Jumpserver v2.0.0 使用说明

官方文档:http://www.jumpserver.org/

 

— 登录脚本 —

1.1 使用paramiko原生ssh协议登录后端主机(原来版本使用pexpect模拟登录)

1.2 新增使用别名或备注登录

1.3 新增主机分组查看,使用更方便

1.4 多线程批量执行命令

1.5 优化登录脚本

— web管理 —

1.6 Web界面更加美观漂亮

1.7 增加部门管理员负责管理本部门成员

1.8 增加仪表盘统计信息

1.9 增加部门, 用户组, 主机组

1.10 用户信息,主机信息更加详细

1.11 主机登录方式增加登录方式 map,用于登录不支持ldap的主机

1.12 主机授权,sudo授权改为组组之间授权

1.13 增加主机批量修改,批量添加

1.14 添加用户自动生成随机密码,然后自动发送邮件

1.15 添加各种搜索

1.16 增加普通用户web页面的授权申请

1.17 审计界面更加友好

1.18 主机添加过滤搜索功能

1.19 增加用户头像

1.20 上传批量上传

1.21 增加部门管理员页面

1.22 普通用户页面内容更加丰富

转下Jumpserver v2.0.0 使用说明 - 第1张 | 大话运维

一. 用户管理

Jumpserver 2.0.0 版本中增加了部门管理员角色,可以负责管理一个部门的成员和该部门的主机,如果有需要请添加部门,如果服务器或用户较少可以不添加部门和部门管理员

1.1 添加部门

用户管理 — 添加部门

转下Jumpserver v2.0.0 使用说明 - 第2张 | 大话运维

1.2 添加部门管理员用户

用户管理 — 添加用户

转下Jumpserver v2.0.0 使用说明 - 第3张 | 大话运维

用户的web登录密码,ssh密钥密码等以邮件发送给所填写的邮箱

转下Jumpserver v2.0.0 使用说明 - 第4张 | 大话运维

查看添加后的用户

转下Jumpserver v2.0.0 使用说明 - 第5张 | 大话运维

1.3 添加普通用户

用户管理 — 添加用户

转下Jumpserver v2.0.0 使用说明 - 第6张 | 大话运维

查收邮件

转下Jumpserver v2.0.0 使用说明 - 第7张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第8张 | 大话运维

1.4 添加用户组

2.0.0版本的jumpserver授权主机或者sudo是以组的形式组织的,所以要建立用户组

用户管理 — 添加小组 (有人问为何不是添加用户组? 因为四个字比较好看)

转下Jumpserver v2.0.0 使用说明 - 第9张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第10张 | 大话运维

1.5 测试添加的用户

根据邮件说明,登录web

转下Jumpserver v2.0.0 使用说明 - 第11张 | 大话运维

下载ssh密钥,用来登录jumpserver

转下Jumpserver v2.0.0 使用说明 - 第12张 | 大话运维

导入到工具或者使用ssh命令登录jumpserver,本例使用xshell导入

转下Jumpserver v2.0.0 使用说明 - 第13张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第14张 | 大话运维

登录jumpserver

转下Jumpserver v2.0.0 使用说明 - 第15张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第16张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第17张 | 大话运维

 

二. 资产管理

2.1 添加IDC机房

(重新登录管理员账户)如果有多个IDC机房,可以分别添加IDC机房,如果就那么一个可以不添加,使用默认的即可

资产管理 — 添加IDC

转下Jumpserver v2.0.0 使用说明 - 第18张 | 大话运维

查看IDC机房

转下Jumpserver v2.0.0 使用说明 - 第19张 | 大话运维

2.2 添加资产

登录方式: 有两种,一中是LDAP也是最主要的方式,服务器需要安装ldap client,另一种是map,也就是映射,该模式用于不能安装ldap的机器,选择该模式后,需要手动填写主机的账号密码,用户从跳板机跳转到该服务器,会以这个用户登录

部门:选择服务器输入哪个部门,也相当于把服务器授权给某个部门,将来该部门管理员可以管理该服务器及授权

所属主机组:刚开始可不填,当选择主机组后,如果该主机组已授权给用户组,则该主机授权给用户组的各个用户

转下Jumpserver v2.0.0 使用说明 - 第20张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第21张 | 大话运维

查看资产

转下Jumpserver v2.0.0 使用说明 - 第22张 | 大话运维

2.3 批量添加资产

资产管理 — 添加资产 — 批量添加

批量添加资产可以按照格式批量添加资产,对应的各个字段有说明,也有实例

转下Jumpserver v2.0.0 使用说明 - 第23张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第24张 | 大话运维

查看资产

转下Jumpserver v2.0.0 使用说明 - 第25张 | 大话运维

2.4 添加主机组

前面也讲过授权是基于组的,最终需要以组形式授权,所以添加主机组

资产管理 — 添加主机组

转下Jumpserver v2.0.0 使用说明 - 第26张 | 大话运维

查看主机组

转下Jumpserver v2.0.0 使用说明 - 第27张 | 大话运维

 

三. 授权管理

授权管理是用来授权主机或者sudo,查看用户权限申请并处理的模块

3.1 授权主机组给用户组

授权管理 — 小组授权 — 选择用户组 — 授权编辑

转下Jumpserver v2.0.0 使用说明 - 第28张 | 大话运维

将刚才建立的主机组授权给该用户组

转下Jumpserver v2.0.0 使用说明 - 第29张 | 大话运维

查看授权详情

转下Jumpserver v2.0.0 使用说明 - 第30张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第31张 | 大话运维

 

