91.建立普通用户 添加机器、系统用户并受权、受权规则 客户端登陆jumpserver 总结

23.9 建立jumpserver普通用户

23.10 添加机器

23.11 添加系统用户并受权

23.12 添加受权规则

23.13 客户端登陆jumpserver

总结

 

 

 

23.9 建立jumpserver普通用户

 

 

 

普通用户的密码以及密钥下载地址、密钥密码都会经过邮件的方式发送给用户

浏览器登陆普通用户，能够查看有权限的主机，也能够在web界面下登陆主机、上传和下载文件

xshell建立新的链接

ip为jumpserver的ip，端口为22

用户名为普通用户名字（aming）

设置密钥认证

链接后，出现登陆页面，数据p查看全部被受权主机

输入主机前面的数字能够登陆到对应的主机下面

 

[root@axinlinux-04 jumpserver-0.3.3]# ./service.sh start

Starting jumpserver service: [ OK ]

#由于机器重启过，在jumpserver-0.3.3目录了下，service.sh文件start就能够了

 

 

建立jumpserver里面的用户，就是用来登陆jumpserver浏览器的用户。或者说未来你要用命令行的形式去登陆到跳板机来，用到的用户

 

首先要建立一个用户组

 

而后再建立用户

 

 

以上报错了，邮箱的问题。咱们点击退后，退回上一步

以上，查看一下用户。实际上已经有zhangsan这个用户了。可是密码是什么还不知道，这时候邮件就是出问题了。咱们能够点击 编辑，给他设定一个密码（wangxin789）

以上，设置了密码。可是密钥密码还不知道。能够去生成一个。

也就是说让zhangsan这个用户首先登录，登录以后，把密钥下载下来，以后就会显示NoKey状态。而后就能够生成一个新的，就会在浏览器上提示这个密码是什么。 那么之后若是哪个用户忘记了密码，或者哪个密钥的密码。能够先点击下载密钥，而后从新生成一个，生成的同时就会弹出来一个窗口，从而告诉你密码是什么。步骤以下：

首先登录涨三这个用户

 

而后回到管理员帐户（admin）

 

YHRFtmi5sqCgm3zI

这里的这个受权密码，以及下载下来的zhangsan的密钥在后面的 客户机登陆jumpserver 这一节上用到

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

23.10 添加机器

 

 

给咱们添加的用户增长机器，也就是资产管理

 

首先添加 资产组

 

 

以上，点更新他能够把这些相关的数据（cpu、内存等等）抓取出来。这是咱们以前建立的jump用户来作的（必需要在相应的客户机上建立，就是图上aming-02机器上建立jump），可是咱们尚未给他sudo的权限。如今给他sudo：

[root@dazuoye02-01 ~]# visudo #固然要在相应的客户机上作sudo的受权

## Same thing without a password

# %wheel ALL=(ALL) NOPASSWD: ALL

jump ALL=(ALL) NOPASSWD: ALL #在此处添加。而且不须要密码。！！！！！都要为大写，由于此处为小写，形成后面的推送不成功！！！！

再回到web界面，管理员帐户上。点击更新

 

 

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

23.11 添加系统用户并受权

 

 

 

系统用户就是你登陆跳板机到其余机器上的用户

 

首先添加系统用户

 

而后去生产密钥

[root@axinlinux-04 ~]# cd .ssh/ #在跳板机上 .ssh目录下生成

[root@axinlinux-04 .ssh]# ssh-keygen -f zhangsan

Generating public/private rsa key pair.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in zhangsan.

Your public key has been saved in zhangsan.pub.

The key fingerprint is:

SHA256:dV+wQJYueoZn2JzDyTFWgHUhBhosQ7bsonV9yrw/WkU root@axinlinux-04

The key's randomart image is:

+---[RSA 2048]----+

| .o.. .+=o*o. |

| oo..o.. +o. o |

| oo. Eo. . .|

| . . o=... . |

| o o . SX.* . |

| o o o o+.& |

|. + .= . |

| o. |

| oo.. |

+----[SHA256]-----+

[root@axinlinux-04 .ssh]# cat zhangsan #将他的私钥保存到上图的web界面私钥的位置

而后点击肯定，会提醒密钥有误，再次点击肯定（小bug，没有有关系）

 

 

以上推送成功后，会在资产管理里，显示出这台客户机的信息

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

23.12 添加受权规则

 

 

 

针对zhangsan添加一个规则

规则用来作一个映射，让咱们jumpserver里面的用户去关联对应资产里面的哪一台机器的哪个用户

 

 

 

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

 

23.13 客户端登陆jumpserver

 

 

 

 

 

用张三用户拿xshell去登陆跳板机，并登陆跳板机受权的机器。（以前下载的张三的密钥以及显示出来的受权码）

再点击用户验证身份

 

 

而后再链接zhangsan

 

 

若是没有出现以上jumpserver的界面。出现的是跟日常用户登陆的同样的命令行（以下），是由于他的shell不对（若是可查看shell），不该该是/bin/bash,而应该为/opt/jumpserver-0.3.3/init.sh：

[root@axinlinux-04 jumpserver-0.3.3]# echo $SHELL

/bin/bash

[root@axinlinux-04 jumpserver-0.3.3]# vim /etc/passwd

zhangsan:x:1002:1002::/home/zhangsan:/opt/jumpserver-0.3.3/init.sh

lisi:x:1003:1003::/home/lisi:/opt/jumpserver-0.3.3/init.sh

因此要把zhangsan的shell改成/opt/jumpserver-0.3.3/init.sh。再从新登一下就能够了

登录进来以后，就能够操做了：

Opt or ID>: p #p能够查看有权限登陆的机器，最经常使用就是p，而后输入前面的数字去登陆

[ID ] IP Port Hostname SysUser Comment

[0 ] 192.168.208.135 22 dazuoye02-01 [zhangsan]

Opt or ID>: 0 #输入前面的ID数0就能够登陆到135机器。可是不能登陆本机（也就是跳板机），由于本机没法登本机

Only match Host: dazuoye02-01

Connecting dazuoye02-01 ...

Last login: Sun Dec 2 22:28:41 2018 from 192.168.208.136

[zhangsan@dazuoye02-01 ~]$ #就能够对135机器操做

Opt or ID>: e #也能够ane，批量的执行一些命令

受权包含该系统用户的全部主机

dazuoye02-01

请输入主机名或ansible支持的pattern, 多个主机:分隔, q退出

Pattern>: dazuoye02-01 #输入dazuoye02-01机器

匹配主机:

dazuoye02-01

请输入执行的命令， 按q退出

Cmds>: w #若是是多台就能够所有的显示出来

dazuoye02-01 => Ok

22:43:40 up 1:18, 1 user, load average: 0.00, 0.01, 0.05

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

root pts/0 192.168.208.1 22:12 11:24 0.15s 0.12s vim /etc/passwd

 

~o~ Task finished ~o~

 

请输入执行的命令， 按q退出

Cmds>: #还能够继续执行

也能够给zhangsan用户sudo一些root的命令，让他去执行root的一些操做

 

 

 

 

 

 

总结：

在jumpserver里面有三种用户：

1.jumpserver用户是咱们用来登陆web界面的用户。也能够创建一个xshell，由于咱们每建立一个jumpserver用户都会生成一个系统用户（/etc/passwd）

2.管理用户是在每一台机器上做为一个管理员用户，他的做用帮咱们自动建立系统用户、还能够自动的额帮咱们把机器的配置抓下来

3.系统用户就是用来登陆客户机的

而受权规则就须要把jumpserver和对应的机器以及系统用户关联起来