Teleport安装与配置

系统环境

# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core) 
# uname -r
3.10.0-693.21.1.el7.x86_64

安装

下载最新的teleport安装包（teleport-server-linux-x64-3.0.1.6.tar），放到/usr/src目录下并执行下列命令：

# wget http://teleport.eomsoft.net/static/download/teleport-server-linux-x64-3.0.1.6.tar.gz
# tar zxvf  teleport-server-linux-x64-3.0.1.6.tar
# cd teleport-server-linux-x64-3.0.1.6.tar
# ./setup.sh

仅需几秒钟，安装就已完成，而且teleport服务也成功启动运行了

如今，您的堡垒机已经准备就绪，能够访问了

---

---

安装完成后的必要设置

请访问 http://您的堡垒机IP地址:7190 进行配置管理。默认管理员帐号 admin，默认管理员密码 admin。
安装完成后，请以管理员身份登陆，首次安装的系统会进行数据库的建立和初始化操做，完成以后刷新页面便可进入teleport主界面。

---

Teleport服务的启动与中止

启动teleport服务：

# /etc/init.d/teleport start

中止teleport服务：

# /etc/init.d/teleport stop

从新启动teleport服务：

# /etc/init.d/teleport restart

查看Teleport服务的运行情况：

# /etc/init.d/teleport status

---

WEB服务设置

默认状况下，teleport的WEB服务使用7190端口，安装后可按以下地址访问：
http://您的堡垒机IP地址:7190
若是您须要更改默认端口号，请修改配置文件（注意，两个配置文件均涉及到web端口，要一并修改）。

# /usr/local/teleport/data/etc/web.ini 
# /usr/local/teleport/data/etc/core.ini

重要提示：修改完配置文件后，须要从新启动teleport服务使修改生效！

---

管理配置

1. 登陆
   管理员帐号是 admin，默认密码是 admin。登陆后，请第一时间修改管理员密码！！
   
   登陆成功,显示主界面
   
2. 主机管理
   添加主机
   点击添加主机按钮添加单台主机或者根据导入模版批量添加主机
   
   单台主机添加
   
   
   批量添加主机
   
   编辑好主机信息文件后，点击“导入主机和帐号”按钮，选择刚刚编辑好的主机信息文件，便可上传到服务器并自动导入到主机列表中。
3. 帐号管理
   远程访问Windows主机通常经过RDP协议（即，远程桌面协议），用户认证方式采用 用户名/密码 方式。
   远程访问Linux主机通常经过SSH，用户认证方式有两种：用户名/密码 和用户名/ SSH密钥认证
   添加帐号
   点击帐号数，添加主机帐号
   
   帐号认证方式
   用户名+密码认证
   
   用户名+私钥认证
   
4. 用户管理
   添加用户
   这里能够添加，删除用户。
   
   用户受权
   
5. 配置管理
   Teleport核心服务默认端口设置：

监听地址	端口号	用途	备注
localhost	52080	提供给WEB后台的RPC接口	本机跨进程通信建议不作修改
0.0.0.0	52089	提供RDP跳转服务	对外提供RDP跳转服务能够不作修改
0.0.0.0	52189	提供SSH跳转服务	对外提供SSH跳转服务能够不作修改

Teleport在默认端口配置下便可正常工做，可是在某些状况下，可能须要修改端口号来匹配您公司的防火墙策略，您能够在配置文件中进行设置。

---

运维人员平常使用

登陆

系统中没有默认的运维人员帐号，须要由管理员添加用户，方可登陆。新建立的用户，请登陆绑定邮箱，获取帐号密码，如若忘记密码，能够在登陆界面选择忘记密码，输入帐号，绑定邮箱，登陆绑定邮箱点击重置连接，从新设置登陆密码（密码长度不得少于8位，且必须包含字母大小写及数字）

主机管理

远程链接

远程助手
点击主机信息右侧的“远程”按钮，能够进行远程链接。可是在第一次使用远程链接时，会跳出如下对话框:

须要下载并运行 远程助手
官网下载地址：http://teleport.eomsoft.net/download


安装完成后双击启动它（您能够在系统托盘区看到助手小图标）。启动以后，刷新主机管理页面。



链接主机
点击 远程 按钮，助手会打开对应的客户端软件进行远程链接。
SSH:

RDP:

助手设置
助手设置默认的SSH链接和Telnet链接是Putty，SFTP链接是WinSCP，RDP链接是FreeRDP。
点击红框内的助手设置能够选择其余链接工具代替。


