三、JumpServer使用说明
- 视频教程 JumpServer 从入门到精通:https://www.bilibili.com/video/BV19D4y1S7s4
- 官网:https://jumpserver.readthedocs.io/zh/master/admin-guide/quick_start/
3.1、系统设置
3.1.1、基本设置
| 名称 | 示例 | 备注 |
|---|---|---|
| 当前站点URL | https://demo.jumpserver.org | 不设置的话,邮件收到的地址为 http://localhost |
| 用户向导URL | 用户首次登陆可以看到此 超链接,可以不设置 |
|
| 忘记密码URL | 使用了 LDAP, OPENID 等外部认证系统,可以自定义 |
基本设置是必须设置当前jumpserver的url。
3.1.2、邮件设置
必须设置才能使用与邮件相关的功能
不可以同时勾选 使用SSL 和 使用TLS
| 名称 | 示例 | 备注 |
|---|---|---|
| SMTP主机 | smtp.qq.com | 服务商提供的 smtp 服务器 |
| SMTP端口 | 25 | 通常是 25 |
| SMTP账号 | 296015668@qq.com | 通常是 user@domain.com |
| SMTP密码 | **************** | 每次 测试连接 都需要重新输入密码 |
| 使用SSL | [ ] | 如果端口使用 465,必须勾选此项 |
| 使用TLS | [ ] | 如果端口使用 587,必须勾选此项 |
| 发件人 | 296015668@qq.com | 测试连接 必须要输入 |
| 主题前缀 | [JMS] | 邮件的标题,收到的邮件是 [JMS] 开头 |
| 测试收件人 | 296015668@qq.com | 测试连接必填 |
在系统设置—>邮件设置,把对应的账号信息,邮件服务器信息都填写好,然后测试连接,如果可以正常收到邮件,说明邮件服务器信息和邮件用户名密码没有问题;最后点提交;
和邮件主题前缀;这样在用户收到邮件中的链接都会指向这个jumpserver的url;
收到邮件:
3.1.3、登陆用户
jumpserver涉及到的三个用户:
- 登录用户,用于创建给开发人员进行登录JumpServer的用户;
- 管理用户,指定用户名和密码,就是添加的资源机器的登录账号;
- 系统用户,jumpserver跳转登录资产时使用的用户;
在用户管理—>用户列表—>创建;填写好用户相关信息后,点击最下面的提交;
提示:新建用户成功以后,对应的用户邮箱就会收到一份有jumpserver发送到用户创建成功的邮件,用户可以点击此邮件中的链接进行密码设定;
3.2、资产管理
准备两个测试资产和一个数据库来验证功能
| IP | Host name | Port | System | Admin User | Password |
|---|---|---|---|---|---|
| 172.16.80.11 | test_ssh01 | 22 | Centos 7 | root | Test2020.L |
| 172.16.80.21 | test_rdp01 | 3389 | Windows 10 | administrator | Test2020.W |
| 172.16.80.31 | test_mysql01 | 3306 | MySQL 5 | root | Test2020.M |
Windows 资产先进行 Windows SSH 设置
MySQL 应用需要授权 core 和 koko 的远程访问的权限 MySQL 应用要求
3.2.1、编辑资产树
根节点 Default 不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作
说明:\:
点击页面左侧的 资产管理 - 资产列表
先在根节点 Default 右键新建 SSH Server 和 RDP Server 两个节点
Defaule
├─ SSH Server
└─ RDP Server
3.2.2、创建管理用户
点击页面左侧的 资产管理 - 新建管理用户 创建两个管理用户, 管理用户的内容就是上面表单的 Admin User 和 Password
名称不能重名, 密码或者密钥二选一即可, 一些资产不允许通过 密码 认证可以改用 私钥 认证
| 表单 | SSH 管理用户示例 | RDP 管理用户示例 |
|---|---|---|
| 名称 | 172.16.80.11_root | 172.16.80.21_administrator |
| 用户名 | root | administrator |
| 密码 | Test2020.L | Test2020.W |
| SSH密钥 | ||
| 备注 | SSH 资产管理用户 | RDP 资产管理用户 |
资产管理---->管理用户---->创建,填写好对应被管控端的管理员和密码点击提交;管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 推送系统用户、获取资产硬件信息 等。
3.2.3、创建资产
点击页面左侧的 资产管理 - 资产列表 - 创建资产 把两个资产导入
主机名不能重名
| 表单 | SSH 资产示例 | RDP 资产示例 |
|---|---|---|
| 主机名 | test_ssh01 | test_rdp01 |
| IP(域名) | 172.16.80.11 | 172.16.80.21 |
| 系统平台 | Linux | Windows |
| 公网IP | ||
| 网域 | ||
| 协议组 | ssh 22 | rdp 3389 / ssh 22 |
| 管理用户 | 172.16.80.11_root | 172.16.80.21_administrator |
| 节点 | Default / SSH Server | Default / RDP Server |
创建 Windows 资产, 注意协议组我们需要选择 ssh 和 rdp, 否则无法获取 Windows 资产的状态及硬件信息。
提示:资产管理—>资产列表—>新建,填写对应被管控的的主机信息和ip地址信息,以及管理用户,点击最下方的提交;
提示:提交完成后,我们就可以在资产列表中看到我们刚才添加到主机;
