Jumpserver 使用文档

用户管理

 


 

一、用户列表

1.1 创建用户

点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面。

_images/admin_users_user_list.jpg

点击页面左上角"创建用户"按钮, 进入创建用户页面, 填写账户, 角色安全, 个人等信息。

其中, 用户名即 Jumpserver 登录账号。用户是用于资产授权, 当某个资产对一个用户授权后, 这个用户就使用这个资产了。角色用于区分一个用户是管理员还是普通用户。

_images/admin_users_user_create.jpg

成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱。

点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。

二、用户组

2.1 创建用户组

用户组, 顾名思义, 给用户分组。用户组信息很有用, 在分配资产权限的时候, 针对的某个用户组下的所有用户, 可以为一个用户分配多个用户组。

点击页面左侧"用户管理"菜单下的"用户组", 进入用户组列表页面。

_images/admin_user_group_list.jpg

点击页面左上角"创建用户组"按钮, 进入创建用户组页面:

名称即用户组名称, 建议填写简单明了有用的信息。创建用户组的时候可以把已存在的用户加入到该分组中, 一个用户可以存在多个分组中。

_images/admin_user_group_create.jpg
 


资产管理

一、资产列表

1.1 管理资产树

资产树节点不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作

_images/admin_assets_asset_list.jpg

1.2 为资产树节点创建资产

在资产列表页面, 先在左侧选择资产要加入的节点, 然后在右侧选择创建资产

_images/admin_assets_asset_create.jpg

二、网域列表

网域功能是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录

2.1 网域列表

_images/admin_assets_domain_list.jpg

2.2 创建网域

在网域列表页面, 在右侧选择创建网域

_images/admin_assets_domain_create.jpg

2.3 网关列表

_images/admin_assets_domain_gateway_list.jpg

2.4 创建网关

在网域列表页面, 点击网关下面的数字进入网关列表, 点击创建网关, 网关可以是一台任意装有 ssh 服务的资产

_images/admin_assets_domain_gateway_create.jpg

三、管理用户

管理用户是资产(被控服务器)上的root,或拥有 NOPASSWD: ALL sudo权限的用户, Jumpserver使用该用户来 推送系统用户、获取资产硬件信息 等。暂不支持 Windows或其它硬件, 可以随意设置一个

3.1 管理用户列表

_images/admin_assets_admin-user_list.jpg

3.2 创建管理用户

_images/admin_assets_admin-user_create.jpg

四、系统用户

系统用户是 Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。 系统用户创建时,如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中,如果资产(交换机、windows)不支持ansible, 请手动填写账号密码。目前还不支持Windows的自动推送

4.1 系统用户列表

_images/admin_assets_system-user_list.jpg

4.2 创建系统用户

_images/admin_assets_system-user_create_01.jpg _images/admin_assets_system-user_create_02.jpg

五、标签管理

给资产打上标签便于查询和管理。标签信息有名称和值:名称可以是描述功能信息, 例如:用途, 值则可以是具体信息, 例如:组织1-部门1-研发。标签创建的时候可以选择为已存在的资产打上该标签。

5.1 标签列表

_images/admin_assets_label_list.jpg

5.2 创建标签

点击页面左上角"创建标签"按钮, 进入创建标签页面:

_images/admin_assets_label_create.jpg

标签名称可以重名, 一个资产可以有多个标签产。标签删除, 资产上的标签信息会自动消失

六、命令过滤

系统用户可以绑定一些命令过滤器,一个过滤器可以定义一些规则 当用户使用这个系统用户登录资产,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配, 当一个规则匹配到了,如果规则的动作是 允许, 这个命令会被放行, 如果规则的动作是 禁止,命令将会被禁止执行, 否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行

