官方文檔:http://www.jumpserver.org/
— 登錄腳本 —
1.1 使用paramiko原生ssh協議登錄后端主機(原來版本使用pexpect模擬登錄)
1.2 新增使用別名或備注登錄
1.3 新增主機分組查看,使用更方便
1.4 多線程批量執行命令
1.5 優化登錄腳本
— web管理 —
1.6 Web界面更加美觀漂亮
1.7 增加部門管理員負責管理本部門成員
1.8 增加儀表盤統計信息
1.9 增加部門, 用戶組, 主機組
1.10 用戶信息,主機信息更加詳細
1.11 主機登錄方式增加登錄方式 map,用於登錄不支持ldap的主機
1.12 主機授權,sudo授權改為組組之間授權
1.13 增加主機批量修改,批量添加
1.14 添加用戶自動生成隨機密碼,然后自動發送郵件
1.15 添加各種搜索
1.16 增加普通用戶web頁面的授權申請
1.17 審計界面更加友好
1.18 主機添加過濾搜索功能
1.19 增加用戶頭像
1.20 上傳批量上傳
1.21 增加部門管理員頁面
1.22 普通用戶頁面內容更加豐富
一. 用戶管理
Jumpserver 2.0.0 版本中增加了部門管理員角色,可以負責管理一個部門的成員和該部門的主機,如果有需要請添加部門,如果服務器或用戶較少可以不添加部門和部門管理員
1.1 添加部門
用戶管理 — 添加部門
1.2 添加部門管理員用戶
用戶管理 — 添加用戶
用戶的web登錄密碼,ssh密鑰密碼等以郵件發送給所填寫的郵箱
查看添加后的用戶
1.3 添加普通用戶
用戶管理 — 添加用戶
查收郵件
1.4 添加用戶組
2.0.0版本的jumpserver授權主機或者sudo是以組的形式組織的,所以要建立用戶組
用戶管理 — 添加小組 (有人問為何不是添加用戶組? 因為四個字比較好看)
1.5 測試添加的用戶
根據郵件說明,登錄web
下載ssh密鑰,用來登錄jumpserver
導入到工具或者使用ssh命令登錄jumpserver,本例使用xshell導入
登錄jumpserver
二. 資產管理
2.1 添加IDC機房
(重新登錄管理員賬戶)如果有多個IDC機房,可以分別添加IDC機房,如果就那么一個可以不添加,使用默認的即可
資產管理 — 添加IDC
查看IDC機房
2.2 添加資產
登錄方式: 有兩種,一中是LDAP也是最主要的方式,服務器需要安裝ldap client,另一種是map,也就是映射,該模式用於不能安裝ldap的機器,選擇該模式后,需要手動填寫主機的賬號密碼,用戶從跳板機跳轉到該服務器,會以這個用戶登錄
部門:選擇服務器輸入哪個部門,也相當於把服務器授權給某個部門,將來該部門管理員可以管理該服務器及授權
所屬主機組:剛開始可不填,當選擇主機組后,如果該主機組已授權給用戶組,則該主機授權給用戶組的各個用戶
查看資產
2.3 批量添加資產
資產管理 — 添加資產 — 批量添加
批量添加資產可以按照格式批量添加資產,對應的各個字段有說明,也有實例
查看資產
2.4 添加主機組
前面也講過授權是基於組的,最終需要以組形式授權,所以添加主機組
資產管理 — 添加主機組
查看主機組
三. 授權管理
授權管理是用來授權主機或者sudo,查看用戶權限申請並處理的模塊
3.1 授權主機組給用戶組
授權管理 — 小組授權 — 選擇用戶組 — 授權編輯
將剛才建立的主機組授權給該用戶組
查看授權詳情
3.2 測試授權
web登錄建立的那個普通用戶,查看授權的主機
該用戶登錄jumpserver,使用jumpserver登錄授權主機
注: jumpserver正常使用會讓 connect.py腳本登錄自啟動,部署文檔后面有說明, 下面的操作為試了方便測試
# cd /opt/jumpserver
# python connect.py
輸入p或P 查看所有授權主機
輸入g或G 查看授權主機組
輸入g或G加上組的ID,查看該組下的主機
輸入e 可以進入二級菜單批量在主機執行命令,根據提示輸入IP,支持通配符,可以逗號分隔,下面輸入執行的命令
注意:報錯可能提示沒有目錄權限,添加該目錄並修改權限
# mkdir –p /opt/jumpserver/logs/exec_cmds
# chmod 777 /opt/jumpserver/logs/exec_cmds -p
輸入q 可以退出到上一層菜單或者退出
輸入ip地址,或者ip的一部分,或者輸入主機的備注,或者輸入主機的別名(別名是用戶在web端對主機的自定義備注)
注意:報錯可能提示沒有目錄權限,添加該目錄並修改權限
# mkdir /opt/jumpserver/logs/connect/
# chmod 777 /opt/jumpserver/logs/connect/
3.3 Sudo授權
(重新登錄管理員賬戶)
添加sudo可執行的命令組
授權管理 – sudo授權 — 添加命令組
查看命令組
sudo授權
授權管理 – sudo授權 — 查看sudo授權 — sudo授權
查看sudo授權
可以查看授權了那些主機上執行哪些sudo 命令
3.4 測試sudo命令
想必剛才的終端你還沒用退出,使用jumpserver登錄后端主機后,sudo測試
四. 日志審計
4.1 監控在線用戶操作
日志審計 — 在線
這時如果你的終端沒用退出的話,會看到測試賬戶
點擊監控,可以實時查看用戶的操作行為和歷史操作記錄 (如果不能彈出監控窗,應該是 node index.js程序沒有啟動)
點擊阻斷,強行用戶斷開
4.2 查看歷史記錄
日志審計 — 歷史記錄 — 命令統計
查看本次登錄用戶操作的記錄 (如果沒有日志 可能是log_handler.py程序沒有運行)
五. 部門管理員角色的職能
將主機授權給部門管理員后,部門管理員可以管理本部門用戶, 可以授權該部門下的主機,上面添加用戶時已經添加了 喬峰 為部門管理員,下面將主機授權給喬峰所在部門
5.1 部門授權
在添加主機時,如果將主機設置為某個部門,則直接將主機授權給該部門,可省略下面工作
授權管理 — 部門授權 — 授權編輯
5.2 部門管理員登陸 (什么,你忘記密碼了? 去查看郵件吧)
5.3 查看部門管理員相關功能
部門管理員相比超級管理員功能要少些,只能負責該部門的主機授權,用戶管理,需要說明的是,新建的用戶會默認屬於本部門,新添加的主機會屬於本部門
快去試試吧!
六. 普通用戶web操作
普通用戶也可以登錄jumpserver web系統,進行一些操作哦
6.1 登錄
6.2 瀏覽瀏覽
可以四處瀏覽一下,試試各個功能,儀表盤,個人信息
6.3 申請主機權限
申請主機權限,可以選擇申請的主機或者組,發郵件給管理員,管理員收到后會處理申請(對不起,目前申請處理還不是自動的)
權限申請 — 申請主機
查看申請記錄
這時喬峰應該收到了郵件,可以點擊鏈接,或者登陸jumpserver處理申請
登陸喬峰賬戶,查看權限申請
授權管理 — 權限審批 — 未審批
這時苦逼的管理員需要手動為該用戶授權,授權完成后點擊確認,嘿嘿
6.4 上傳文件
上傳下載 — 文件上傳
填寫ip地址,多個ip逗號隔開,將需要上傳的文件或者目錄拖拽上去,點擊全部上傳,上傳文件在服務器的/tmp目錄下,去看看吧
