Jumpserver3.0简单使用手册

 

Jumpserver3.0系列使用手册

 

####手册内容部分参考jumpserver官方文档：

https://github.com/jumpserver/jumpserver/wiki/v0.3.2-%E5%BA%94%E7%94%A8%E5%9B%BE%E8%A7%A3

 

I. 使用Jumpserver前要理解清楚这三个用户关系:

用户：是指你在web上创建的用户,会在跳板机上创建这个用户,作用就是用于登录跳板机

管理用户：是指客户端上的如root等高权限账号(或普通用户拥有NOPASSWD: ALL sudo权限), 作用用于推送系统用户

系统用户：是指要在客户端上创建这个系统用户,通过推送来实现,作用就是登录客户端

II. 管理用户和系统用户的关系：

两者都是客户端上的用户,后者涉及到一个推送动作,（注解：也就是说，经过系统用户的推送，被添加的资产（比如虚拟机）才能被跳板管理）

比如推送test系统用户,也就是在客户端上创建test用户,那么创建用户需要有权限,

有没有权限创建就要看你是用客户端的root用户还是普通用户做为管理用户,

如果后者做为管理用户就需要添加sudo权限又是NOPASSWD: ALL,

这样推送系统用户,就可以成功在客户端上创建test用户

 

一、修改信息

 

 

二、用户管理

2.1 添加用户组

用户组 ：为了方便进行授权,可以将多个用户组成用户组.

在授权中使用组授权,那么该组中的用户就拥有所有授权的主机权限.

 

2.1.1. 添加一个网站组 

 

2.1.2 添加一个网络组

 

 

2.1.3 查看组

 

2.2. 添加用户

用户： 用户是授权和登陆的主体,管理员为每个员工创建一个用户帐号用来登录跳板机.

另外用户分为普通用户和超级管理员，后者可以审计查看用户登陆记录、命令历史等.

 

2.2.1 创建第一个普通用户为dev，选网站组

 

2.2.2 这里不选发送邮件，但用户邮箱是必填的

 

2.2.3 确认保存

 

2.2.4 创建第二个普通用户为dba，选网络组

 

2.2.5 这里选发送邮件

 

2.2.6 确认保存

 

2.2.7 查看用户

三、设置默认管理帐号

        默认设置：使用默认管理帐号适用于资产的管理账号、密码和密钥是统一的.

添加资产如果使用默认管理账号，则会使用这里设置的信息.

默认管理帐号是指客户端上拥有sudo权限的用户,如root，或者有 NOPASSWD: ALL的用户.

四、资产管理

        4.1. 添加主机组

       主机组：同用户组,这里是资产组成的集合,为了方便授权.

 

4.1.1 添加一个网站组

 

4.1.2 添加一个网络组

 

4.1.3 查看资产组

 

 

4.2. 添加资产

    资产： 资产通常是我们的服务器、网络设备、其它ssh协议硬件设备等.

添加资产时需要添加一个管理用户，该管理用户是客户端上拥有sudo权限的用户，

如root，或者有 NOPASSWD: ALL的用户.

该管理用户用来向资产推送系统用户，如果有关联sudo别名会为系统用户添加sudo.（注解：关于推送失败的几种情况：1、主机名填写有误，以Linux虚拟机为例，主机名填写有误包括主机名填写与实际不符、不同资产主机名相同等情况，要保证主机名填写准确且不同主机不能同名，如有同名可自行修改主机名避免之；2、IP填写错误。此外填写前最好将各下拉框中属性对应选好，如果已经有失败经历，在纠正上述问题后须重新加载链接再进行操作，避免因浏览器缓存的旧数据导致得不到应有的响应）

通过管理用户来获取资产的一些硬件信息.

 

4.2.1 单台添加,使用默认管理帐号,选网站组

如果默认管理帐号没设置，可选框会是禁选的，这里第三步已设.

 

4.2.2 单台添加,不使用默认管理帐号,选网站组(注解：“管理用户名”处填写的为添加的资产（如Linux虚拟机）的用户名，如图中root，密码自然也是其对应的登陆密码)

 

4.2.3 单台添加，选网络组

这里的管理帐号对于网络设备没有什么意义,

因为是模拟推送并不是真的将系统用户推送到资产上,也就是需手动配置ssh登陆管理用户.

不能通过该帐号获取一些硬件设备信息.

 

4.3.批量添加

 

4.3.1 先下载模板

 

 

4.3.2 填写资产在模板上的对应信息

 

IP地址：客户端IP

端口：客户端IP

主机名：主机名不能取太长，不要用特殊字符,可以用下划线.

