开源跳板机(堡垒机)Jumpserver v0.2.0 使用说明

说明视频：

  用户管理： http://v.youku.com/v_show/id_XOTM5Mzc3NDE2.html

  受权管理： http://v.youku.com/v_show/id_XOTM5Mzg1MTY0.html

部署篇： http://laoguang.blog.51cto.com/6013350/1636273

更新log截图篇： http://laoguang.blog.51cto.com/6013350/1635853

本篇是使用篇

一. 用户管理

Jumpserver 2.0.0 版本中增长了部门管理员角色，能够负责管理一个部门的成员和该部门的主机，若是有须要请添加部门，若是服务器或用户较少能够不添加部门和部门管理员

1.1 添加部门

用户管理 -- 添加部门

1.2 添加部门管理员用户

用户管理 -- 添加用户

用户的web登陆密码，ssh密钥密码等以邮件发送给所填写的邮箱

查看添加后的用户

1.3 添加普通用户

用户管理 -- 添加用户

查收邮件

1.4 添加用户组

2.0.0版本的jumpserver受权主机或者sudo是以组的形式组织的，因此要创建用户组

用户管理 -- 添加小组 (有人问为什么不是添加用户组？ 由于四个字比较好看)

1.5 测试添加的用户

根据邮件说明，登陆web

下载ssh密钥，用来登陆jumpserver

导入到工具或者使用ssh命令登陆jumpserver，本例使用xshell导入

登陆jumpserver

 

二. 资产管理

2.1 添加IDC机房

(从新登陆管理员帐户)若是有多个IDC机房，能够分别添加IDC机房，若是就那么一个能够不添加，使用默认的便可

资产管理 -- 添加IDC

查看IDC机房

2.2 添加资产

登陆方式： 有两种，一中是LDAP也是最主要的方式，服务器须要安装ldap client，另外一种是map，也就是映射，该模式用于不能安装ldap的机器，选择该模式后，须要手动填写主机的帐号密码，用户从跳板机跳转到该服务器，会以这个用户登陆

部门：选择服务器输入哪一个部门，也至关于把服务器受权给某个部门，未来该部门管理员能够管理该服务器及受权

所属主机组：刚开始可不填，当选择主机组后，若是该主机组已受权给用户组，则该主机受权给用户组的各个用户

查看资产

2.3 批量添加资产

资产管理 -- 添加资产 -- 批量添加

批量添加资产能够按照格式批量添加资产，对应的各个字段有说明，也有实例

查看资产

2.4 添加主机组

前面也讲过受权是基于组的，最终须要以组形式受权，因此添加主机组

资产管理 -- 添加主机组

查看主机组

 

三. 受权管理

受权管理是用来受权主机或者sudo，查看用户权限申请并处理的模块

3.1 受权主机组给用户组

受权管理 -- 小组受权 -- 选择用户组 -- 受权编辑

将刚才创建的主机组受权给该用户组

查看受权详情

 

3.2 测试受权

web登陆创建的那个普通用户，查看受权的主机

该用户登陆jumpserver，使用jumpserver登陆受权主机

注： jumpserver正常使用会让 connect.py脚本登陆自启动，部署文档后面有说明， 下面的操做为试了方便测试

# cd /opt/jumpserver

# python connect.py

输入p或P 查看全部受权主机

输入g或G 查看受权主机组

输入g或G加上组的ID，查看该组下的主机

输入e 能够进入二级菜单批量在主机执行命令，根据提示输入IP，支持通配符，能够逗号分隔，下面输入执行的命令

注意：报错可能提示没有目录权限，添加该目录并修改权限

# mkdir –p /opt/jumpserver/logs/exec_cmds

# chmod 777  /opt/jumpserver/logs/exec_cmds -p

输入q 能够退出到上一层菜单或者退出

输入ip地址，或者ip的一部分，或者输入主机的备注，或者输入主机的别名(别名是用户在web端对主机的自定义备注)

注意：报错可能提示没有目录权限，添加该目录并修改权限

# mkdir /opt/jumpserver/logs/connect/

# chmod 777 /opt/jumpserver/logs/connect/

3.3 Sudo受权

(从新登陆管理员帐户)

添加sudo可执行的命令组

受权管理 – sudo受权 -- 添加命令组

查看命令组

sudo受权

受权管理 – sudo受权 -- 查看sudo受权 -- sudo受权

查看sudo受权

能够查看受权了那些主机上执行哪些sudo 命令

3.4 测试sudo命令

想必刚才的终端你还没用退出，使用jumpserver登陆后端主机后，sudo测试

 

四. 日志审计

4.1 监控在线用户操做

日志审计 -- 在线 

这时若是你的终端没用退出的话，会看到测试帐户

点击监控，能够实时查看用户的操做行为和历史操做记录 (若是不能弹出监控窗，应该是 node index.js程序没有启动)

点击阻断，强行用户断开

 

4.2 查看历史记录

日志审计 -- 历史记录 -- 命令统计

查看本次登陆用户操做的记录 （若是没有日志 多是log_handler.py程序没有运行）

 

五. 部门管理员角色的职能

将主机受权给部门管理员后，部门管理员能够管理本部门用户， 能够受权该部门下的主机，上面添加用户时已经添加了 乔峰 为部门管理员，下面将主机受权给乔峰所在部门

5.1 部门受权

在添加主机时，若是将主机设置为某个部门，则直接将主机受权给该部门，可省略下面工做

受权管理 -- 部门受权 -- 受权编辑

 

5.2 部门管理员登录 (什么，你忘记密码了？ 去查看邮件吧)

5.3 查看部门管理员相关功能

部门管理员相比超级管理员功能要少些，只能负责该部门的主机受权，用户管理，须要说明的是，新建的用户会默认属于本部门，新添加的主机会属于本部门

快去试试吧！

 

六. 普通用户web操做

普通用户也能够登陆jumpserver web系统，进行一些操做哦

6.1 登陆

6.2 浏览浏览

能够四处浏览一下，试试各个功能，仪表盘，我的信息

6.3 申请主机权限

申请主机权限，能够选择申请的主机或者组，发邮件给管理员，管理员收到后会处理申请(对不起，目前申请处理还不是自动的)

权限申请 -- 申请主机

查看申请记录

这时乔峰应该收到了邮件，能够点击连接，或者登录jumpserver处理申请

登录乔峰帐户，查看权限申请

受权管理 -- 权限审批 -- 未审批

这时苦逼的管理员须要手动为该用户受权，受权完成后点击确认，嘿嘿

6.4 上传文件

上传下载 -- 文件上传

填写ip地址，多个ip逗号隔开，将须要上传的文件或者目录拖拽上去，点击所有上传，上传文件在服务器的/tmp目录下，去看看吧

 

到此基本的使用已经介绍完了，一些功能好比修改用户信息，删除用户，回收权限没有讲解，本身试试吧，有问题能够群里讨论，Jumpserver是一个年轻的项目，可能存在一些BUG，须要您的及时反馈，帮助咱们一块儿完善项目！