安装
示意图
注意jumpserver安装可以自行去官网直接看,文档会更加详细
官网地址:
这里实验使用的是docker安装
生成随机加密串,不要泄露出去
if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
启动
docker run --name jms_all -d -p 80:80 -p 2222:2222 -e SECRET_KEY=$SECRET_KEY -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN jumpserver/jms_all:latest
访问:
浏览器访问: http://<容器所在服务器IP>
SSH 访问: ssh -p 2222 <容器所在服务器IP>
XShell 等工具请添加 connection 连接, 默认 ssh 端口 2222
默认管理员账户 admin 密码 admin
简单管理
系统设置
基本设置这里只要改下主体前缀就可以了,其他可以不用动
注意这里的密码是token,如果是163邮箱,如果是当初自己设置的token太过于简单,比如abc123之类的,那么建议重新在让系统自动生成一次,不然可能会报错
用户管理
先创建用户组
在创建用户
最终创建了3个用户
资产管理
这里的管理用户和系统用户特别说明一下,官方解释是
管理用户是资产(被控服务器)上的root,或拥有 NOPASSWD: ALL sudo权限的用户,
Jumpserver使用该用户来 `推送系统用户`、`获取资产硬件信息`等。
Windows或其它硬件可以随意设置一个。
系统用户是 Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户,
如 web, sa, dba(`ssh web@some-host`),
而不是使用某个用户的用户名跳转登录服务器(`ssh xiaoming@some-host`);
简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。
系统用户创建时,如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中,
如果资产(交换机、windows)不支持ansible,
请手动填写账号密码。目前还不支持Windows的自动推送。
简单来说 开发人员 dev-zhangsan 需要登陆服务器A,dev-zhangsan 不是直接登陆到服务器A,
首先登陆到堡垒机jumpserver,jumpserver 用服务器的系统用户登陆到远程服务器上,
假设远程服务器上没有系统用户,那管理用户这时候就会在远程服务器上创建一个系统用户。
总之,管理用户,系统用户都是在远程服务器上的用户,只不过管理用户是具有root权限的系统用户,
嫌麻烦的话,直接用root也行,但是建议还是使用拥有NOPASSWD: ALL sudo权限的用户
添加管理用户
添加系统用户
添加节点
添加资产
权限管理
资产授权可以按照用户组划分,也可以项目名划分;下面我以用户组划分,每个组可以登陆不同的服务器资产
注意这里:
授权可以分为用户和用户组。如果给单个用户授权只要选中其中一个用户就行了,用户组不用选择。同理资产那里也一样
注意这里给开发这个组授权了,那么整个开发组都有权限了,但是只授权了一台服务器给开发组,没有授权整个节点
接下来只给dba组的李四授权整个生产环境节点
命令行连接jumpserver
注意这里输入的是dev-zhangsan堡垒机登录的密码
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