管理帐号：使用就填默认(这里是对应前面第三步设置默认管理帐号),不使用就为空.

用户、密码：客户端上拥有sudo权限的用户密码.

主机组：对应资产的主机组

 

4.3.3 上传asset.xlsx文件

 

4.3.4 查看资产

注：asset.xlsx文件中FreeBSD 是数据库组,前面资产主机组并没有添加这个组,上传后这里为空，

也就是说JMS不会自动帮你创建组,需要手动添加该主机组.

 

4.4. 添加机房

 

4.4.1 添加IDC

 

4.4.2 查看机房

 

4.5. 批量修改

注：这里批量修改功能只能加不能减,如主机属于网站组,这里修改不能把主机从网站组中移除

 

4.5.2 批量更新

 

注：这里无法获取网络设备硬件信息,所以没选.

 

4.5.3 查看资产

 

五、授权管理

 

5.1 添加别名

 

Sudo： 这里的sudo其实是Linux中的sudo命令别名，一个sudo别名包含多个命令，

系统用户关联sudo说明该系统用户可以用sudo方式执行命令，起到sudo免密码作用.

 

5.1.2 添加一个叫open别名

 

注：系统命令格式，可以用which查看路径，如which ifconfig

用ALL代表系统所有命令

命令格式前面加个“!”禁止如： !/bin/su 禁止用户su到root

 

5.1.3 查看别名

 

5.2 添加系统用户

 

系统用户：是客户端上的用户，用于登陆客户端,过程是用户先登录跳板机在用系统用户跳转登陆客户端.

简单理解就是将某个资产上的某个系统用户映射给这个用户登录.

如test_01,test_02 等,可以使用JMS推送到客户端上,也可以利用自己公司的工具进行推送,或手动创建.

如果添加系统用户是客户端上已有的用户,可以使用模拟推送.

 

5.2.1 添加用户test_1，关联sudo:open

 

 

5.2.2 添加用户test_2，不关联sudo:open

 

5.2.3 添加用户：admin，密码：123456，不关联sudo:open

这里的用户密码要和网络设备上配置的ssh登陆管理用户和密码对应上.

网络设备不受sudo别名控制,所不关联.

 

5.2.4 查看系统用户

 

5.3. 推送

 

推送系统用户： 添加完系统用户，需要推送，推送操作是使用ansible.

推送系统用户流程图如下：

 

注：JMS的客户端环境是有基本要求的.

 

客户端需要有python,sudo 环境才能使用推送用户，批量命令等功能

客户端如果开启了selinux，请安装 libselinux-python

详细请看wiki:客户端：RedHat，Debian，BSD

 

5.3.1 推送系统用户test_1,资产单个添加，使用密钥

 

5.3.2 推送成功

 

5.3.3 推送系统用户test_2,资产组添加，使用密码

 

注：v0.3.1-2 更改 去掉使用密码

 

5.3.4 推送成功

 

5.3.5 推送系统用户admin,网络设备主要是模拟推送一下，所以复选框不选择

 

5.3.4 推送成功

 

5.4. 添加授权规则

 

授权规则： 授权规则就是将用户、系统用户和资产关联起来,来完成授权。

用户可以以某个系统用户登陆客户端,用户是在跳板机上,而系统用户是在客户端上的,

系统用户可以使用JMS推送,也可以利用自己公司的工具进行推送,或者手动在客户端上创建，

但是推送的过程一定要有哪怕是模拟推送(复选框都不选择，如网络设备),

因为添加授权规则时会检查你关联的系统用户是否在该资产上推送过记录.

 

5.4.1 添加一个规则名称为dev_test_1,授权方式：用户对资产组

 

5.4.2 添加一个规则名称为dev_test_2，授权方式：用户对资产

 

5.4.3 添加一个规则名称为dba_admin，授权方式：用户组对资产

 

5.4.3 添加一个规则名称为admin

 

超级管理员admin要想web terminal和web端批量命令也是要授权的

 

5.4.4 查看规则

 

 

六、登陆测试

 

6.1. web登录当前用户是超级管理员admin

 

6.1.1 用test_1用户登录并测试sudo成功

 

6.1.2 用test_2用户登录并测试sudo失败,因为添加系统用户时没有关联sudo别名.

 

6.2. web登录当前用户是普通用户dev

 

6.2.1 用test_1用户登录并测试sudo成功

 

6.2.2 用test_2用户登录并测试sudo失败,因为添加系统用户时没有关联sudo别名

 

 

 菜鸟的第一篇博客，写得不好望指出