Jumpserver 使用文檔

用戶管理

 

---

 

一、用戶列表

1.1 創建用戶

點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面。

點擊頁面左上角"創建用戶"按鈕, 進入創建用戶頁面, 填寫賬戶, 角色安全, 個人等信息。

其中, 用戶名即 Jumpserver 登錄賬號。用戶是用於資產授權, 當某個資產對一個用戶授權后, 這個用戶就使用這個資產了。角色用於區分一個用戶是管理員還是普通用戶。

成功提交用戶信息后, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱。

點擊郵件中的設置密碼鏈接, 設置好密碼后, 您就可以用戶名和密碼登錄 Jumpserver 了。

二、用戶組

2.1 創建用戶組

用戶組, 顧名思義, 給用戶分組。用戶組信息很有用, 在分配資產權限的時候, 針對的某個用戶組下的所有用戶, 可以為一個用戶分配多個用戶組。

點擊頁面左側"用戶管理"菜單下的"用戶組", 進入用戶組列表頁面。

點擊頁面左上角"創建用戶組"按鈕, 進入創建用戶組頁面：

名稱即用戶組名稱, 建議填寫簡單明了有用的信息。創建用戶組的時候可以把已存在的用戶加入到該分組中, 一個用戶可以存在多個分組中。

 

---

---

資產管理

---

一、資產列表

1.1 管理資產樹

資產樹節點不能重名, 右擊節點可以添加、刪除和重命名節點, 以及進行資產相關的操作

1.2 為資產樹節點創建資產

在資產列表頁面, 先在左側選擇資產要加入的節點, 然后在右側選擇創建資產

二、網域列表

網域功能是為了解決部分環境（如：混合雲）無法直接連接而新增的功能，原理是通過網關服務器進行跳轉登錄

2.1 網域列表

2.2 創建網域

在網域列表頁面, 在右側選擇創建網域

2.3 網關列表

2.4 創建網關

在網域列表頁面, 點擊網關下面的數字進入網關列表, 點擊創建網關, 網關可以是一台任意裝有 ssh 服務的資產

三、管理用戶

管理用戶是資產（被控服務器）上的root，或擁有 NOPASSWD: ALL sudo權限的用戶， Jumpserver使用該用戶來 推送系統用戶、獲取資產硬件信息 等。暫不支持 Windows或其它硬件， 可以隨意設置一個

3.1 管理用戶列表

3.2 創建管理用戶

四、系統用戶

系統用戶是 Jumpserver跳轉登錄資產時使用的用戶，可以理解為登錄資產用戶，如 web, sa, dba(ssh web@some-host), 而不是使用某個用戶的用戶名跳轉登錄服務器(ssh xiaoming@some-host); 簡單來說是 用戶使用自己的用戶名登錄Jumpserver, Jumpserver使用系統用戶登錄資產。 系統用戶創建時，如果選擇了自動推送 Jumpserver會使用ansible自動推送系統用戶到資產中，如果資產(交換機、windows)不支持ansible, 請手動填寫賬號密碼。目前還不支持Windows的自動推送

4.1 系統用戶列表

4.2 創建系統用戶

 

五、標簽管理

給資產打上標簽便於查詢和管理。標簽信息有名稱和值：名稱可以是描述功能信息, 例如：用途, 值則可以是具體信息, 例如：組織1-部門1-研發。標簽創建的時候可以選擇為已存在的資產打上該標簽。

5.1 標簽列表

5.2 創建標簽

點擊頁面左上角"創建標簽"按鈕, 進入創建標簽頁面：

標簽名稱可以重名, 一個資產可以有多個標簽產。標簽刪除, 資產上的標簽信息會自動消失

六、命令過濾

系統用戶可以綁定一些命令過濾器，一個過濾器可以定義一些規則 當用戶使用這個系統用戶登錄資產，然后執行一個命令 這個命令需要被綁定過濾器的所有規則匹配，高優先級先被匹配, 當一個規則匹配到了，如果規則的動作是 允許, 這個命令會被放行, 如果規則的動作是 禁止，命令將會被禁止執行, 否則就匹配下一個規則，如果最后沒有匹配到規則，則允許執行

6.1 命令過濾器列表

6.2 創建命令過濾器

在命令過濾器列表頁面點擊創建命令過濾器

6.3 命令過濾器規則列表

在命令過濾器列表頁面點擊規則下面的數字進入規則頁面

6.4 創建規則

在命令過濾器列表頁面點擊規則下面的數字進入規則頁面, 點擊創建規則

---

---

權限管理

---

一、資產授權

把資產授權給用戶后, 用戶才能在 "我的資產" 里面看到資產, 配置正確后用戶才能正常連接資產

1.1 查看授權列表

1.2 創建授權規則

節點, 對應的是資產, 代表該節點下的所有資產。

用戶組, 對應的是用戶, 代表該用戶組下所有的用戶。

系統用戶, 及所選的用戶組下的用戶能通過該系統用戶使用所選節點下的資產。

節點, 用戶組, 系統用戶是一對一的關系, 所以當擁有 Linux、Windows 不同類型資產時, 應該分別給 Linux 資產和 Windows 資產創建授權規則。

資產或節點可以授權給個人或用戶組, 一個授權建議只指定一個系統用戶 (多系統用戶會按照優先級進行排序, 高優先自動登陸, 同時存在多個並級系統用戶時，用戶需要自己選擇系統用戶)

