一、系統設置
1.1 基本設置
# 修改 url 的"localhost"為你的實際 url 地址, 否則郵件收到的地址將為"localhost" 也無法創建新用戶
#修改完 url 地址后需要重啟 jumpserver 服務(重啟才能生效,后續會解決這個問題)
1.2 郵件設置
# 點擊頁面上邊的"郵件設置", 進入郵件設置頁面 # 默認使用 25 端口, 不勾選 SSL 和 TLS; 如果需要勾選 SSL, 端口需要修改成 465; 如果需要勾選 TLS, 端口需要改成 587 # 不可以同時勾選 SSL 和 TLS # 配置郵件服務后, 點擊頁面的"測試連接"按鈕, 如果配置正確, Jumpserver 會發送一條測試郵件到您的 SMTP 賬號郵箱里面, 確定收到測試郵件后點擊保存即可使用
#如果是163的郵箱,當傳入發送郵箱正確的用戶名和密碼時,總是收到到:550 User has no permission這樣的錯誤,其實我們用Java發送郵件時相當於自定義客戶端根據用戶名和密碼進行登錄,然后使用SMTP服務發送郵件。但新注冊的163郵件默認是不開啟客戶端授權驗證的(對自定的郵箱大師客戶端默認開啟),因此登錄總是會被拒絕,驗證沒有權限。解決辦法是進入163郵箱,進入郵箱中心——客戶端授權密碼,選擇開啟即可
有的用戶由於開啟了授權碼,如果輸入郵箱登錄密碼的話會報535 Error:authentication failed
1.3 LDAP設置
# 如果不需要使用"ldap"用戶登陸 jumpserver, 可以直接跳過, 不需要設置 # 先"測試"通過才能保存 # DN 和 OU 一定要完整(如 "DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org") # 注:可借用第三方 gui 工具查看 ldap 用戶的屬性, 新版本已經支持中文名登錄, 即cn=中文也可正常使用
1.4 終端設置
# "密碼認證"和"密鑰認證"是 SSH 連接跳板機時所使用的認證方式(都不選會造成無法使用 SSH 方式連接登錄跳板機, 不影響 web 登錄) # "Telnet成功正則表達式" telnet設備登陸失敗需要設置 # "命令存儲""錄像存儲"位置設置
# 命令記錄保存到 elastic
{"default": {"TYPE":"server"}, "ali-es": {"TYPE": "elasticsearch", "HOSTS": ["http://elastic:changeme@localhost:9200"]}}
# 錄像存儲在 oss,Jumpserver 系統設置-終端設置 錄像存儲
{"default": {"TYPE": "server"}, "cn-north-1": {"TYPE": "s3", "BUCKET": "jumpserver", "ACCESS_KEY": "", "SECRET_KEY": "", "REGION": "cn-north-1"}, "ali-oss": {"TYPE": "oss", "BUCKET": "jumpserver", "ACCESS_KEY": "", "SECRET_KEY": "", "ENDPOINT": "http://oss-cn-hangzhou.aliyuncs.com"}}
注:修改后,需要修改在Jumpserver 會話管理-終端管理 修改terminal的配置 錄像存儲 命令記錄,然后重啟 Jumpserver
# "命令存儲""錄像存儲"修改后, 需要在Jumpserver 會話管理-終端管理 修改terminal的配置 錄像存儲 命令記錄, 然后重啟 Jumpserver 服務 # 設置后重啟 Coco 才能生效
1.5 安全設置
# "MAF二次認證"勾選會開啟全局強制"MFA", 所有 jumpserver 用戶必須使用動態口令進行認證登錄(即時生效) # "限制登錄失敗"和"限制登錄時間"設置需要重啟 jumpserver 才能生效 # "SSH最大空閑時間"設置需要重啟 coco 才能生效 # "密碼校驗規則"設置立即生效
二、用戶管理
2.1 創建 Jumpserver 用戶
# 點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面 # 點擊頁面左上角"創建用戶"按鈕, 進入創建用戶頁面, (也可以通過右上角導入模版進行用戶導入) # 其中, 用戶名即 Jumpserver 登錄賬號(具有唯一性, 不能重名)。名稱為頁面右上角用戶標識(可重復) # 成功提交用戶信息后, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱 # 點擊郵件中的設置密碼鏈接, 設置好密碼后, 您就可以用戶名和密碼登錄 Jumpserver 了。 # 用戶首次登錄 Jumpserver, 會被要求完善用戶信息, 按照向導操作即可。 注:MFA 即 Google Authenticator, 使用此軟件需要APP時間與瀏覽器時間同步
三、資產管理
