开源跳板机(堡垒机)Jumpserver v2.0.0 使用说明

说明视频:

  用户管理: http://v.youku.com/v_show/id_XOTM5Mzc3NDE2.html

  授权管理: http://v.youku.com/v_show/id_XOTM5Mzg1MTY0.html

 

部署篇: http://laoguang.blog.51cto.com/6013350/1636273

更新log截图篇: http://laoguang.blog.51cto.com/6013350/1635853

本篇是使用篇

 

一. 用户管理

Jumpserver 2.0.0 版本中增加了部门管理员角色,可以负责管理一个部门的成员和该部门的主机,如果有需要请添加部门,如果服务器或用户较少可以不添加部门和部门管理员

1.1 添加部门

用户管理 -- 添加部门

image

1.2 添加部门管理员用户

用户管理 -- 添加用户

image

用户的web登录密码,ssh密钥密码等以邮件发送给所填写的邮箱

image

查看添加后的用户

image

1.3 添加普通用户

用户管理 -- 添加用户

image

查收邮件

image

image

1.4 添加用户组

2.0.0版本的jumpserver授权主机或者sudo是以组的形式组织的,所以要建立用户组

用户管理 -- 添加小组 (有人问为何不是添加用户组? 因为四个字比较好看)

image

image

1.5 测试添加的用户

根据邮件说明,登录web

image

下载ssh密钥,用来登录jumpserver

image

导入到工具或者使用ssh命令登录jumpserver,本例使用xshell导入

image

image

登录jumpserver

image

image

image

 

二. 资产管理

2.1 添加IDC机房

(重新登录管理员账户)如果有多个IDC机房,可以分别添加IDC机房,如果就那么一个可以不添加,使用默认的即可

资产管理 -- 添加IDC

image

查看IDC机房

image

2.2 添加资产

登录方式: 有两种,一中是LDAP也是最主要的方式,服务器需要安装ldap client,另一种是map,也就是映射,该模式用于不能安装ldap的机器,选择该模式后,需要手动填写主机的账号密码,用户从跳板机跳转到该服务器,会以这个用户登录

部门:选择服务器输入哪个部门,也相当于把服务器授权给某个部门,将来该部门管理员可以管理该服务器及授权

所属主机组:刚开始可不填,当选择主机组后,如果该主机组已授权给用户组,则该主机授权给用户组的各个用户

image

image

查看资产

image

2.3 批量添加资产

资产管理 -- 添加资产 -- 批量添加

批量添加资产可以按照格式批量添加资产,对应的各个字段有说明,也有实例

image

image

查看资产

image

2.4 添加主机组

前面也讲过授权是基于组的,最终需要以组形式授权,所以添加主机组

资产管理 -- 添加主机组

image

查看主机组

image

 

三. 授权管理

授权管理是用来授权主机或者sudo,查看用户权限申请并处理的模块

3.1 授权主机组给用户组

授权管理 -- 小组授权 -- 选择用户组 -- 授权编辑

image

将刚才建立的主机组授权给该用户组

image

查看授权详情

image

image

 

3.2 测试授权

web登录建立的那个普通用户,查看授权的主机

image

该用户登录jumpserver,使用jumpserver登录授权主机

注: jumpserver正常使用会让 connect.py脚本登录自启动,部署文档后面有说明, 下面的操作为试了方便测试

# cd /opt/jumpserver

# python connect.py

image

输入p或P 查看所有授权主机

输入g或G 查看授权主机组

输入g或G加上组的ID,查看该组下的主机

image

输入e 可以进入二级菜单批量在主机执行命令,根据提示输入IP,支持通配符,可以逗号分隔,下面输入执行的命令

注意:报错可能提示没有目录权限,添加该目录并修改权限

# mkdir –p /opt/jumpserver/logs/exec_cmds

# chmod 777  /opt/jumpserver/logs/exec_cmds -p

image

输入q 可以退出到上一层菜单或者退出

image

输入ip地址,或者ip的一部分,或者输入主机的备注,或者输入主机的别名(别名是用户在web端对主机的自定义备注)

注意:报错可能提示没有目录权限,添加该目录并修改权限

# mkdir /opt/jumpserver/logs/connect/

# chmod 777 /opt/jumpserver/logs/connect/

image

image

3.3 Sudo授权

(重新登录管理员账户)

添加sudo可执行的命令组

授权管理 – sudo授权 -- 添加命令组

image

查看命令组

image

sudo授权

授权管理 – sudo授权 -- 查看sudo授权 -- sudo授权

image

查看sudo授权

image

可以查看授权了那些主机上执行哪些sudo 命令

3.4 测试sudo命令

想必刚才的终端你还没用退出,使用jumpserver登录后端主机后,sudo测试

image

 

四. 日志审计

4.1 监控在线用户操作

日志审计 -- 在线 

这时如果你的终端没用退出的话,会看到测试账户

image

点击监控,可以实时查看用户的操作行为和历史操作记录 (如果不能弹出监控窗,应该是 node index.js程序没有启动)

image

image

点击阻断,强行用户断开

image

 

4.2 查看历史记录

日志审计 -- 历史记录 -- 命令统计

查看本次登录用户操作的记录 (如果没有日志 可能是log_handler.py程序没有运行)

image

 

五. 部门管理员角色的职能

将主机授权给部门管理员后,部门管理员可以管理本部门用户, 可以授权该部门下的主机,上面添加用户时已经添加了 乔峰 为部门管理员,下面将主机授权给乔峰所在部门

5.1 部门授权

在添加主机时,如果将主机设置为某个部门,则直接将主机授权给该部门,可省略下面工作

授权管理 -- 部门授权 -- 授权编辑

image

 

5.2 部门管理员登陆 (什么,你忘记密码了? 去查看邮件吧)

image

image

5.3 查看部门管理员相关功能

部门管理员相比超级管理员功能要少些,只能负责该部门的主机授权,用户管理,需要说明的是,新建的用户会默认属于本部门,新添加的主机会属于本部门

快去试试吧!

 

六. 普通用户web操作

普通用户也可以登录jumpserver web系统,进行一些操作哦

6.1 登录

image

6.2 浏览浏览

可以四处浏览一下,试试各个功能,仪表盘,个人信息

6.3 申请主机权限

申请主机权限,可以选择申请的主机或者组,发邮件给管理员,管理员收到后会处理申请(对不起,目前申请处理还不是自动的)

权限申请 -- 申请主机

image

查看申请记录

image

这时乔峰应该收到了邮件,可以点击链接,或者登陆jumpserver处理申请

image

登陆乔峰账户,查看权限申请

授权管理 -- 权限审批 -- 未审批

image

这时苦逼的管理员需要手动为该用户授权,授权完成后点击确认,嘿嘿

6.4 上传文件

上传下载 -- 文件上传

填写ip地址,多个ip逗号隔开,将需要上传的文件或者目录拖拽上去,点击全部上传,上传文件在服务器的/tmp目录下,去看看吧

image

image

image

 

到此基本的使用已经介绍完了,一些功能比如修改用户信息,删除用户,回收权限没有讲解,自己试试吧,有问题可以群里讨论,Jumpserver是一个年轻的项目,可能存在一些BUG,需要您的及时反馈,帮助我们一起完善项目!
 

本文出自 “Free Linux, Share Linux” 博客,请务必保留此出处http://laoguang.blog.51cto.com/6013350/1636708

堡垒机 跳板机 Jumpserver

分享到:
评论加载中,请稍后...
创APP如搭积木 - 创意无限,梦想即时!
回到顶部