完成后保存便可

安装mysql（用mysql替代默认的sqlite数据库）

# yum install -y mariadb mariadb-devel mariadb-server

运行mysql

# systemctl start mariadb

设置开机启动

# systemctl enable mariadb

初始化设置帐号密码

mysql_secure_installation

root初始密码为空，设置root密码并禁止root远程登录，删除guest等

设置mysql字符集

# vim /etc/my.cnf

在[mysqld]标签下添加

init_connect='SET collation_connection = utf8_unicode_ci' 
 init_connect='SET NAMES utf8' 
 character-set-server=utf8 
 collation-server=utf8_unicode_ci 
 skip-character-set-client-handshake

# vim /etc/my.cnf.d/client.cnf

在[client]中添加

default-character-set=utf8

# vim /etc/my.cnf.d/mysql-clients.cnf

在[mysql]中添加

default-character-set=utf8

重启mysql

# systemctl restart mariadb

进入mysql查看是否配置正确

> show variables like "%character%";show variables like "%collation%";

创建数据库帐号及实例

创建数据库新用户（teleport）

>  create user teleport@localhost identified by '123456';

创建新实例（teleport）

> create database teleport;

赋予用户权限

> grant all privileges on teleport.* to teleport@localhost identified by '123456' with grant option;

用户名是teleport，密码是123456.
接下来咱们须要更改配置文件将mariadb数据库的一些信息填入。
配置文件的默认路径是/usr/local/teleport/data/etc,咱们须要编辑文件web.ini.

# cp /usr/local/teleport/data/etc/web.ini  /usr/local/teleport/data/etc/web.ini.bak  #先备份配置文件

编辑配置文件web.ini

重启teleport:

# /etc/init.d/teleport  restart

常见问题FAQ

• rdp客户端链接win2008以上服务器失败，日志提示“协议不支持”
  解决办法：
  服务器端打开 计算机-属性-远程设置，将默认的“仅容许运行使用网络级别身份验证的远程桌面的计算机链接”，更改成“容许运行任意版本远程桌面的计算机链接” 便可正常链接
  以下图红框，取消该项目的的勾选
  
• 将web界面运行在80端口后没法正常查看log录像（此问题已在3.0.1.6版本修正）
  问题缘由：原软件bug,因为80端口默认不显示，服务器取不到端口值致使
  解决办法：

  vim /usr/local/teleport/www/teleport/static/js/ui/log.js

  if (protocol === PROTOCOL_TYPE_RDP) {
                $(cell_obj).find('[ywl-btn-record]').click(function () {
                    var ip = window.location.hostname;
                    var port = parseInt(window.location.port);
                    var url = 'http://' + ip + ':' + port + '/log/replay/rdp/' + row_data.id;
                    var tail = 'log/replay/rdp/' + prefixInteger(row_data.id, 6);
                    var args = {};
                    args.id = parseInt(row_data.id);
                    args.host = ip;
                    args.port = port;
                    args.tail = tail;
                    args.url = url;
                    start_rdp_replay(args,
                        function () {
                            ywl.notify_success('RDP 录像播放器成功启动！');
                        },    
                        function (code, msg) {
                            if (code === TPE_NO_ASSIST)
                                g_assist.alert_assist_not_found();
                            else {
                                ywl.notify_error(msg);
                                console.log('error:', msg)
                            }  
                        });
                });

  将代码中的
  args.port = port
  改成
  if(port){
  args.port = port;}
  else{
  args.port = 80;}

  业务迁移

  因业务需求，须要将原有teleport迁移到新的虚拟机，其思路以下：环境配置+数据库导出导入，如果阿里云机器，还须要放开对应的端口

• 第一步、配置环境，具体步骤如上述，确保数据库名称及密码跟原机器同样
• 第二步、导出数据库文件

  # mysqldump -uroot -p teleport > teleport.sql

  能够将导出的数据库文件下载到本地后再上传到新机器，或者经过命令scp teleport.sql root@x.x.x.x:/root传到新的机器上(确保两台台机器是互通的)

• 第三步、导入数据文件到新机器

  # mysql -uroot -p teleport < teleport.sql

  Nginx反向代理

  添加反向代理

• 安装nginx

  # yum install -y nginx

  添加nginx代理配置文件ops.conf，

  vim /etc/nginx/conf.d/ops.conf

  ...略
  server
  {
  listen      80;
  
  location  /
  {
  
      proxy_pass http://x.x.x.x:7190;
      proxy_set_header    Host $http_host;
      proxy_set_header    X-Forwarded-Host $host;
      proxy_set_header    X-Forwarded-Server $host;
      proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
  
  }
  }

  保存，重启nginx。浏览器输入地址：http://IP地址 便可