3.1 編輯資產樹
# "節點"不能重名, 右擊節點可以添加、刪除和重命名節點, 以及進行資產相關的操作 注:如果有 linux 資產和 windows 資產, 建議先建立 Linux 節點與 Windows 節點, 不然"授權"時不好處理
3.2 創建管理用戶
# "管理用戶"是資產上的 root, 或擁有 NOPASSWD: ALL sudo 權限的用戶, Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。 Windows或其它硬件可以隨意設置一個 # "名稱" 不能重復 # "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰
# 如果使用ssh私鑰管理資產,需要先在資產上設置,這里舉個例子供參考(本例登錄資產使用root為例) (1). 在資產上生成 root 賬戶的公鑰和私鑰 $ ssh-keygen -t rsa # 默認會輸入公鑰和私鑰文件到 ~/.ssh 目錄 (2). 將公鑰輸出到文件 authorized_keys 文件,並修改權限 $ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys $ chmod 400 ~/.ssh/authorized_keys (3). 打開RSA驗證相關設置 $ vim /etc/ssh/sshd_config #RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys -----> RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys (4). 重啟 ssh 服務 $ service sshd restart (5). 上傳 ~/.ssh 目錄下的 id_rsa 私鑰到 jumpserver 的管理用戶中 [root@uu .ssh]# ll 總用量 16 -r--------. 1 root root 389 7月 10 15:23 authorized_keys -rw-------. 1 root root 1675 7月 10 15:23 id_rsa -rw-r--r--. 1 root root 389 7月 10 15:23 id_rsa.pub -rw-r--r--. 1 root root 401 7月 10 13:32 known_hosts (py3) [root@uu .ssh]# cat id_rsa -----BEGIN RSA PRIVATE KEY----- MIIEo..........rAN+0tPySq17YPAnFxYxOWhbUA3t5Bnr -----END RSA PRIVATE KEY----- 將顯示的私鑰拷貝復制保存在一個文件中,上傳即可 數量多的話可以考慮使用rsync推送到統一設備並重命名,然后批量下載后在jumpserver挨個上傳。 # 這樣就可以使用 ssh私鑰 進行管理服務器 # 名稱可以按資產樹來命名。用戶名root。密碼和 SSH 私鑰必填一個
3.3 創建系統用戶
# "系統用戶"是 Jumpserver 跳轉登錄資產時使用的用戶, 用戶使用該用戶登錄資產 # "自動生成密碼"、"自動推送"、"Sudo"等功能需要對應資產的"管理用戶"是且有root權限, 否則自動推送失敗 # ssh 協議的 "Sudo" 欄設定用戶的 sudo 權限, # ssh 協議如果創建的"系統用戶"已在資產上面存在, "推送"將會覆蓋掉原用戶的"home"目錄權限(注: 替換成700權限) # ssh 協議的 "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰 # 這里簡單舉幾個 "sudo" 設置例子 Sudo /bin/su # 當前系統用戶可以免sudo密碼執行sudo su命令 Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail # 當前系統用戶可以免sudo密碼執行git php cat more less tail Sudo !/usr/bin/yum # 當前系統用戶不可以執行sudo yum命令 # 此處的權限應該根據使用用戶的需求匯總后定制, 原則上給予最小權限即可 # "系統用戶"創建時, 如果選擇了"自動推送" Jumpserver 會使用"Ansible"自動推送系統用戶到資產中, "root"用戶不支持推送 # 如果資產(交換機、Windows)不支持"Ansible", 請去掉"自動生成密鑰"、"自動推送"勾選。手動填寫資產上已有的賬號及賬號密碼 # 如果想讓用戶登錄資產時自己輸入密碼, 可以在創建系統用戶時選擇"手動登錄"
3.4 創建命令過濾
