堡垒机使用普通用户密钥方式登陆资产,然后新创建普通用户管理资产
0. 说明
资产服务器:需要被堡垒机管理的服务器
Jumpserver平台:部署有Jumpserver的服务器
管理用户:资产服务器上的已有用户
系统用户:资产服务器上有的或者没有的用户
1. 资产服务器操作
- 使用root用户登陆上资产服务器,创建一个普通用户,授予sudo NOPASSWD权限,修改sshd_config文件,允许使用密钥文件登陆。
- 切换到该普通用户,生成密钥文件,导入公钥文件到authorized_keys文件,修改该文件权限
- 下载id_rsa私钥文件到本地
[root@bogon ~]# useradd sandu1
[root@bogon ~]# vim /etc/sudoers
# 增加如下一行内容
sandu1 ALL=(ALL) NOPASSWD:ALL
[root@bogon ~]# vim /etc/ssh/sshd_config
# 如下这行文件取消注释
PubkeyAuthentication yes
[root@bogon ~]# systemctl restart sshd.service
[root@bogon ~]# su - sandu1
[sandu1@bogon ~]$ ssh-keygen
[sandu1@bogon ~]$ cd .ssh/
[sandu1@bogon .ssh]$ cat id_rsa.pub >> authorized_keys
[sandu1@bogon .ssh]$ chmod 600 authorized_keys
下载id_rsa私钥文件到本地
2. Jumpserver平台操作
- 资产管理,管理用户,创建管理用户
名称:填写一个容易区分的
用户名:填写资产服务器创建的那个普通用户,本例中填写sandu1
密码:不填写
ssh私钥:选择上一步下载到本地的id_rsa私钥文件
然后提交
- 资产管理,资产列表,创建资产
主机名:填写一个容易区分的
IP:填写资产服务器IP
系统平台:本例选择Linux
认证,管理用户:选择上一步填写的管理用户
节点:默认
其余的选项保持默认
然后提交
- 测试资产服务器连接
在资产列表中点击主机名中刚才创建的主机,右边有个快速修改-测试可连接性,点击测试
若弹出框中出现ok,则表明,在Jumpserver平台可以使用普通用户+密钥的方式登录到资产服务器上
- 资产管理,系统用户,创建系统用户
名称:填写一个容易区分的
登陆模式:自动登陆
用户名:是指在资产上进行操作的用户名
这个分如下两种情况:第一种是资产服务器上存在该用户,填写该用户的用户名,认证中不勾选自动生成密钥,填写该用户的密码或者上传该用户的密钥,也就是使用系统已有的用户。第二种是在资产服务器上新创建一个普通用户,自动生成密钥,自动推送等,在这里使用创建一个新普通用户的方式,本例中填写的是sandu11
自动生成密钥:勾选
自动推送:勾选
其他保持默认
然后提交
- 权限管理,资产授权,创建授权规则
给上一步创建的系统用户配置要管理的资产服务器
名称:填写一个容易区分的
用户:Jumpserver平台创建的用户
用户组:Jumpserver平台创建的用户组
资产:选择添加的资产服务器
节点:默认或者手动选择新添加的
系统用户:选择上一步创建的系统用户
其他保持默认
然后提交
- 测试系统用户连接
在系统用户列表中名称列点击刚才创建的系统用户,点击立刻推送系统,表示使用管理用户登陆资产服务器,然后创建该系统用户账号
PLAY [推送系统用户到入资产: 测试系统用户] ******************************************************
TASK [Add user sandu11] ********************************************************
ok: [ceshi]
TASK [Check home dir exists] ***************************************************
ok: [ceshi]
TASK [Set home dir permission] *************************************************
ok: [ceshi]
TASK [Set sandu11 password] ****************************************************
ok: [ceshi]
TASK [Set sandu11 authorized key] **********************************************
ok: [ceshi]
TASK [Set sandu11 sudo setting] ************************************************
ok: [ceshi]
2019-08-19 12:08:30 任务结束
分类:
Jumpserver堡垒机
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 记一次.NET内存居高不下排查解决与启示