端工具。
4.1 Linux资产使用内建的WebTerminal
① 切换到用户界面
② 使用内建终端
③ 测试连接Linux
4.2 使用ssh端连接JumpServer,然后连接资产
admin@192.168.52.10,admin就是JumpServer的管理员,192.168.52.10是堡垒机的IP地址,-p指定的JumpServer的ssh端口
4.3 windows需要检查是否安装了openssh server
若要安装 OpenSSH,请启动设置,然后转到应用>应用和功能>管理可选功能。
扫描此列表,查看 OpenSSH 客户端是否已安装。 如果没有,则在页面顶部选择添加功能,然后:
若要安装 OpenSSH 客户端,请找到
OpenSSH 客户端,然后单击安装。若要安装 OpenSSH 服务器,请找到
OpenSSH 服务器,然后单击安装。安装完成后,请返回“应用”>“应用和功能”>“管理可选功能”,你应当会看到列出的 OpenSSH 组件
参考来源:
1、JumpServer官方
https://docs.jumpserver.org/zh/master/admin-guide/quick_start/
2、微软官方
https://docs.jumpserver.org/zh/master/admin-guide/quick_start/