6.1 命令过滤器列表

_images/admin_assets_cmd-filter_list.jpg

6.2 创建命令过滤器

在命令过滤器列表页面点击创建命令过滤器

_images/admin_assets_cmd-filter_create.jpg

6.3 命令过滤器规则列表

在命令过滤器列表页面点击规则下面的数字进入规则页面

_images/admin_assets_cmd-filter_rule_list.jpg

6.4 创建规则

在命令过滤器列表页面点击规则下面的数字进入规则页面, 点击创建规则

_images/admin_assets_cmd-filter_rule_create.jpg


权限管理

一、资产授权

把资产授权给用户后, 用户才能在 "我的资产" 里面看到资产, 配置正确后用户才能正常连接资产

1.1 查看授权列表

_images/admin_perms_asset-permission_list.jpg

1.2 创建授权规则

节点, 对应的是资产, 代表该节点下的所有资产。

用户组, 对应的是用户, 代表该用户组下所有的用户。

系统用户, 及所选的用户组下的用户能通过该系统用户使用所选节点下的资产。

节点, 用户组, 系统用户是一对一的关系, 所以当拥有 Linux、Windows 不同类型资产时, 应该分别给 Linux 资产和 Windows 资产创建授权规则。

资产或节点可以授权给个人或用户组, 一个授权建议只指定一个系统用户 (多系统用户会按照优先级进行排序, 高优先自动登陆, 同时存在多个并级系统用户时,用户需要自己选择系统用户)

_images/admin_perms_asset-permission_create.jpg


会话管理

一、在线会话

1.1 查看在线会话

点击页面左侧"会话管理"菜单下的"在线会话"按钮, 进入在线会话列表页面, 默认展示最近7天的记录。

用户:在线的用户名。

资产:登录的资产名称。

系统用户:用户使用那哪个系统用户登录的资产。

远端地址:登录用户的 IP 地址。

终端地址:登录所以使用的终端的 IP 地址, 列如 Coco。

命令: 用户执行了多少条命令。

开始日期: 登录的时间。

时长:在线时长。
_images/admin_terminal_session-online_list.jpg

可以查看指定的在线记录, 比如, 指定用户、资产或系统用户。

1.2 中断会话

管理员可以手动中断当前在线的会话。

已中断的会话会记录到"历史会话"里面。

二、历史会话

2.1 查看历史会话

历史会话同在线会话包含的信息一样, 都有用户、资产和 IP 地址等信息。

_images/admin_terminal_session-offline_list.jpg

2.2 查看历史话录像

Jumpserver 提供历史会话的录像观看。点击左侧的"回放"按钮, 即可观看录像。

三、命令记录

命令记录里面存放的是用户在资产上执行过哪些命令, 单击一行记录, 会展示命令执行的结果:

_images/admin_terminal_command_list.jpg

点击"转到"连接, 会跳转到详细的会话页面, 如果会话已结束可以查看会话录像, 如果会话正在线可中断会话:

四、Web 终端

Web 终端是资产使用界面, 管理员和用户都是从这里登录到资产上, 执行操作。点击资产名字连接资产, 点击"Server"下的"Disconnect"断开资产连接。

_images/admin_terminal_web-terminal_list.jpg

五、文件管理

文件管理允许对 SSH 协议资产进行文件上传下载创建删除操作(不支持上传文件夹), 目前也不支持系统用户是手动登录的资产

_images/admin_terminal_web-sftp_list.jpg

六、终端管理

终端列表页面列出了 Jumpserver 正在使用的终端有哪些, 例如:Coco、Gua 等。终端第一次使用, 会首先向 Jumpserver 发送请求注册, 在 Jumpserver 中接受注册后就可以正常使用该终端了。

_images/admin_terminal_terminal_terminal_list.jpg


作业中心

一、任务列表

作业是 Jumpserver 向其所管理下的资产发送的指令, 例如, 测试资产可连接性、获取资产硬件信息、测试管理用户可连接性和测试系统用户可连接性等命令。默认展示最近7天的作业记录。

