jumpserver安装和简单管理




安装

示意图

image-20210818152355987


注意jumpserver安装可以自行去官网直接看,文档会更加详细
官网地址:
https://jumpserver.readthedocs.io/zh/master/dockerinstall.html


这里实验使用的是docker安装
docker环境的安装: https://i.cnblogs.com/posts?cateId=2015725


生成随机加密串,不要泄露出去
if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi

if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi


启动
docker run --name jms_all -d -p 80:80 -p 2222:2222 -e SECRET_KEY=$SECRET_KEY -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN jumpserver/jms_all:latest


访问:
浏览器访问: http://<容器所在服务器IP>
SSH 访问: ssh -p 2222 <容器所在服务器IP>
XShell 等工具请添加 connection 连接, 默认 ssh 端口 2222
默认管理员账户 admin 密码 admin




简单管理

系统设置

基本设置这里只要改下主体前缀就可以了,其他可以不用动

image-20210818152712811


注意这里的密码是token,如果是163邮箱,如果是当初自己设置的token太过于简单,比如abc123之类的,那么建议重新在让系统自动生成一次,不然可能会报错

image-20210818152745067


用户管理

先创建用户组

image-20210818152823570


在创建用户

image-20210818152842351

image-20210818152858506

image-20210818152916468


最终创建了3个用户

image-20210818152947370



资产管理

这里的管理用户和系统用户特别说明一下,官方解释是
管理用户是资产(被控服务器)上的root,或拥有 NOPASSWD: ALL sudo权限的用户, 
Jumpserver使用该用户来 `推送系统用户`、`获取资产硬件信息`等。 
Windows或其它硬件可以随意设置一个。


系统用户是 Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户,
如 web, sa, dba(`ssh web@some-host`), 
而不是使用某个用户的用户名跳转登录服务器(`ssh xiaoming@some-host`); 
简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。 
系统用户创建时,如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中,
如果资产(交换机、windows)不支持ansible, 
请手动填写账号密码。目前还不支持Windows的自动推送。


简单来说  开发人员 dev-zhangsan 需要登陆服务器A,dev-zhangsan 不是直接登陆到服务器A,
首先登陆到堡垒机jumpserver,jumpserver 用服务器的系统用户登陆到远程服务器上,
假设远程服务器上没有系统用户,那管理用户这时候就会在远程服务器上创建一个系统用户。


总之,管理用户,系统用户都是在远程服务器上的用户,只不过管理用户是具有root权限的系统用户,
嫌麻烦的话,直接用root也行,但是建议还是使用拥有NOPASSWD: ALL sudo权限的用户

添加管理用户

image-20210818153222697

image-20210818153240265


添加系统用户

image-20210818153302320

image-20210818153318370

image-20210818153338618


添加节点

image-20210818153404622


添加资产

image-20210818153425293

image-20210818153446141

image-20210818153500316



权限管理

资产授权可以按照用户组划分,也可以项目名划分;下面我以用户组划分,每个组可以登陆不同的服务器资产

image-20210818153549985

注意这里:

授权可以分为用户和用户组。如果给单个用户授权只要选中其中一个用户就行了,用户组不用选择。同理资产那里也一样

注意这里给开发这个组授权了,那么整个开发组都有权限了,但是只授权了一台服务器给开发组,没有授权整个节点

image-20210818153622496


接下来只给dba组的李四授权整个生产环境节点

image-20210818153644604

image-20210818153658516




命令行连接jumpserver

注意这里输入的是dev-zhangsan堡垒机登录的密码image-20210818153752804


posted @ 2021-08-18 15:44  李成果  阅读(287)  评论(0编辑  收藏  举报