Jumpserver 使用文档
用户管理
一、用户列表
1.1 创建用户
点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面。
点击页面左上角"创建用户"按钮, 进入创建用户页面, 填写账户, 角色安全, 个人等信息。
其中, 用户名即 Jumpserver 登录账号。用户是用于资产授权, 当某个资产对一个用户授权后, 这个用户就使用这个资产了。角色用于区分一个用户是管理员还是普通用户。
成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱。
点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。
二、用户组
2.1 创建用户组
用户组, 顾名思义, 给用户分组。用户组信息很有用, 在分配资产权限的时候, 针对的某个用户组下的所有用户, 可以为一个用户分配多个用户组。
点击页面左侧"用户管理"菜单下的"用户组", 进入用户组列表页面。
点击页面左上角"创建用户组"按钮, 进入创建用户组页面:
名称即用户组名称, 建议填写简单明了有用的信息。创建用户组的时候可以把已存在的用户加入到该分组中, 一个用户可以存在多个分组中。
资产管理
一、资产列表
1.1 管理资产树
资产树节点不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作
1.2 为资产树节点创建资产
在资产列表页面, 先在左侧选择资产要加入的节点, 然后在右侧选择创建资产
二、网域列表
网域功能是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录
2.1 网域列表
2.2 创建网域
在网域列表页面, 在右侧选择创建网域
2.3 网关列表
2.4 创建网关
在网域列表页面, 点击网关下面的数字进入网关列表, 点击创建网关, 网关可以是一台任意装有 ssh 服务的资产
三、管理用户
管理用户是资产(被控服务器)上的root,或拥有 NOPASSWD: ALL sudo权限的用户, Jumpserver使用该用户来 推送系统用户、获取资产硬件信息 等。暂不支持 Windows或其它硬件, 可以随意设置一个
3.1 管理用户列表
3.2 创建管理用户
四、系统用户
系统用户是 Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。 系统用户创建时,如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中,如果资产(交换机、windows)不支持ansible, 请手动填写账号密码。目前还不支持Windows的自动推送
4.1 系统用户列表
4.2 创建系统用户
五、标签管理
给资产打上标签便于查询和管理。标签信息有名称和值:名称可以是描述功能信息, 例如:用途, 值则可以是具体信息, 例如:组织1-部门1-研发。标签创建的时候可以选择为已存在的资产打上该标签。
5.1 标签列表
5.2 创建标签
点击页面左上角"创建标签"按钮, 进入创建标签页面:
标签名称可以重名, 一个资产可以有多个标签产。标签删除, 资产上的标签信息会自动消失
六、命令过滤
系统用户可以绑定一些命令过滤器,一个过滤器可以定义一些规则 当用户使用这个系统用户登录资产,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配, 当一个规则匹配到了,如果规则的动作是 允许, 这个命令会被放行, 如果规则的动作是 禁止,命令将会被禁止执行, 否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行
6.1 命令过滤器列表
6.2 创建命令过滤器
在命令过滤器列表页面点击创建命令过滤器
6.3 命令过滤器规则列表
在命令过滤器列表页面点击规则下面的数字进入规则页面
6.4 创建规则
在命令过滤器列表页面点击规则下面的数字进入规则页面, 点击创建规则
一、资产授权
把资产授权给用户后, 用户才能在 "我的资产" 里面看到资产, 配置正确后用户才能正常连接资产
1.1 查看授权列表
1.2 创建授权规则
节点, 对应的是资产, 代表该节点下的所有资产。
用户组, 对应的是用户, 代表该用户组下所有的用户。
系统用户, 及所选的用户组下的用户能通过该系统用户使用所选节点下的资产。
节点, 用户组, 系统用户是一对一的关系, 所以当拥有 Linux、Windows 不同类型资产时, 应该分别给 Linux 资产和 Windows 资产创建授权规则。
资产或节点可以授权给个人或用户组, 一个授权建议只指定一个系统用户 (多系统用户会按照优先级进行排序, 高优先自动登陆, 同时存在多个并级系统用户时,用户需要自己选择系统用户)
会话管理
一、在线会话
1.1 查看在线会话
点击页面左侧"会话管理"菜单下的"在线会话"按钮, 进入在线会话列表页面, 默认展示最近7天的记录。
用户:在线的用户名。
资产:登录的资产名称。
系统用户:用户使用那哪个系统用户登录的资产。
远端地址:登录用户的 IP 地址。
终端地址:登录所以使用的终端的 IP 地址, 列如 Coco。
