从事运维工作已经好些年了,作为JumpServer的忠实粉丝,这些年也亲眼见证了JumpServer的突飞猛进,从早期的v1.0,到后来的v2.0,再到今年v3.0的横空出世,每一次的更新都是产品的一次突破,每一次的迭代都让我无比震撼。
其实,本人也接触过很多类型的堡垒机,几乎每接触一款新的堡垒机都会花很长的时间去研究它的功能,整体下来给我的感觉是,大家在功能上都大同小异,只是在功能的细分上有略有差异。但是唯独JumpServer给我留下了比较深刻的印象,简单易用,通俗易懂。所以,小编打算更新几期文章,把我使用堡垒机的经验分享给各位同行,尽我微薄之力,希望JumpServer越来越好。
1、用户创建
方式一:用户的创建给大家推荐一种通过模版批量创建的方法:
字段名 | 示例 | 说明 |
*名称 | 张三 | 必填项,可以自定义,但是不能和当前已有用户重名 |
*用户名 | zhangsan | 必填项,用户登录以后显示的名称 |
密码 | zhangsan | 选填,如果要指定密码下面的密码策略填写custom;如果让用户自己设置密码下面的密码策略填写email |
SSH公钥 | - | 选填,如果通过秘钥对登录的话此处填写公钥 |
*邮箱 | zhangsan@qq.com | 必填项 |
微信 | - | 选填 |
手机 | {"code": "+86", "phone": 13900000001} | 选填 |
MFA 级别 | 0 | 默认0,1 的话需要用户登录时绑定MFA |
来源 | local | 默认local,如果是来自用户系统的话,可以填写对应的用户系统平台类型,如:LDAP/AD |
最后更新者 | admin | 选填,可自定义 |
备注 | 研发张三 | 选填,可自定义 |
用户组 | ["研发组( 1e22ba8c-7155-4108-83eb-51313187e6a6)"] | 注意格式,填写用户组对应的ID |
系统角色 | ["系统管理员(00000000-0000-0000-0000-000000000001)", "系统审计员(00000000-0000-0000-0000-000000000002)", "用户(00000000-0000-0000-0000-000000000003)"] | 注意格式,填写角色对应的ID |
组织角色 | ["OrgAdmin(00000000-0000-0000-0000-000000000005)"] | 注意格式,填写组织角色对应的ID |
密码策略 | custom | custom是创建时指定密码,上面的密码填写明文密码;如果是email 会通过邮件的方式通知用户,由用户自己设定密码,必须在 “系统设置”-“消息通知” 中对接好邮件系统 |
服务账号 | No | 默认即可 |
激活 | Yes | 默认即可,表示用户是否为可用状态 |
需要更新密码 | No | 首次登录是否需要更改密码 |
失效日期 | 2092/11/13 11:31:49 +0800 | 用户失效时间 |
方式二:对接用户系统,实现用户
- 对接LDAP
LDAP的对接其实很简单,点击 "系统管理" -"认证设置",填写LDAP的认证信息即可,需要注意的是如果只想同步个别OU,可以在用户OU那里进行如下设置:
ou=test,ou=yanfa,dc=jumpserver,dc=com|ou=test,ou=yunwei,dc=jumpserver,dc=com
- "用户导入" :支持用户批量导入;
- "同步设置" :支持用户定时同步,其实就是添加一个计划任务;
- "用户属性映射" :注意这些用户映射属性的字段都是可以修改的,有个别版本的LDAP字段值有可能不一样,修改成实际LDAP里面的字段即可。
- 对接CAS
关于CAS的对接很简单,小编这个不在赘述了,可以才考JumpServer的官网:CAS - JumpServer 文档
2、用户角色自定义
JumpServer默认自带系统管理员、审计员、用户几个角色,小编这里做了相关的了解,如果想实现角色的自定义,这是JumpServer企业版的功能,下面的截图供大家参考:
或者可以参考JumpServer官网,上面有详细的说明:角色列表 (X-Pack) - JumpServer 文档
本期主要跟大家分享用户的批量创建和LDAP对接的一点小技巧,就到这里了,下期见!