如無需要, 可忽略此步驟, 目前僅支持 ssh 與 telnet 協議
# "系統用戶"可以綁定一些"命令過濾器",一個過濾器可以定義一些"規則" # 當"用戶"使用這個"系統用戶"登錄資產,然后執行一個命令 這個命令需要被綁定過濾器的所有規則匹配,高優先級先被匹配 # 當一個規則匹配到了,如果規則的動作是 "允許" 這個命令會被放行; 如果規則的動作是 "禁止" 命令將會被禁止執行; 否則就匹配下一個規則,如果最后沒有匹配到規則,則允許執行
# 點擊 "命令過濾器列表" 規則下方的數字進入 "命令過濾器規則列表" , 點擊新建規則創建相應規則 # 拒絕所有命令可以使用正則表達式 .*
3.5 創建網域網關
如無需要, 可忽略此步驟, 支持代理SSH、RDP和VNC
# "網域"功能是為了解決部分環境無法直接連接而新增的功能, 原理是通過網關服務器進行跳轉登錄 # 點擊頁面左側的"網域列表"按鈕, 查看所有網域列表 # 點擊頁面左上角的"創建網域"按鈕, 進入網域創建頁面, 選擇資產里用作網域的網關服務器 注:混合雲適用
# 點擊"網域"的名稱, 進入"網域詳情"列表。 # 點擊頁面的"網關"按鈕, 選擇網關列表的"創建網關"按鈕, 進入網關創建頁面, 填寫網關信息 # IP信息一般默認填寫網域資產的IP即可(如用作網域的資產有多塊網卡和IP地址, 選能與jumpserer通信的任一IP即可) 注:用戶名與密碼可以使用網關資產上已存在的任一擁有執行 ssh 命令權限的用戶
注: 保存信息后點擊"測試連接", 確定設置無誤后到資產列表添加需要使用"網關"登錄的資產即可 注: "Windows資產"可以使用"ssh網關"
3.6 創建資產
# 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕, 查看當前所有的資產列表。 # 點擊頁面左上角的"創建資產"按鈕, 進入資產創建頁面, 填寫資產信息。 # IP 地址和管理用戶要確保正確, 確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。 # 資產的系統平台也務必正確填寫。公網 IP 信息只用於展示, 可不填, Jumpserver 連接資產使用的是 IP 信息。
# 資產創建信息填寫好保存之后, ssh 協議資產可"測試資產"是否能正確連接, 其他協議暫不支持 注:被連接資產需要"python"組件, 且版本大於等於2.6, Ubuntu等資產默認不允許root用戶遠程ssh登錄, 請自行處理 # 如果資產不能正常連接, 請檢查"管理用戶"的用戶名和密鑰是否正確以及該"管理用戶"是否能使用 SSH 從 Jumpserver 主機正確登錄到資產主機上
SSH 協議參考 SSH 協議資產連接說明
RDP 協議參考 RDP 協議資產連接說明
Telnet 協議參考 Telnet 協議資產連接說明
四、創建授權規則
4.1 為用戶分配資產
# "名稱", 授權的名稱, 不能重復 # "用戶"和"用戶組"二選一, 不推薦即選擇用戶又選擇用戶組 # "資產"和"節點"二選一, 選擇節點會包含節點下面的所有資產 # "系統用戶", 及所選的用戶或用戶組下的用戶能通過該系統用戶使用所選節點或者節點下的資產 # 用戶(組), 資產(節點), 系統用戶是一對一的關系, 所以當擁有 Linux、Windows 不同類型資產時, 應該分別給 Linux 資產和 Windows 資產創建授權規則
一般情況下, 資產授權給個人, 節點授權給用戶組, 一個授權只能選擇一個系統用戶
五、用戶登錄
5.1 登錄 Jumpserver
# 用戶只能看到自己被管理員授權了的"資產", 如果登錄后無資產, 請聯系管理員進行確認
5.2 連接資產
# 在我的資產點擊資產右邊的 "連接" 快速連接資產
# 也可以點擊左側欄的 "Web終端"
# 點擊 "資產" 名字, 就連上資產了 # 如果顯示連接超時, 請參考 FAQ 文檔進行處理
5.3 斷開資產
# 點擊頁面頂部的 "Server" 按鈕會彈出選個選項, 第一個斷開所選的連接, 第二個斷開所有連接。
5.4 文件管理
# 點擊 "文件管理"
# 先在左邊選擇資產, 目前只支持自動登錄的 SSH 協議資產 # 也可以使用 sftp 方式進行文件管理
參考 SFTP 連接說明
以上就是 Jumpserver 的簡易入門了, Jumpserver 還有很多功能等待您去發現。在使用過程中, 如果遇到什么問題, 可以在文檔的"聯系方式"一欄找到我們。