Jumpserver之快速入門

　　一，系統設置

　　1.1基本設置

 修改 url 的"localhost"為你的實際 url 地址, 否則郵件收到的地址將為"localhost" 也無法創建新用戶

　　

　　　1.2郵件設置

　　1.3終端設置

　　保持默認設置即可

　　1.4安全設置

　　根據需要設置

 

　　二.用戶管理

　　2.1創建jumpserver用戶

#點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面
# 點擊頁面左上角"創建用戶"按鈕, 進入創建用戶頁面, (也可以通過右上角導入模版進行用戶導入)
# 其中, 用戶名即 Jumpserver 登錄賬號(具有唯一性, 不能重名)。名稱為頁面右上角用戶標識(可重復)
# 成功提交用戶信息后, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱
# 點擊郵件中的設置密碼鏈接, 設置好密碼后, 您就可以用戶名和密碼登錄 Jumpserver 了。
# 用戶首次登錄 Jumpserver, 會被要求完善用戶信息, 按照向導操作即可。
注：MFA 即 Google Authenticator, 使用此軟件需要APP時間與瀏覽器時間同步

　　

　　

　　三.資產管理

　　3.1編輯資產樹

# "節點"不能重名, 右擊節點可以添加、刪除和重命名節點, 以及進行資產相關的操作
注：如果有 linux 資產和 windows 資產, 建議先建立 Linux 節點與 Windows 節點, 不然"授權"時不好處理

 

 　　3.2創建管理用戶

#"管理用戶"是資產上的 root, 或擁有 NOPASSWD: ALL sudo 權限的用戶, Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。 Windows或其它硬件可以隨意設置一個
# "名稱" 不能重復
# "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰

　　3.3創建系統用戶

# "系統用戶"是 Jumpserver 跳轉登錄資產時使用的用戶, 用戶使用該用戶登錄資產
# "自動生成密碼"、"自動推送"、"Sudo"等功能需要對應資產的"管理用戶"是且有root權限, 否則自動推送失敗
# ssh 協議的 "Sudo" 欄設定用戶的 sudo 權限,
# ssh 協議如果創建的"系統用戶"已在資產上面存在, "推送"將會覆蓋掉原用戶的"home"目錄權限(注: 替換成700權限)
# ssh 協議的 "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰

# 這里簡單舉幾個 "sudo" 設置例子
Sudo /bin/su  # 當前系統用戶可以免sudo密碼執行sudo su命令

Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail
# 當前系統用戶可以免sudo密碼執行git php cat more less tail

Sudo !/usr/bin/yum  # 當前系統用戶不可以執行sudo yum命令

# 此處的權限應該根據使用用戶的需求匯總后定制, 原則上給予最小權限即可

# "系統用戶"創建時, 如果選擇了"自動推送" Jumpserver 會使用"Ansible"自動推送系統用戶到資產中, "root"用戶不支持推送
# 如果資產(交換機、Windows)不支持"Ansible", 請去掉"自動生成密鑰"、"自動推送"勾選。手動填寫資產上已有的賬號及賬號密碼

# 如果想讓用戶登錄資產時自己輸入密碼, 可以在創建系統用戶時選擇"手動登錄"

　　PS：系統用戶會在資產授權的時候由jumpserver主機推送在各個客戶端生成對應的普通用戶

　　3.6創建資產

# 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕, 查看當前所有的資產列表。
# 點擊頁面左上角的"創建資產"按鈕, 進入資產創建頁面, 填寫資產信息。
# IP 地址和管理用戶要確保正確, 確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。
# 資產的系統平台也務必正確填寫。公網 IP 信息只用於展示, 可不填, Jumpserver 連接資產使用的是 IP 信息。

 

　　四.創建授權規則

　　4.1為用戶分配資產

# "名稱", 授權的名稱, 不能重復
# "用戶"和"用戶組"二選一, 不推薦即選擇用戶又選擇用戶組
# "資產"和"節點"二選一, 選擇節點會包含節點下面的所有資產
# "系統用戶", 及所選的用戶或用戶組下的用戶能通過該系統用戶使用所選節點或者節點下的資產
# 用戶(組), 資產(節點), 系統用戶是一對一的關系, 所以當擁有 Linux、Windows 不同類型資產時, 應該分別給 Linux 資產和 Windows 資產創建授權規則

 

 　　五.用戶登錄

　　5.1用戶登錄Jumpserver

# 用戶只能看到自己被管理員授權了的"資產", 如果登錄后無資產, 請聯系管理員進行確認

　　5.2連接資產

 

　　可以執行基本命令，需要執行特權命令使用sudo 

　　需要在客戶端把修改sudoer文件

　　修改方式

　　設置權限允許修改

chmod 777 /etc/sudoers

　　

vim /etc/sudoers

#增加一行
prd    ALL=(ALL)       ALL

　　PS：這里允許所有，可根據具體需求修改之允許部分命令