---

---

會話管理

---

一、在線會話

1.1 查看在線會話

點擊頁面左側"會話管理"菜單下的"在線會話"按鈕, 進入在線會話列表頁面, 默認展示最近7天的記錄。

用戶：在線的用戶名。

資產：登錄的資產名稱。

系統用戶：用戶使用那哪個系統用戶登錄的資產。

遠端地址：登錄用戶的 IP 地址。

終端地址：登錄所以使用的終端的 IP 地址, 列如 Coco。

命令: 用戶執行了多少條命令。

開始日期: 登錄的時間。

時長：在線時長。

可以查看指定的在線記錄, 比如, 指定用戶、資產或系統用戶。

1.2 中斷會話

管理員可以手動中斷當前在線的會話。

已中斷的會話會記錄到"歷史會話"里面。

二、歷史會話

2.1 查看歷史會話

歷史會話同在線會話包含的信息一樣, 都有用戶、資產和 IP 地址等信息。

2.2 查看歷史話錄像

Jumpserver 提供歷史會話的錄像觀看。點擊左側的"回放"按鈕, 即可觀看錄像。

三、命令記錄

命令記錄里面存放的是用戶在資產上執行過哪些命令, 單擊一行記錄, 會展示命令執行的結果：

點擊"轉到"連接, 會跳轉到詳細的會話頁面, 如果會話已結束可以查看會話錄像, 如果會話正在線可中斷會話：

四、Web 終端

Web 終端是資產使用界面, 管理員和用戶都是從這里登錄到資產上, 執行操作。點擊資產名字連接資產, 點擊"Server"下的"Disconnect"斷開資產連接。

五、文件管理

文件管理允許對 SSH 協議資產進行文件上傳下載創建刪除操作(不支持上傳文件夾), 目前也不支持系統用戶是手動登錄的資產

六、終端管理

終端列表頁面列出了 Jumpserver 正在使用的終端有哪些, 例如：Coco、Gua 等。終端第一次使用, 會首先向 Jumpserver 發送請求注冊, 在 Jumpserver 中接受注冊后就可以正常使用該終端了。

---

---

作業中心

---

一、任務列表

作業是 Jumpserver 向其所管理下的資產發送的指令, 例如, 測試資產可連接性、獲取資產硬件信息、測試管理用戶可連接性和測試系統用戶可連接性等命令。默認展示最近7天的作業記錄。

點擊作業名稱可以查看作業的具體詳情、作業的歷史版本以及作業執行的歷史記錄

二、批量命令

可以通過該功能快速下發命令到資產, 目前僅支持能被 ansible 管理的資產, 要求 系統用戶 登陸方式為 自動登陸

---

---

日志審計

---

一、登陸日志

二、FTP日志

三、操作日志

四、改密日志

五、批量命令

---

---

---

系統設置

---

點擊頁面左側 "系統設置" 按鈕, 進入系統設置頁面, 查看基本設置、郵件設置、LDAP 設置和終端設置等內容。

一、基本設置

點擊頁面上邊的 "基本設置" 按鈕, 進入基本設置頁面, 編輯當前站點 URL、用戶向導 URL、Email 主題前綴等信息, 點擊"提交"按鈕, 基本設置完成。

二、郵件設置

點擊頁面上邊的 "郵件設置" 按鈕, 進入郵件設置頁面：

三、LDAP 設置

點擊頁面上邊的" LDAP 設置" 按鈕, 進入 LDAP 設置頁面, 編輯 LDAP 地址、DN、用戶 OU、用戶過濾器、LDAP 屬性映射和是否使用 SSL、是否啟用 LDAP 認證等信息, 點擊"測試連接"按鈕, 測試是否正確設置, 點擊"提交"按鈕, 完成 LDAP 設置。

如果這里有問題請手動用 ldapsearch命令測試一下, 如果能唯一搜索出這個用戶代表你的設置是對的, 然后根據用戶的屬性填寫映射關系

# 注意下面的 testuser對應的是你ldap server上存在的用戶, 填寫到配置中需要改為 %(user)s
ldapsearch -x -W -H ldap://127.0.0.1:389 -b "ou=People,dc=xxx,dc=com" -D "cn=admin,dc=xxx,dc=com" "(cn=testuser)" ldapsearch -x -W -H ldap://127.0.0.1:389 -b "dc=xxx,dc=com" -D "cn=admin,dc=xxx,dc=com" "(&(cn=testuser)(objectClass=account))" # extended LDIF # # LDAPv3 # base <ou=People,dc=xxx,dc=com> with scope subtree # filter: (cn=*) # requesting: ALL # # testuser, People, xxx.com dn: uid=testuser,ou=People,dc=xxx,dc=com uid: testuser # 打算使用該屬性映射為jumpserver username cn: testuser # 打算使用該屬性映射為jumpserver name mail: xyz@google.coom # 打算使用該屬性映射為jumpserver email objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount ... 

參考 "FAQ文檔" 的 LDAP 使用說明 <faq_ldap.html>

四、終端設置

點擊頁面上邊的 "終端設置" 按鈕, 進入終端設置頁面, 編輯終端信息, 點擊"提交"按鈕, 終端設置完成。

資產列表排序項, 可以選擇按主機名或者 IP 來排序, 默認是按主機名排序。心跳間隔指的是 Coco 和 Gua 等終端向 Jumpserver 發送心跳信息的頻率, 如果 Jumpserver 長時間(1個小時)未收到 Coco 和 Gua 發送的心跳數據, Jumpserver 則認為該終端也"死掉", 在"會話管理"下的"終端管理"頁面會顯示該終端已掉線。

 

五、安全設置

點擊頁面上邊的 "安全設置" 按鈕, 進入安全設置頁面