jumpservice配置：快速入门

时间 2019-11-25

标签 jumpservice 配置快速入门繁體版

原文原文链接

快速入门

说明

到 Jumpserver 会话管理-终端管理查看 Coco Guacamole 等应用是否在线

1、系统设置

1.1 基本设置

 
    # 修改 url 的"localhost"为你的实际 url 地址, 不然邮件收到的地址将为"localhost" 也没法建立新用户  
   

1.2 邮件设置

 
    # 点击页面上边的"邮件设置", 进入邮件设置页面 # 默认使用 25 端口, 不勾选 SSL 和 TLS; 若是须要勾选 SSL, 端口须要修改为 465; 若是须要勾选 TLS, 端口须要改为 587 # 不能够同时勾选 SSL 和 TLS # 配置邮件服务后, 点击页面的"测试链接"按钮, 若是配置正确, Jumpserver 会发送一条测试邮件到您的 SMTP 帐号邮箱里面, 肯定收到测试邮件后点击保存便可使用  
   

1.3 LDAP设置

 
    # 若是不须要使用"ldap"用户登录 jumpserver, 能够直接跳过, 不须要设置 # 先"测试"经过才能保存 # DN 和 OU 必定要完整(如 "DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org") # 注：可借用第三方 gui 工具查看 ldap 用户的属性, 新版本已经支持中文名登陆, 即cn=中文也可正常使用  
   

参考 LDAP 使用说明php

1.4 终端设置

 
    # "密码认证"和"密钥认证"是 SSH 链接跳板机时所使用的认证方式(都不选会形成没法使用 SSH 方式链接登陆跳板机, 不影响 web 登陆) # "Telnet成功正则表达式" telnet设备登录失败须要设置 # "命令存储""录像存储"位置设置 # "命令存储""录像存储"修改后, 须要在Jumpserver 会话管理-终端管理 修改terminal的配置 录像存储 命令记录, 而后重启 Jumpserver 服务 # 设置后重启 Coco 才能生效  
   

_images/admin_settings_terminal_list_01.jpg

_images/admin_settings_terminal_list_02.jpg

1.5 安全设置

 
    # "MAF二次认证"勾选会开启全局强制"MFA", 全部 jumpserver 用户必须使用动态口令进行认证登陆(即时生效) # "限制登陆失败"和"限制登陆时间"设置须要重启 jumpserver 才能生效 # "SSH最大空闲时间"设置须要重启 coco 才能生效 # "密码校验规则"设置当即生效  
   

_images/admin_settings_security_list_01.jpg

_images/admin_settings_security_list_02.jpg

2、用户管理

2.1 建立 Jumpserver 用户

 
    # 点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面 # 点击页面左上角"建立用户"按钮, 进入建立用户页面, (也能够经过右上角导入模版进行用户导入) # 其中, 用户名即 Jumpserver 登陆帐号(具备惟一性, 不能重名)。名称为页面右上角用户标识(可重复) # 成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱 # 点击邮件中的设置密码连接, 设置好密码后, 您就能够用户名和密码登陆 Jumpserver 了。 # 用户首次登陆 Jumpserver, 会被要求完善用户信息, 按照向导操做便可。 注：MFA 即 Google Authenticator, 使用此软件须要APP时间与浏览器时间同步  
   

3、资产管理

3.1 编辑资产树

 
    # "节点"不能重名, 右击节点能够添加、删除和重命名节点, 以及进行资产相关的操做 注：若是有 linux 资产和 windows 资产, 建议先创建 Linux 节点与 Windows 节点, 否则"受权"时很差处理  
   

3.2 建立管理用户

 
    # "管理用户"是资产上的 root, 或拥有 NOPASSWD: ALL sudo 权限的用户, Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。 Windows或其它硬件能够随意设置一个 # "名称" 不能重复 # "ssh私钥" 若是私钥有密码, 请把key的密码填在密码栏上, 目前仅支持 RSA DSA 格式私钥  
   

_images/admin_assets_admin-user_create.jpg

3.3 建立系统用户

 
    # "系统用户"是 Jumpserver 跳转登陆资产时使用的用户, 用户使用该用户登陆资产 # "自动生成密码"、"自动推送"、"Sudo"等功能须要对应资产的"管理用户"是且有root权限, 不然自动推送失败 # ssh 协议的 "Sudo" 栏设定用户的 sudo 权限, # ssh 协议若是建立的"系统用户"已在资产上面存在, "推送"将会覆盖掉原用户的"home"目录权限(注: 替换成700权限) # ssh 协议的 "ssh私钥" 若是私钥有密码, 请把key的密码填在密码栏上, 目前仅支持 RSA DSA 格式私钥 # 这里简单举几个 "sudo" 设置例子 Sudo /bin/su # 当前系统用户能够免sudo密码执行sudo su命令 Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail # 当前系统用户能够免sudo密码执行git php cat more less tail Sudo !/usr/bin/yum # 当前系统用户不能够执行sudo yum命令 # 此处的权限应该根据使用用户的需求汇总后定制, 原则上给予最小权限便可 # "系统用户"建立时, 若是选择了"自动推送" Jumpserver 会使用"Ansible"自动推送系统用户到资产中, "root"用户不支持推送 # 若是资产(交换机、Windows)不支持"Ansible", 请去掉"自动生成密钥"、"自动推送"勾选。手动填写资产上已有的帐号及帐号密码 # 若是想让用户登陆资产时本身输入密码, 能够在建立系统用户时选择"手动登陆"  
   

