堡垒机使用普通用户密钥方式登陆资产,然后新创建普通用户管理资产

0. 说明

资产服务器:需要被堡垒机管理的服务器
Jumpserver平台:部署有Jumpserver的服务器
管理用户:资产服务器上的已有用户
系统用户:资产服务器上有的或者没有的用户

1. 资产服务器操作

  1. 使用root用户登陆上资产服务器,创建一个普通用户,授予sudo NOPASSWD权限,修改sshd_config文件,允许使用密钥文件登陆。
  2. 切换到该普通用户,生成密钥文件,导入公钥文件到authorized_keys文件,修改该文件权限
  3. 下载id_rsa私钥文件到本地
[root@bogon ~]# useradd sandu1

[root@bogon ~]# vim /etc/sudoers
# 增加如下一行内容
sandu1  ALL=(ALL)       NOPASSWD:ALL

[root@bogon ~]# vim /etc/ssh/sshd_config
# 如下这行文件取消注释
PubkeyAuthentication yes

[root@bogon ~]# systemctl restart sshd.service

[root@bogon ~]# su - sandu1
[sandu1@bogon ~]$ ssh-keygen
[sandu1@bogon ~]$ cd .ssh/
[sandu1@bogon .ssh]$ cat id_rsa.pub >> authorized_keys
[sandu1@bogon .ssh]$ chmod 600 authorized_keys

下载id_rsa私钥文件到本地

2. Jumpserver平台操作

  1. 资产管理,管理用户,创建管理用户
    名称:填写一个容易区分的
    用户名:填写资产服务器创建的那个普通用户,本例中填写sandu1
    密码:不填写
    ssh私钥:选择上一步下载到本地的id_rsa私钥文件

然后提交

  1. 资产管理,资产列表,创建资产
    主机名:填写一个容易区分的
    IP:填写资产服务器IP
    系统平台:本例选择Linux
    认证,管理用户:选择上一步填写的管理用户
    节点:默认

其余的选项保持默认

然后提交

  1. 测试资产服务器连接

在资产列表中点击主机名中刚才创建的主机,右边有个快速修改-测试可连接性,点击测试
若弹出框中出现ok,则表明,在Jumpserver平台可以使用普通用户+密钥的方式登录到资产服务器上

  1. 资产管理,系统用户,创建系统用户
    名称:填写一个容易区分的
    登陆模式:自动登陆
    用户名:是指在资产上进行操作的用户名
    这个分如下两种情况:第一种是资产服务器上存在该用户,填写该用户的用户名,认证中不勾选自动生成密钥,填写该用户的密码或者上传该用户的密钥,也就是使用系统已有的用户。第二种是在资产服务器上新创建一个普通用户,自动生成密钥,自动推送等,在这里使用创建一个新普通用户的方式,本例中填写的是sandu11
    自动生成密钥:勾选
    自动推送:勾选

其他保持默认

然后提交

  1. 权限管理,资产授权,创建授权规则

给上一步创建的系统用户配置要管理的资产服务器

名称:填写一个容易区分的
用户:Jumpserver平台创建的用户
用户组:Jumpserver平台创建的用户组
资产:选择添加的资产服务器
节点:默认或者手动选择新添加的
系统用户:选择上一步创建的系统用户

其他保持默认

然后提交

  1. 测试系统用户连接
    在系统用户列表中名称列点击刚才创建的系统用户,点击立刻推送系统,表示使用管理用户登陆资产服务器,然后创建该系统用户账号
PLAY [推送系统用户到入资产: 测试系统用户] ******************************************************
TASK [Add user sandu11] ********************************************************
ok: [ceshi]
TASK [Check home dir exists] ***************************************************
ok: [ceshi]
TASK [Set home dir permission] *************************************************
ok: [ceshi]
TASK [Set sandu11 password] ****************************************************
ok: [ceshi]
TASK [Set sandu11 authorized key] **********************************************
ok: [ceshi]
TASK [Set sandu11 sudo setting] ************************************************
ok: [ceshi]
2019-08-19 12:08:30 任务结束
posted @ 2019-08-19 13:00  哈喽哈喽111111  阅读(3699)  评论(0编辑  收藏  举报