Jumpserver堡垒机安装配置全过程（二）-配置

在非IE浏览器中输入：http://192.168.1.15访问Jumpserver

1、系统设置

一、基本设置

当前站点URL：http://jumpserver.abc.com:8080

发送重置密码邮件中指向Jumpserver的网站域名，设置这个不影响Jumpserver访问

Email主题前缀：[*******堡垒机]

Jumpserver发送邮件给用户时的标题

二、配置邮件发送服务器

点击页面上边的"邮件设置"标签，进入邮件设置页面：

SMTP主机：smtp.abc.com

SMTP端口：25

SMTP帐号：jumpserver@abc.com

SMTP密码：****

使用SSL：不勾选

使用TLS：不勾选

三、LDAP设置

此处省略

上边这些能够按照下图的官方文档http://docs.jumpserver.org/zh/docs/faq_ldap.html来填写

 

2、建立用户（此过程建立的是Jumpserver的用户，不是服务器的使用帐号）

一、建立用户组

用户组，顾名思义，给用户分组。用户组信息颇有用，在分配资产权限的时候，针对的某个用户组下的全部用户，能够为一个用户分配多个用户组。

点击页面左侧"用户管理"菜单下的"用户组"，进入用户组列表页面。

点击页面左上角"建立用户组"按钮，进入建立用户组页面：

名称即用户组名称，建议填写简单明了有用的信息。建立用户组的时候能够把已存在的用户加入到该分组中，一个用户能够存在多个分组中。若是没有已存在的用户，能够留空

建立完毕

二、建立用户

点击页面左侧"用户列表"菜单下的"用户列表"，进入用户列表页面。点击页面左上角"建立用户"按钮，进入建立用户页面。

填写帐户，角色安全，我的等信息。其中，用户名即 Jumpserver 页面登陆帐号。用户组是用于资产受权，当某个资产对一个用户组受权后，这个用户组下面的全部用户就均可以使用这个资产了。角色用于区分一个用户是管理员仍是普通用户。

 

建立完毕

成功提交用户信息后，Jumpserver 会发送一条"重置密码"的邮件到您填写的用户邮箱。

点击邮件中的设置密码连接，设置好密码后，您就能够用户名和密码登陆 Jumpserver 了。

用户首次登陆 Junmpserver，会被要求完善用户信息，不完善也不影响使用。

除了使用浏览器登陆 Jumpserver 外，还可以使用命令行登陆：

确保 Coco 服务正常

也能够直接在 Jumpserver 主机上执行以下命令检测 Coco 是否存活

netstat -ntpl

命令行登陆 Jumpserver ，Coco 服务默认使用 2222 端口：

IP：192.168.1.15

端口：2222

登陆成功后界面以下:

3、建立管理用户（此过程添加的是服务器的最高权限帐号）

一、建立Linux管理用户

"管理用户"是Linux服务器的 root帐号，或拥有 NOPASSWD: ALL sudo 权限的用户，Jumpserver 使用该用户来推送"系统用户"、获取资产硬件信息等。此root帐户必须得创建一个（能够不填写密码），不然后边的Linux资产没法建立。

名称能够按资产树来命名。用户名 root。

二、建立 Windows 管理用户

若是是Windows服务器，这个帐号用途就只有获取资产硬件信息。

同 Linux 系统的管理用户同样，名称能够按资产树来命名，用户名是管理员用户名，密码是管理员的密码。

 

4、建立系统用户（此过程添加的是服务器的通常权限帐号）

一、建立Linux系统用户

系统用户是 Jumpserver 跳转登陆资产时使用的用户，能够理解为登陆资产用户，如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登陆服务器（ssh xiaoming@some-host）; 简单来讲是 用户使用本身的用户名登陆 Jumpserver, Jumpserver 使用系统用户登陆资产。

系统用户建立时，若是选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中，若是资产（交换机、Windows）不支持 Ansible, 请手动填写帐号密码。

Linux 系统协议项务必选择 ssh 。若是用户在系统中已存在，请去掉自动生成密钥、自动推送勾选。

二、建立 Windows 系统用户

因为目前 Windows 不支持自动推送，因此 Windows 的系统用户设置成与管理用户同一个用户。

Windows 资产协议务必选择 rdp。

5、资产管理

一、 建立 Linux 资产

（1）编辑资产树

节点不能重名，右击节点能够添加、删除和重命名节点，以及进行资产相关的操做。

重命名为须要的节点，而后再添加一个节点

节点建立完毕

（2）建立资产

 

点击页面左侧的"资产管理"菜单下的"资产列表"按钮，查看当前全部的资产列表。点击页面左上角的"建立资产"按钮，进入资产建立页面，填写资产信息。

IP 地址和管理用户要确保正确，确保所选的管理用户的用户名和密码能"牢靠"地登陆指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 信息只用于展现，可不填，Jumpserver 链接资产使用的是 IP 信息。

资产建立信息填写好保存以后，可测试资产是否能正确链接：

若是资产不能正常链接，请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登陆到资产主机上。

二、建立 Windows 资产

（1）建立 Windows 系统管理用户

同 Linux 系统的管理用户同样，名称能够按资产树来命名，用户名是管理员用户名，密码是管理员的密码。

（2）建立 Windows 系统系统用户

目前 Windows 暂不支持自动推送，用户必须在系统中存在且有权限使用远程链接，请去掉自动生成密钥、自动推送勾选；请确认 windows 资产的 rdp 防火墙已经开放。Windows 资产协议务必选择 rdp。