命令: 用户执行了多少条命令。
开始日期: 登录的时间。
时长:在线时长。
可以查看指定的在线记录, 比如, 指定用户、资产或系统用户。
1.2 中断会话
管理员可以手动中断当前在线的会话。
已中断的会话会记录到"历史会话"里面。
二、历史会话
2.1 查看历史会话
历史会话同在线会话包含的信息一样, 都有用户、资产和 IP 地址等信息。
2.2 查看历史话录像
Jumpserver 提供历史会话的录像观看。点击左侧的"回放"按钮, 即可观看录像。
三、命令记录
命令记录里面存放的是用户在资产上执行过哪些命令, 单击一行记录, 会展示命令执行的结果:
点击"转到"连接, 会跳转到详细的会话页面, 如果会话已结束可以查看会话录像, 如果会话正在线可中断会话:
四、Web 终端
Web 终端是资产使用界面, 管理员和用户都是从这里登录到资产上, 执行操作。点击资产名字连接资产, 点击"Server"下的"Disconnect"断开资产连接。
五、文件管理
文件管理允许对 SSH 协议资产进行文件上传下载创建删除操作(不支持上传文件夹), 目前也不支持系统用户是手动登录的资产
六、终端管理
终端列表页面列出了 Jumpserver 正在使用的终端有哪些, 例如:Coco、Gua 等。终端第一次使用, 会首先向 Jumpserver 发送请求注册, 在 Jumpserver 中接受注册后就可以正常使用该终端了。
作业中心
一、任务列表
作业是 Jumpserver 向其所管理下的资产发送的指令, 例如, 测试资产可连接性、获取资产硬件信息、测试管理用户可连接性和测试系统用户可连接性等命令。默认展示最近7天的作业记录。
点击作业名称可以查看作业的具体详情、作业的历史版本以及作业执行的历史记录
二、批量命令
可以通过该功能快速下发命令到资产, 目前仅支持能被 ansible 管理的资产, 要求 系统用户 登陆方式为 自动登陆
一、登陆日志
二、FTP日志
三、操作日志
四、改密日志
五、批量命令
点击页面左侧 "系统设置" 按钮, 进入系统设置页面, 查看基本设置、邮件设置、LDAP 设置和终端设置等内容。
一、基本设置
点击页面上边的 "基本设置" 按钮, 进入基本设置页面, 编辑当前站点 URL、用户向导 URL、Email 主题前缀等信息, 点击"提交"按钮, 基本设置完成。
二、邮件设置
点击页面上边的 "邮件设置" 按钮, 进入邮件设置页面:
三、LDAP 设置
点击页面上边的" LDAP 设置" 按钮, 进入 LDAP 设置页面, 编辑 LDAP 地址、DN、用户 OU、用户过滤器、LDAP 属性映射和是否使用 SSL、是否启用 LDAP 认证等信息, 点击"测试连接"按钮, 测试是否正确设置, 点击"提交"按钮, 完成 LDAP 设置。
如果这里有问题请手动用 ldapsearch命令测试一下, 如果能唯一搜索出这个用户代表你的设置是对的, 然后根据用户的属性填写映射关系
# 注意下面的 testuser对应的是你ldap server上存在的用户, 填写到配置中需要改为 %(user)s
ldapsearch -x -W -H ldap://127.0.0.1:389 -b "ou=People,dc=xxx,dc=com" -D "cn=admin,dc=xxx,dc=com" "(cn=testuser)"
ldapsearch -x -W -H ldap://127.0.0.1:389 -b "dc=xxx,dc=com" -D "cn=admin,dc=xxx,dc=com" "(&(cn=testuser)(objectClass=account))"
# extended LDIF
#
# LDAPv3
# base <ou=People,dc=xxx,dc=com> with scope subtree
# filter: (cn=*)
# requesting: ALL
#
# testuser, People, xxx.com
dn: uid=testuser,ou=People,dc=xxx,dc=com
uid: testuser # 打算使用该属性映射为jumpserver username
cn: testuser # 打算使用该属性映射为jumpserver name
mail: xyz@google.coom # 打算使用该属性映射为jumpserver email
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
...
参考 "FAQ文档" 的 LDAP 使用说明 <faq_ldap.html>
四、终端设置
点击页面上边的 "终端设置" 按钮, 进入终端设置页面, 编辑终端信息, 点击"提交"按钮, 终端设置完成。
资产列表排序项, 可以选择按主机名或者 IP 来排序, 默认是按主机名排序。心跳间隔指的是 Coco 和 Gua 等终端向 Jumpserver 发送心跳信息的频率, 如果 Jumpserver 长时间(1个小时)未收到 Coco 和 Gua 发送的心跳数据, Jumpserver 则认为该终端也"死掉", 在"会话管理"下的"终端管理"页面会显示该终端已掉线。
五、安全设置
点击页面上边的 "安全设置" 按钮, 进入安全设置页面