_images/admin_assets_system-user_create_01.jpg

_images/admin_assets_system-user_create_02.jpg

3.4 建立命令过滤

如无须要, 可忽略此步骤, 目前仅支持 ssh 与 telnet 协议html

 
    # "系统用户"能够绑定一些"命令过滤器"，一个过滤器能够定义一些"规则" # 当"用户"使用这个"系统用户"登陆资产，而后执行一个命令 这个命令须要被绑定过滤器的全部规则匹配，高优先级先被匹配 # 当一个规则匹配到了，若是规则的动做是 "容许" 这个命令会被放行； 若是规则的动做是 "禁止" 命令将会被禁止执行； 不然就匹配下一个规则，若是最后没有匹配到规则，则容许执行  
   

_images/admin_assets_cmd-filter_create.jpg

 
    # 点击 "命令过滤器列表" 规则下方的数字进入 "命令过滤器规则列表" , 点击新建规则建立相应规则 # 拒绝全部命令可使用正则表达式 .*  
   

_images/admin_assets_cmd-filter_rule_create.jpg

3.5 建立网域网关

如无须要, 可忽略此步骤, 支持代理SSH、RDP和VNCpython

 
    # "网域"功能是为了解决部分环境没法直接链接而新增的功能, 原理是经过网关服务器进行跳转登陆 # 点击页面左侧的"网域列表"按钮, 查看全部网域列表 # 点击页面左上角的"建立网域"按钮, 进入网域建立页面, 选择资产里用做网域的网关服务器 注：混合云适用  
   

 
    # 点击"网域"的名称, 进入"网域详情"列表。 # 点击页面的"网关"按钮, 选择网关列表的"建立网关"按钮, 进入网关建立页面, 填写网关信息 # IP信息通常默认填写网域资产的IP便可(如用做网域的资产有多块网卡和IP地址, 选能与jumpserer通讯的任一IP便可) 注：用户名与密码可使用网关资产上已存在的任一拥有执行 ssh 命令权限的用户  
   

_images/admin_assets_domain_gateway_create.jpg

 
    注: 保存信息后点击"测试链接", 肯定设置无误后到资产列表添加须要使用"网关"登陆的资产便可 注: "Windows资产"可使用"ssh网关"  
   

3.6 建立资产

 
    # 点击页面左侧的"资产管理"菜单下的"资产列表"按钮, 查看当前全部的资产列表。 # 点击页面左上角的"建立资产"按钮, 进入资产建立页面, 填写资产信息。 # IP 地址和管理用户要确保正确, 确保所选的管理用户的用户名和密码能"牢靠"地登陆指定的 IP 主机上。 # 资产的系统平台也务必正确填写。公网 IP 信息只用于展现, 可不填, Jumpserver 链接资产使用的是 IP 信息。  
   

 
    # 资产建立信息填写好保存以后, ssh 协议资产可"测试资产"是否能正确链接, 其余协议暂不支持 注：被链接资产须要"python"组件, 且版本大于等于2.6, Ubuntu等资产默认不容许root用户远程ssh登陆, 请自行处理 # 若是资产不能正常链接, 请检查"管理用户"的用户名和密钥是否正确以及该"管理用户"是否能使用 SSH 从 Jumpserver 主机正确登陆到资产主机上  
   

SSH 协议参考 SSH 协议资产链接说明linux

RDP 协议参考 RDP 协议资产链接说明git

Telnet 协议参考 Telnet 协议资产链接说明web

4、建立受权规则

4.1 为用户分配资产

 
    # "名称", 受权的名称, 不能重复 # "用户"和"用户组"二选一, 不推荐即选择用户又选择用户组 # "资产"和"节点"二选一, 选择节点会包含节点下面的全部资产 # "系统用户", 及所选的用户或用户组下的用户能经过该系统用户使用所选节点或者节点下的资产 # 用户(组), 资产(节点), 系统用户是一对一的关系, 因此当拥有 Linux、Windows 不一样类型资产时, 应该分别给 Linux 资产和 Windows 资产建立受权规则  
   

通常状况下, 资产受权给我的, 节点受权给用户组, 一个受权只能选择一个系统用户正则表达式

_images/admin_perms_asset-permission_create.jpg

5、用户登陆

5.1 登陆 Jumpserver

 
    # 用户只能看到本身被管理员受权了的"资产", 若是登陆后无资产, 请联系管理员进行确认  
   

5.2 链接资产

 
    # 在个人资产点击资产右边的 "链接" 快速链接资产
# 也能够点击左侧栏的 "Web终端"

_images/user_terminal_web-terminal_list.jpg

 
    # 点击 "资产" 名字, 就连上资产了 # 若是显示链接超时, 请参考 FAQ 文档进行处理  
   

5.3 断开资产

 
    # 点击页面顶部的 "Server" 按钮会弹出选个选项, 第一个断开所选的链接, 第二个断开全部链接。  
   

5.4 文件管理

 
    # 点击 "文件管理"
# 先在左边选择资产, 目前只支持自动登陆的 SSH 协议资产 # 也可使用 sftp 方式进行文件管理

参考 SFTP 链接说明vim

以上就是 Jumpserver 的简易入门了, Jumpserver 还有不少功能等待您去发现。在使用过程当中, 遇到的问题见下篇博客windows