3.2 测试授权

web登录建立的那个普通用户,查看授权的主机

转下Jumpserver v2.0.0 使用说明 - 第32张 | 大话运维

该用户登录jumpserver,使用jumpserver登录授权主机

注: jumpserver正常使用会让 connect.py脚本登录自启动,部署文档后面有说明, 下面的操作为试了方便测试

# cd /opt/jumpserver

# python connect.py

转下Jumpserver v2.0.0 使用说明 - 第33张 | 大话运维

输入p或P 查看所有授权主机

输入g或G 查看授权主机组

输入g或G加上组的ID,查看该组下的主机

转下Jumpserver v2.0.0 使用说明 - 第34张 | 大话运维

输入e 可以进入二级菜单批量在主机执行命令,根据提示输入IP,支持通配符,可以逗号分隔,下面输入执行的命令

注意:报错可能提示没有目录权限,添加该目录并修改权限

# mkdir –p /opt/jumpserver/logs/exec_cmds

# chmod 777  /opt/jumpserver/logs/exec_cmds -p

转下Jumpserver v2.0.0 使用说明 - 第35张 | 大话运维

输入q 可以退出到上一层菜单或者退出

转下Jumpserver v2.0.0 使用说明 - 第36张 | 大话运维

输入ip地址,或者ip的一部分,或者输入主机的备注,或者输入主机的别名(别名是用户在web端对主机的自定义备注)

注意:报错可能提示没有目录权限,添加该目录并修改权限

# mkdir /opt/jumpserver/logs/connect/

# chmod 777 /opt/jumpserver/logs/connect/

转下Jumpserver v2.0.0 使用说明 - 第37张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第38张 | 大话运维

3.3 Sudo授权

(重新登录管理员账户)

添加sudo可执行的命令组

授权管理 – sudo授权 — 添加命令组

转下Jumpserver v2.0.0 使用说明 - 第39张 | 大话运维

查看命令组

转下Jumpserver v2.0.0 使用说明 - 第40张 | 大话运维

sudo授权

授权管理 – sudo授权 — 查看sudo授权 — sudo授权

转下Jumpserver v2.0.0 使用说明 - 第41张 | 大话运维

查看sudo授权

转下Jumpserver v2.0.0 使用说明 - 第42张 | 大话运维

可以查看授权了那些主机上执行哪些sudo 命令

3.4 测试sudo命令

想必刚才的终端你还没用退出,使用jumpserver登录后端主机后,sudo测试

转下Jumpserver v2.0.0 使用说明 - 第43张 | 大话运维

 

四. 日志审计

4.1 监控在线用户操作

日志审计 — 在线

这时如果你的终端没用退出的话,会看到测试账户

转下Jumpserver v2.0.0 使用说明 - 第44张 | 大话运维

点击监控,可以实时查看用户的操作行为和历史操作记录 (如果不能弹出监控窗,应该是 node index.js程序没有启动)

转下Jumpserver v2.0.0 使用说明 - 第45张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第46张 | 大话运维

点击阻断,强行用户断开

转下Jumpserver v2.0.0 使用说明 - 第47张 | 大话运维

 

4.2 查看历史记录

日志审计 — 历史记录 — 命令统计

查看本次登录用户操作的记录 (如果没有日志 可能是log_handler.py程序没有运行)

转下Jumpserver v2.0.0 使用说明 - 第48张 | 大话运维

 

五. 部门管理员角色的职能

将主机授权给部门管理员后,部门管理员可以管理本部门用户, 可以授权该部门下的主机,上面添加用户时已经添加了 乔峰 为部门管理员,下面将主机授权给乔峰所在部门

5.1 部门授权

在添加主机时,如果将主机设置为某个部门,则直接将主机授权给该部门,可省略下面工作

授权管理 — 部门授权 — 授权编辑

转下Jumpserver v2.0.0 使用说明 - 第49张 | 大话运维

 

5.2 部门管理员登陆 (什么,你忘记密码了? 去查看邮件吧)

转下Jumpserver v2.0.0 使用说明 - 第50张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第51张 | 大话运维

5.3 查看部门管理员相关功能

部门管理员相比超级管理员功能要少些,只能负责该部门的主机授权,用户管理,需要说明的是,新建的用户会默认属于本部门,新添加的主机会属于本部门

快去试试吧!

 

六. 普通用户web操作

普通用户也可以登录jumpserver web系统,进行一些操作哦

6.1 登录

转下Jumpserver v2.0.0 使用说明 - 第52张 | 大话运维

6.2 浏览浏览

可以四处浏览一下,试试各个功能,仪表盘,个人信息

6.3 申请主机权限

申请主机权限,可以选择申请的主机或者组,发邮件给管理员,管理员收到后会处理申请(对不起,目前申请处理还不是自动的)

权限申请 — 申请主机

转下Jumpserver v2.0.0 使用说明 - 第53张 | 大话运维

查看申请记录

转下Jumpserver v2.0.0 使用说明 - 第54张 | 大话运维

这时乔峰应该收到了邮件,可以点击链接,或者登陆jumpserver处理申请

转下Jumpserver v2.0.0 使用说明 - 第55张 | 大话运维

登陆乔峰账户,查看权限申请

授权管理 — 权限审批 — 未审批

转下Jumpserver v2.0.0 使用说明 - 第56张 | 大话运维

这时苦逼的管理员需要手动为该用户授权,授权完成后点击确认,嘿嘿

6.4 上传文件

上传下载 — 文件上传

填写ip地址,多个ip逗号隔开,将需要上传的文件或者目录拖拽上去,点击全部上传,上传文件在服务器的/tmp目录下,去看看吧

转下Jumpserver v2.0.0 使用说明 - 第57张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第58张 | 大话运维

转下Jumpserver v2.0.0 使用说明 - 第59张 | 大话运维

posted @ 2018-03-06 10:56  壹个龍宝宝宝  阅读(2059)  评论(0编辑  收藏  举报