（3）建立 Windows 资产

同建立 Linux 资产同样。建立 Windows 资产，系统平台请选择正确的 Windows，端口号为3389，IP 和 管理用户请正确选择，确保管理用户能正确登陆到指定的 IP 主机上。

三、资产节点管理

（1）为资产树节点分配资产

 

在资产列表页面，选择要添加资产的节点，右键，选择添加资产到节点。

选择要被添加的资产，点击"确认"便可。

（2）删除节点资产

选择要被删除的节点，选择"从节点删除"，点击"提交"便可。

6、建立受权规则

节点，对应的是资产，表明该节点下的全部资产。

用户组，对应的是用户，表明该用户组下全部的用户。

系统用户，及所选的用户组下的用户能经过该系统用户使用所选节点下的资产。

节点，用户组，系统用户是一对一的关系，因此当拥有 Linux、Windows 不一样类型资产时，应该分别给 Linux 资产和 Windows 资产建立受权规则。

建立的受权规节点要与资产所在的节点一致。

建立完成后页面

7、用户使用资产

一、登陆 Jumpserver

因接入了LDAP，因此用LDAP的帐号密码登陆。但第一次登陆后要用admin帐号进去设置用户组，才有对应权限

建立受权规则的时候，选择了用户组，因此这里须要登陆所选用户组下面的用户才能看见相应的资产。用户正确登陆后的页面：

二、使用资产

（1）链接资产

点击页面左边的 Web 终端：

打开资产所在的节点：

双击资产名字，就连上资产了：

链接有任何错误均可以参考http://docs.jumpserver.org/zh/docs/faq.html

接下来，就能够对资产进行操做了。

（2）断开资产

点击页面顶部的 Server 按钮会弹出选个选项，第一个断开所选的链接，第二个断开全部链接。

8、查看命令记录和录像

一、查看命令记录

二、查看录像

依次点击"会话管理-历史会话"，点击最后一列的"回放"

Windows操做的历史回放画面较小

Linux操做的历史回放能够看清执行的命令

升级Jumpserver

升级后大几率致使没法启动或者内置组件崩溃，建议从新安装最新版本

由于这里访问github.com太慢，因此采用离线升级的方法

必须先执行：source /opt/py3/bin/activate

1、备份

一、Jumpserver

备份jumpserver配置文件、数据库表结构及录像文件

jumpserver_backup=/tmp/jumpserver_backup

mkdir -p $jumpserver_backup

cd /opt/jumpserver

cp config.py $jumpserver_backup

cp -r data/media $jumpserver_backup/

for app in audits common users assets ops perms terminal;do

mkdir -p $jumpserver_backup/${app}_migrations

cp apps/${app}/migrations/*.py $jumpserver_backup/${app}_migrations

done

二、备份数据库，已被不时之需

mysqldump -uroot –p******** jumpserver > $jumpserver_backup/db_backup.sql

2、更新主代码

一、下载离线包, 更新代码

cd /opt

mv jumpserver jumpserver_bak

git clone https://github.com/jumpserver/jumpserver.git

cd jumpserver && git checkout master # or other branch

git pull

二、还原配置文件、数据库表结构文件及录像文件

cd /opt/jumpserver

for app in audits common users assets ops perms terminal;do

cp $jumpserver_backup/${app}_migrations/*.py apps/${app}/migrations/

done

cp $jumpserver_backup/config.py .

cp -r $jumpserver_backup/media/* data/media/

三、更新依赖或表结构

pip install -r requirements/requirements.txt && cd utils && sh make_migrations.sh

3、更新其余组件

一、Coco

说明: 如下操做都在 coco 项目所在目录。coco是无状态的，备份 keys 目录便可

备份配置文件及keys

cd /opt/coco

cp conf.py $jumpserver_backup/

cp -r keys $jumpserver_backup/

离线更新升级coco

cd /opt

mv coco coco_bak

git clone https://github.com/jumpserver/coco.git

cd coco && git checkout master # or other branch

git pull

还原 keys目录

cd /opt/coco

cp $jumpserver_backup/conf.py .

cp -r $jumpserver_backup/keys .

升级依赖

git pull && cd requirements && pip install -r requirements.txt

二、Luna

从新下载 release 包（https://github.com/jumpserver/luna/releases）

cd /opt

mv luna luna_bak

mv luna.tar.gz luna.tar.gz_bak

wget https://github.com/jumpserver/luna/releases/download/1.3.3/luna.tar.gz

tar xvf luna.tar.gz

chown -R root:root luna

三、Guacamole

docker pull registry.jumpserver.org/public/guacamole:latest

docker stop jms_guacamole # 或者写guacamole的容器ID

docker rename jms_guacamole jms_guacamole_bak # 若是名称不正确请手动修改

docker run --name jms_guacamole -d \

-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \

-e JUMPSERVER_KEY_DIR=/config/guacamole/key \

-e JUMPSERVER_SERVER=http://jumpserver.abc.com \

registry.jumpserver.org/public/guacamole:latest

# 肯定升级完成后，能够删除备份容器

docker rm jms_guacamole_bak