3.2.4、创建数据库应用
击页面左侧的 应用管理 - 数据库应用 - 创建数据库应用 创建 mysql 数据库
| 表单 | MySQL 资产示例 |
|---|---|
| 名称 | test_mysql01 |
| 类型 | MySQL |
| 主机 | 172.16.80.31 |
| 端口 | 3306 |
| 数据库 | |
| 备注 | MySQL 资产 |
数据库 选项可以留空, 如果是某些特定用户, 只允许访问指定的数据库, 这里指定数据库名称即可
3.2.5、创建系统用户
| IP | System | System User | Password | Group | Sudo | Sftp Root |
|---|---|---|---|---|---|---|
| 172.16.80.11 | Centos 7 | testssh01 | random pass | ALL | / | |
| 172.16.80.21 | Windows 10 | testrdp01 | random pass | Users | ||
| 172.16.80.23 | MySQL 5 | root | Test2020.M |
点击页面左侧的 资产管理 - 系统用户 - 创建系统用户 创建对应协议系统用户
| 表单 | SSH 系统用户 |
|---|---|
| 名称 | test_ssh01_测试系统用户 |
| 登录模式 | 自动登陆 |
| 用户名 | testssh01 |
| 协议 | ssh |
| 自动推送 | √ |
| Sudo | ALL |
| Shell | /bin/bash |
| 家目录 | |
| 用户附属组 | |
| 自动生成密钥 | √ |
| SFTP根路径 | / |
| 表单 | RDP 系统用户 |
|---|---|
| 名称 | test_rdp01_测试系统用户 |
| 登录模式 | 自动登陆 |
| 用户名 | testrdp01 |
| 协议 | rdp |
| 自动推送 | √ |
| 自动生成密钥 | √ |
| 表单 | MySQL 系统用户 |
|---|---|
| 名称 | test_mysql01_测试系统用户 |
| 登录模式 | 自动登陆 |
| 用户名 | root |
| 协议 | mysql |
| 密码 | Test2020.M |
资产管理—>系统用户—>新建,填写好用户名,勾选自动推送和自动生成密钥,点击最下方的提交即可;这里填写的用户会用作jumpserver上登录对应的主机用到用户,如果被管控端没有这个用户,jumpserver就会利用我们刚才添加的管理用户去创建一个这里的系统用户;
3.3、创建授权规则
权限管理—>资产授权—>创建,填写好名称后,要选择用户和组以及资产和系统用户,然后点击最下方的提交;到此一个资源就授权给test用户和test组中的成员了;这里需要注意一点,一个节点中有很多server,如果你只想授权单台server给某个用户,下面的节点就留空,如果你想授权一个节点给用户你可以选择节点,上面的资产就可以留空,如果你又想授权单个资产和某个节点给用户,就选择对应的资产和节点即可;如果这里选择default节点,表示把default节点下的所有主机都授权给用户;默认default节点包含所有主机;
3.3.1、为用户分配资产
| IP | System | System User | User |
|---|---|---|---|
| 172.16.80.11 | Centos 7 | testssh01 | admin |
| 172.16.80.21 | Windows 10 | testrdp01 | admin |
| 172.16.80.31 | MySQL 5 | root | admin |
点击页面左侧的 授权管理 - 资产授权 - 创建授权规则 创建两个授权
| 表单 | SSH 资产授权 | RDP 资产授权 |
|---|---|---|
| 名称 | test_ssh01_测试授权 | test_rdp01_测试授权 |
| 用户 | Administrator(admin) | Administrator(admin) |
| 用户组 | ||
| 资产 | test_ssh01(172.16.80.11) | test_rdp01(172.16.80.21) |
| 节点 | ||
| 系统用户 | test_ssh01_测试系统用户(testssh01) | test_rdp01_测试系统用户(testrdp01) |
| 权限 | √ 全部 | √ 全部 |
3.3.2、为用户分配数据库应用
点击页面左侧的 授权管理 - 数据库应用 - 创建授权规则 创建数据库授权
| 表单 | MySQL 资产授权 |
|---|---|
| 名称 | test_mysql01_测试授权 |
| 用户 | Administrator(admin) |
| 用户组 | |
| 数据库应用 | test_mysql01 |
| 系统用户 | test_mysql01_测试系统用户(root) |
3.4、用户登录
-
登录 JumpServer
点击页面左侧的会话管理-Web终端用户只能看到自己被管理员授权了的资产, 如果登录后无资产, 请联系管理员进行确认 -
连接资产
在我的资产点击资产右边的连接快速连接资产
也可以点击左侧栏的Web终端点击资产名字, 就连上资产了
如果显示连接超时, 请参考FAQ文档进行处理 -
断开资产
点击页面顶部的Server按钮会弹出选个选项, 第一个断开所选的连接, 第二个断开所有连接
也可以直接点资产小窗口的 X ,SSH会话也可以输入exit来退出
直接关闭页面也可以, 但是不推荐 -
文件管理
点击文件管理
先在左边选择资产, 目前只支持自动登录的SSH协议资产
也可以使用sftp方式进行文件管理
3.5、查看用户操作回放
点击会话管理---->会话管理---->历史会话----> 找到对应会话后面的回放即可查看对应用户在过去会话中执行的操作;
About Me
● 本文作者:小麦苗,部分内容整理自网络,若有侵权请联系小麦苗删除
● 本文原始发表于个人微 信公众号(DB宝)上
● QQ群号: 230161599 、618766405,微信群私聊
● 个人QQ号(646634621),微 信号(db_bao),注明添加缘由
● 版权所有,欢迎分享本文,转载请保留出处