Jump server的进阶使用(二)Centos7环境

jumpserver进阶使用(Centos7环境)

环境：

一台安装好 Jumpserver 系统的可用主机（堡垒机）
一台或多台可用的 Linux、Windows资产设备（被管理的资产）

角色	IP
jumpserver	192.168.2.5
server(资产机)	192.168.2.6

1、系统设置

配置qq邮箱SMTP服务

下拉至

这个密钥充当着登陆密码的做用，若是你获取密钥后,修改了QQ密码,那么密钥会无效,那就要从新获取。若是你早已打开了该SMTP服务,但没有密钥,关闭从新打开服务

smtp密码处输入qq给予你的字符串密码，测试链接.根据提示这个jumpserver版本修改系统设置后须要手动重启jumpserver，回到终端下运行./jms restart all，回到cocod终端下./cocod restart，涉及到的组件也重启

2、建立用户

其中，用户名即 Jumpserver 登陆帐号。用户组是用于资产受权，当某个资产对一个用户组受权后，这个用户组下面的全部用户就均可以使用这个资产了。角色用于区分一个用户是管理员仍是普通用户
①建立用户组

若是刚刚修复了邮件没法发送的问题，没有收到重置密码的邮件，回到用户列表点进须要发送的用户，选择发送重置密码邮件
系统设置中基本设置中有当前站点URL须要支持域名解析，如在内网实验，须要填写jumpserverip：8080，并手动重启jumpserver，不然没法跳转至jumpserver

②生成用户密钥,回到jumpserver
(py3) [root@localhost ~]# ssh-keygen -t rsa -C "441811842@qq.com"
(py3) [root@localhost ~]# cat .ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCjoNuvOLm+nTh1lm7m/KXjIRXdL+54sOUa+Z1QKX/x/g11PyQoitMh2XpalhimMKHEJ1IbpI64eOAM4mfDLIeKa06jrRR/i1eD8lWNO8E2dcz9d9z5ldRvimac8qoB3psCW75tR26nDuwqBqgiBId1Uu0c6bi9HwkiclRJLbk1KziUqjl6TRU0EfDUe0KjtCxTJVLDjtzKmvRheWWCNVdz1Pa5r44a8QsJET/yvTZaC/PQRcyYNl+IiVmMlTixYBGt2V5+yCT5iQDNKeH/pc/mu1pqdoInHCzdlSZ/uxZGSroimDbh1vtgOCW6H6mnhIBCD6TOrBSHEJS7r7iTb6ej 441811842@qq.com

复制到用户公钥处，提交

③确保Coco存活，在终端能够查看2222端口是否存在

使用命令行测试登陆，使用2.6测试链接

Connecting to 192.168.2.6:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Last login: Mon May 28 18:10:15 2018 from 192.168.2.1
[root@localhost ~]# ssh -p 2222 wushuting@192.168.2.5
The authenticity of host '[192.168.2.5]:2222 ([192.168.2.5]:2222)' can't be established.
RSA key fingerprint is 77:a3:09:bc:58:61:d8:f2:7d:1a:f1:ba:67:79:ec:fc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.2.5]:2222' (RSA) to the list of known hosts.
wushuting@192.168.2.5's password:

Opt> exit

Connection to 192.168.2.5 closed.

测试成功说明jumpserver与资产机用户间通信正常

3、建立管理用户

①建立一些节点与子节点

②建立管理用户
管理用户是服务器的 root，或拥有 NOPASSWD: ALL sudo 权限的用户，Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。
若是使用ssh私钥，须要先在资产上设置，这里举个例子供参考（本例登陆资产使用root为例）
[root@localhost ~]# cat .ssh/id_rsa.pub >> ~/.ssh/authorized_keys
[root@localhost ~]# chmod 400 ~/.ssh/authorized_keys
[root@localhost ~]# vim /etc/ssh/sshd_config

......
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
......

[root@localhost ~]# systemctl restart sshd
[root@localhost ~]# ssh-copy-id 192.168.2.5

密钥与密码必填一个，能够选择将资产机的id_rsa拷贝到宿主机
又若是使用root密码那就是资产机root密码，此处选择密码

4、建立系统用户

系统用户是 Jumpserver 跳转登陆资产时使用的用户，能够理解为登陆资产用户，如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登陆服务器(ssh xiaoming@some-host); 简单来讲是 用户使用本身的用户名登陆Jumpserver, Jumpserver使用系统用户登陆资产
系统用户的 Sudo 栏填写容许当前系统用户免sudo密码执行的程序路径，如默认的/sbin/ifconfig，意思是当前系统用户能够直接执行 ifconfig 命令或 sudo ifconfig 而不须要输入当前系统用户的密码，执行其余的命令任然须要密码，以此来达到权限控制的目的

此处本人为建立出来，点回更新的界面，正常界面下会显示自动生成密钥，若是资产机没有这个系统用户，此处选择自动生成密钥，若是用户存在能够选择相应密码

5、建立资产

提交后回到资产列表选择资产能够测试链接

若是资产不能正常链接，请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登陆到资产主机上

6、建立网域

建立网关(若是没有网关能够跳出此步)
IP信息通常默认填写网域资产的IP便可（如用做网域的资产有多块网卡和IP地址，选能与jumpserer通讯的任一IP便可），用户名与密码能够在资产上面建立亦可以使用jumpserver的推送功能（须要手动输入密码），确认该用户拥有执行ssh命令的权限

jumpserver：
(py3) [root@localhost .ssh]# useradd gateway
(py3) [root@localhost .ssh]# passwd gateway

更改用户 gateway 的密码
新的 密码：
无效的密码： 密码未经过字典检查 - 过于简单化/系统化
从新输入新的 密码：
passwd：全部的身份验证令牌已经成功更新

7、建立受权规则

建立的受权规则要与节点一致

！！在使用以前必须回到系统用户，管理用户，资产列表每个寻找测试链接的界面，测试全部的链接，没有报错后继续下一步！！

若有报错访问官文FAQ：http://docs.jumpserver.org/zh...

8、用户使用受权资产

右上角注销用户，选择登陆测试用户登陆

选择web终端

双击进入资产，如出现报错，参考官网FAQ
http://docs.jumpserver.org/zh...
断开资产

9、本人搭建以及使用遇到的问题

本人遇到了luna版本与coco版本的不兼容，多是coco版本最近的更新致使luna没法在前端显示

发生错误前luna版本：

进入到前端luna空白页没有显示

解决方法：
进入到jumpserver下
[root@localhost opt]# ls

coco         jumpserver  logs  luna.tar.gz   nginx-1.14.0.tar.gz  rh
dist.tar.gz  keys        luna  nginx-1.14.0  py3                  sessions

(py3) [root@localhost jumpserver]# ./jms stop
[root@localhost opt]# rm -rf luna
删掉旧版本的luna，去到github下载最新的luna
访问：https://github.com/jumpserver...

复制下载连接使用wget下载到jumpserver中，解压luna移动到/opt下
从新启动jumpserver和coco以及各组件,删除浏览器缓存，也能够更换浏览器继续尝试

特别鸣谢jumpserver开源社区

官方文档： http://docs.jumpserver.org/zh...

报错FAQ排查： http://docs.jumpserver.org/zh...