JumpServer初探

JumpServer资产，用户关系如图所示。

资产管理下有资产列表和系统用户，系统用户分为特权用户和普通用户。资产列表下管理的是服务器，而特权用户就是JumpServer用来登录服务器的账号，因此特权用户需要拥有较高的权限，比如root账号或能执行sudo的管理员账号，而且需要配置密码。JumpServer会用这个账号来登录和管理对应的服务器资产。在资产列表中添加资产时配置的特权用户就来自与这里。

用户管理下的用户列表是用来登录JumpServer的账号。但是这个账号还无法直接登录服务器，因为他是配置在JumpServer数据库的，和服务器没关系。

在资产管理的系统用户下，除了特权用户，还有普通用户，他是可以用来登录服务器的。只要将这里的普通用户和JumpServer的用户关联起来，那么JumpServer的用户就可以登录服务器了，如果再把资产列表中的服务器关联起来，就能实现登录权限管理，这就是资产授权的作用。

搞清楚这些概念以及它们之间的关系之后，做为JumpServer的管理员，要为一个人开通登录服务器的权限需要以下步骤。

第一步：新建JumpServer用户

在用户管理→用户列表下新建用户。来源哪里选数据库，其他没什么要特别注意的地方。

第二步：新建特权用户

在资产管理→系统用户下切换到特权用户，创建一个管理员账号，并填写密码。

第三步：添加资产

在资产管理→资产列表创建一个资产，其中特权用户栏选择上一步创建的管理员账号，这个管理员账号要能够登录这台服务器。

如果已有资产，可以点击更新设置特权用户。正常情况下，资产列表的“可连接”列为绿色勾勾，这就说明JumpServer通过特权用户成功登录并获取了服务器信息。

如果服务器”可连接“状态为红色叉叉，说明没有配置特权用户或者配置不对，可能是用户名或密码不对，修改后如果还是显示红色叉叉，可以点击表格左上角刷新按钮。如果刷新无效，可以点击表格中的主机名，这是一个链接，到资产详情页，右边有一个快速更新的模块，分辨点击这两个刷新按钮，看到OK后关掉，再回到资产列表，应该就能看到”可连接“状态变为绿色叉叉，并且服务器信息页成功显示出来了。

第四步：新建普通用户

在资产管理→系统用户下的普通用户页，创建一个普通用户。协议选择SSH，名称随意，用户名是用来登录服务器的用户名。认证方式选择托管密码，并打开自动生成，然后打开自动推送开关。

这样设置之后，就不需要事先在服务器上创建对应账号了，JumpServer会自动帮你创建账号，输入密码。效果就是登录JumpServer后点击web终端就能直接登录服务器，不需要再输入密码。当然，这一切的前提是还需要最后一步授权管理。

第五步：资产授权

在权限管理→资产授权中新建一条授权规则。在”用户“栏选择的是JumpServer的用户，也就是第一步创建的用户，”资产“栏也有系统用户选择，这里选的是第四步创建的用户，然后在资产栏选择运行访问的资产，这样一条授权规则就创建好了，他将JumpServer用户，服务器和服务器账户关联了起来。

资产也可以按树形结构分类管理，也就是我们说的业务树。在授权时，不选择具体的资产，而是在节点栏选择业务树，这样当业务树上机器发生变化时，不需要重新设置权限。

第六步：登录服务器

管理员的操作到此结束，可以退出登录了，然后用第一步创建的账号登录JumpServer。在我的资产页可以看到上一步授权的服务器，点击操作栏的终端按钮就可以跳转到web终端页面了。也可以直接访问堡垒机的 /luna 路径，直接就到web终端了。