一、業務背景
公司服務器:阿里雲、騰訊雲、公司本地服務器
公司IT職位:開發、運維、測試、DBA
公司項目: A項目、B項目
公司員工: tom、jeff ...
需求:1.管理公司所有資產
2.不同員工授權服務器權限
點擊查看安裝文檔
二、實現過程
2.1 添加用戶組
2.2 添加用戶
2.3 資產管理
這里的管理用戶和系統用戶特別說明一下,官方解釋是
管理用戶是資產(被控服務器)上的root,或擁有 NOPASSWD: ALL sudo權限的用戶, Jumpserver使用該用戶來 `推送系統用戶`、`獲取資產硬件信息`等。 Windows或其它硬件可以隨意設置一個。
系統用戶是 Jumpserver跳轉登錄資產時使用的用戶,可以理解為登錄資產用戶,如 web, sa, dba(`ssh web@some-host`), 而不是使用某個用戶的用戶名跳轉登錄服務器(`ssh xiaoming@some-host`); 簡單來說是 用戶使用自己的用戶名登錄Jumpserver, Jumpserver使用系統用戶登錄資產。 系統用戶創建時,如果選擇了自動推送 Jumpserver會使用ansible自動推送系統用戶到資產中,如果資產(交換機、windows)不支持ansible, 請手動填寫賬號密碼。目前還不支持Windows的自動推送。
簡單來說 開發人員jeff 需要登陸服務器A查看日志,jeff不是直接登陸到服務器A,首先Jeff登陸到堡壘機jumpserver,jumpserver 用服務器A的系統用戶登陸到服務器A上,如果服務器A上沒有系統用戶,那么管理用戶在遠程服務器上會創建一個系統用戶。
總之,管理用戶,系統用戶都是在服務器A上的用戶,只不過管理用戶是具有root權限的系統用戶,嫌麻煩的話,直接用root也行。
管理用戶的作用是在服務器A上創建系統用戶,系統用戶的作用是jumpserver 用系統用戶去操作服務器A。
2.3.1 添加管理用戶 superuser
為了讓superuser具有root權限,需要登陸遠程服務器執行下面命令
useradd superuser&& echo "superuser2019pass@" |passwd --stdin superuser&&\ echo "superuser ALL=(ALL) NOPASSWD: ALL" >>/etc/sudoers
2.3.2 堡壘機上添加系統用戶
添加三個系統用戶,分別為
devuser (開發人員)
testuser(測試人員)
opsuser(運維人員)
注:jumpserver會在遠程服務器上自動創建這三個系統用戶。
2.3.3 添加節點
2.3.4 添加資產
2.4 權限管理
權限管理可以分配給某人指定的服務器;
權限管理也可以按用戶的角色划分,比如開發人員只能看到有權限的服務器;
權限管理也可以按項目類型划分,負責不同項目的人看到的服務器也不一樣的;
下面我以用戶角色組划分,每個組可以登錄不同的服務器資產
三、xshell連接堡壘機
有人習慣用xshell黑窗口看日志,jumpserver提供這樣的方式,確保堡壘機已經安裝coco組件,具體如下:
ssh jeff@192.168.1.20 2222
回車可以看到授權的資產
選擇ID進入資產
至此jumpserver配置基本完成,其他詳細功能可以參考官方詳細文檔,歡迎加我QQ交流 986109409。