_images/admin_ops_task_list.jpg

点击作业名称可以查看作业的具体详情、作业的历史版本以及作业执行的历史记录

二、批量命令

可以通过该功能快速下发命令到资产, 目前仅支持能被 ansible 管理的资产, 要求 系统用户 登陆方式为 自动登陆

_images/admin_ops_command-execution_start.jpg


日志审计

一、登陆日志

_images/admin_audits_login-log_list.jpg

二、FTP日志

_images/admin_audits_ftp-log_list.jpg

三、操作日志

_images/admin_audits_operate-log_list.jpg

四、改密日志

_images/admin_audits_password-change-log_list.jpg

五、批量命令

_images/admin_audits_command-execution-log_list.jpg



系统设置

点击页面左侧 "系统设置" 按钮, 进入系统设置页面, 查看基本设置、邮件设置、LDAP 设置和终端设置等内容。

一、基本设置

点击页面上边的 "基本设置" 按钮, 进入基本设置页面, 编辑当前站点 URL、用户向导 URL、Email 主题前缀等信息, 点击"提交"按钮, 基本设置完成。

_images/admin_settings_list.jpg

二、邮件设置

点击页面上边的 "邮件设置" 按钮, 进入邮件设置页面:

_images/admin_settings_email_list.jpg

三、LDAP 设置

点击页面上边的" LDAP 设置" 按钮, 进入 LDAP 设置页面, 编辑 LDAP 地址、DN、用户 OU、用户过滤器、LDAP 属性映射和是否使用 SSL、是否启用 LDAP 认证等信息, 点击"测试连接"按钮, 测试是否正确设置, 点击"提交"按钮, 完成 LDAP 设置。

_images/admin_settings_ldap_list.jpg

如果这里有问题请手动用 ldapsearch命令测试一下, 如果能唯一搜索出这个用户代表你的设置是对的, 然后根据用户的属性填写映射关系

# 注意下面的 testuser对应的是你ldap server上存在的用户, 填写到配置中需要改为 %(user)s
ldapsearch -x -W -H ldap://127.0.0.1:389 -b "ou=People,dc=xxx,dc=com" -D "cn=admin,dc=xxx,dc=com" "(cn=testuser)"
ldapsearch -x -W -H ldap://127.0.0.1:389 -b "dc=xxx,dc=com" -D "cn=admin,dc=xxx,dc=com" "(&(cn=testuser)(objectClass=account))"

# extended LDIF
#
# LDAPv3
# base <ou=People,dc=xxx,dc=com> with scope subtree
# filter: (cn=*)
# requesting: ALL
#

# testuser, People, xxx.com
dn: uid=testuser,ou=People,dc=xxx,dc=com
uid: testuser       # 打算使用该属性映射为jumpserver username
cn: testuser        # 打算使用该属性映射为jumpserver name
mail: xyz@google.coom   # 打算使用该属性映射为jumpserver email
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
...

参考 "FAQ文档" 的 LDAP 使用说明 <faq_ldap.html>

四、终端设置

点击页面上边的 "终端设置" 按钮, 进入终端设置页面, 编辑终端信息, 点击"提交"按钮, 终端设置完成。

资产列表排序项, 可以选择按主机名或者 IP 来排序, 默认是按主机名排序。心跳间隔指的是 Coco 和 Gua 等终端向 Jumpserver 发送心跳信息的频率, 如果 Jumpserver 长时间(1个小时)未收到 Coco 和 Gua 发送的心跳数据, Jumpserver 则认为该终端也"死掉", 在"会话管理"下的"终端管理"页面会显示该终端已掉线。

_images/admin_settings_terminal_list_01.jpg _images/admin_settings_terminal_list_02.jpg

五、安全设置

点击页面上边的 "安全设置" 按钮, 进入安全设置页面

_images/admin_settings_security_list_01.jpg _images/admin_settings_security_list_02.jpg
posted @ 2021-01-10 11:57  iDropper  阅读(1562)  评论(0编辑  收藏  举报