最佳实践-JumpServer资产节点与用户组织管理规划

1．常见资产节点规划方式

1.1．按业务划分

• 业务部门划分：将资产按业务部门进行划分，如研发部、测试部、运维部等。
• 项目划分：将资产按项目进行划分，每个项目对应一个资产节点。

1.2．按地域划分

• 数据中心划分：按不同的数据中心进行划分，如北京数据中心、上海数据中心等。
• 地理位置划分：按资产所在的地理位置进行划分，如国内资产、国外资产等。

1.3．按环境划分

• 生产环境：用于正式运营的服务器和设备。
• 测试环境：用于开发和测试的服务器和设备。
• 开发环境：开发人员使用的服务器和设备。

1.4．按设备类型划分

• 服务器：如 Linux 服务器、Windows 服务器等。
• 网络设备：如交换机、路由器、防火墙等。

1.5．按安全级别划分

• 高安全级别：存储敏感数据的服务器和设备，如核心数据库服务器，安全应用服务器等。
• 中安全级别：需要一定安全防护但不涉及敏感数据的服务器和设备，如普通应用服务器，中间件服务器等。
• 低安全级别：开发测试用途，安全要求较低的服务器和设备，如测试服务器，开发服务器等。

通过以上这些规划方式，企业可以根据自身需求对资产进行灵活的组织和管理，以提高资产管理的效率和安全性。

2．组织管理功能的使用场景

为了解决大型企业多组织、多租户的使用场景，Jumpserver提供组织管理功能。让一台堡垒机可以“多家”使用。

组织之间可相互隔离，管理员可分级管理组织下不同级别的用户、资产和授权，为用户提供更细颗粒度的管理体验。

实现一台堡垒机当做多台使用，既方便管理又可以节省成本。

先做好整个多层级管理架构的规划，再结合相应的统一管理标准和操作流程，逐层逐级将相关权限下方到每一个组织。

场景特点：

多层级管理架构，权限关系清晰

逐层分级管理，实现权限下放

统一标准，风险管理可控

3．Jumpserver云同步功能的配置

3.1．云同步功能概述

Jumpserver 可以实现基于公有云API的云资产自动纳管，用户只需要在jumpserver中配置云账号的API访问凭证即可自动同步云上所有主机资源信息到jumpserver堡垒机中。

对于拥有大量云资产的用户来说，省去了初次导入资产的繁重工作。在后期的运维工作中，当云资产发生变化，jumpserver 亦可自动同步最新的资源信息，无需人工频繁维护。

与此同时，在云资产同步过程中还可以通过设置同步策略的方式，基于云资产的属性自动分组。

目前支持的云平台有：阿里云、腾讯云、华为云、百度云、京东云、金山云、AWS(中国)、AWS(国际)、Azure(中国)、Azure(国际)、谷歌云、VMware、青云私有云、华为私有云、天翼私有云、OpenStack、Nutanix、Fusion Compute、局域网等。

3.2．配置步骤

3.2.1．创建云同步账号

资产列表-主机-点击云同步按钮，进入云同步页面，点击云账号，在此页面创建云账号

以火山云为例（在火山云页面获取相关秘钥）

3.2.2．创建同步策略

3.2.3．创建同步任务

详细参数说明:

• 名称：该同步任务的名称。
• 账号：同步源的账号，即账号列表中的账号。
• 地域：账号列表中可识别的地域，即需求同步的资产所处的地域。
• 主机名策略：同步资产的主机名，选择‘实例名称’或‘实例名称+部分IP’。
• IP网段组：同步资产被匹配的IP网段组。如果匹配成功，资产即可被同步。
• 同步IP类型：同步资产被同步的IP类型，私有IP或者公网IP。
• 资产信息保持最新：每次执行同步任务时，是否更新资产的所有信息。
• 资产完全同步：当资产条件不满足匹配资产策略时，是否继续同步此类资产。
• 策略：选择需要匹配的策略。
• 定时执行：是否开启定时执行。

同步任务可手动执行，也可设置定时任务定时执行

3.2.4．在堡垒机删除已释放的资产

同步任务点进去详情-同步实例列表，更多操作-可以自动删除已释放的资产。

注意：如果一部分资产手动添加过，且又使用了云同步的同步账号下也包含这部分资产，则可能会遇到资产重复的问题，需要手动删除手动添加的资产

4．Jumpserver配置LDAP认证

Jumpserver资产使用LDAP进行登录认证，通过LDAP认证提供单点登录功能，简化了用户管理工作提高工作效率。

4.1．配置ldap认证信息

系统设置-认证设置-LDAP页签

详细参数说明：

• LDAP地址：LDAP 地址，可以为IP或者域名。例如：ldap://serverurl:389。需确保LDAP服务器的端口389与JumpServer服务器连通。
• 绑定DN：绑定的 LDAP 账号。例如：cn=admin,dc=jumpserver,dc=com
• 密码：绑定 LDAP 账号的密码。

4.2．配置用户属性映射

同步后的用户组以AD为开头，即AD+原用户组

详细参数说明：

• 用户OU：用户查询的起始 OU，根据LDAP的树结构进行填写
• 用户过滤器：根据规则匹配指定的用户，过滤器语法参考：LEX - The LDAP Explorer : Page Not Found Error，一般不修改
• 用户属性映射：指 LDAP 中的属性和 JumpServer 用户的属性的对应关系，支持 memberOf 选项。其中username,name,email 是JumpServer的用户必要属性。

4.3．其他设置

详细参数说明：

• 连接超时时间：和 LDAP 服务器建立连接时的超时时间。
• 搜索分页数量（条）：从 LDAP 服务器中同步用户数据时每一次同步的数量。
• User DN 缓存超时时间 (秒)：User DN 缓存超时时间
• 测试连接：该按钮可在配置信息后检测信息配置是否正常以及网络是否连通，显示匹配用户数量。
• 测试登录：该按钮可测试LDAP同步的用户是否可登录。

4.4．用户导入

提交ldao配置之后，点击用户导入按钮

选择需要导入的用户或者导入全部

4.5．同步设置

可以设置导入的用户属于哪一个组织结构，设置定时执行，定期的去导入用户。

注意事项：

未导入堡垒机的LDAP账号，在用户首次登录时会自动导入，如何限制堡垒机自动导入，仅已经导入的账号登录Jumpserver，可参考下图修改系统设置。