【DB宝48】JumpServer:多云环境下更好用的堡垒机(下)

举报
小麦苗DB宝 发表于 2021/04/19 09:36:08 2021/04/19
【摘要】 三、JumpServer使用说明 3.1、系统设置 3.1.1、基本设置 3.1.2、邮件设置 3.1.3、登陆用户 3.2、资产管理 3.2.1、编辑资产树 3.2.2、创建管理用户 3.2.3、创建资产 3.2.4、创建数据库应用 3.2.5、创建系统用户 3.3、创建授权规则 3.3.1、为用户分配资产 3.3.2、为用户分配数据库应用 3.4、用户登录 3.5、查看用户操作回放 三...

三、JumpServer使用说明

3.1、系统设置

3.1.1、基本设置

名称 示例 备注
当前站点URL https://demo.jumpserver.org 不设置的话,邮件收到的地址为 http://localhost
用户向导URL 用户首次登陆可以看到此 超链接,可以不设置
忘记密码URL 使用了 LDAP, OPENID 等外部认证系统,可以自定义

基本设置是必须设置当前jumpserver的url。

3.1.2、邮件设置

必须设置才能使用与邮件相关的功能

不可以同时勾选 使用SSL使用TLS

名称 示例 备注
SMTP主机 smtp.qq.com 服务商提供的 smtp 服务器
SMTP端口 25 通常是 25
SMTP账号 296015668@qq.com 通常是 user@domain.com
SMTP密码 **************** 每次 测试连接 都需要重新输入密码
使用SSL [ ] 如果端口使用 465,必须勾选此项
使用TLS [ ] 如果端口使用 587,必须勾选此项
发件人 296015668@qq.com 测试连接 必须要输入
主题前缀 [JMS] 邮件的标题,收到的邮件是 [JMS] 开头
测试收件人 296015668@qq.com 测试连接必填

在系统设置—>邮件设置,把对应的账号信息,邮件服务器信息都填写好,然后测试连接,如果可以正常收到邮件,说明邮件服务器信息和邮件用户名密码没有问题;最后点提交;

和邮件主题前缀;这样在用户收到邮件中的链接都会指向这个jumpserver的url;

收到邮件:

3.1.3、登陆用户

jumpserver涉及到的三个用户:

  • 登录用户,用于创建给开发人员进行登录JumpServer的用户;
  • 管理用户,指定用户名和密码,就是添加的资源机器的登录账号;
  • 系统用户,jumpserver跳转登录资产时使用的用户;

在用户管理—>用户列表—>创建;填写好用户相关信息后,点击最下面的提交;

提示:新建用户成功以后,对应的用户邮箱就会收到一份有jumpserver发送到用户创建成功的邮件,用户可以点击此邮件中的链接进行密码设定;

3.2、资产管理

准备两个测试资产和一个数据库来验证功能

IP Host name Port System Admin User Password
172.16.80.11 test_ssh01 22 Centos 7 root Test2020.L
172.16.80.21 test_rdp01 3389 Windows 10 administrator Test2020.W
172.16.80.31 test_mysql01 3306 MySQL 5 root Test2020.M

Windows 资产先进行 Windows SSH 设置

MySQL 应用需要授权 core 和 koko 的远程访问的权限 MySQL 应用要求

3.2.1、编辑资产树

根节点 Default 不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作

说明:\:

点击页面左侧的 资产管理 - 资产列表
先在根节点 Default 右键新建 SSH ServerRDP Server 两个节点

Defaule
├─ SSH Server
└─ RDP Server

3.2.2、创建管理用户

点击页面左侧的 资产管理 - 新建管理用户 创建两个管理用户, 管理用户的内容就是上面表单的 Admin UserPassword

名称不能重名, 密码或者密钥二选一即可, 一些资产不允许通过 密码 认证可以改用 私钥 认证

表单 SSH 管理用户示例 RDP 管理用户示例
名称 172.16.80.11_root 172.16.80.21_administrator
用户名 root administrator
密码 Test2020.L Test2020.W
SSH密钥
备注 SSH 资产管理用户 RDP 资产管理用户

资产管理---->管理用户---->创建,填写好对应被管控端的管理员和密码点击提交;管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等。

3.2.3、创建资产

点击页面左侧的 资产管理 - 资产列表 - 创建资产 把两个资产导入

主机名不能重名

表单 SSH 资产示例 RDP 资产示例
主机名 test_ssh01 test_rdp01
IP(域名) 172.16.80.11 172.16.80.21
系统平台 Linux Windows
公网IP
网域
协议组 ssh 22 rdp 3389 / ssh 22
管理用户 172.16.80.11_root 172.16.80.21_administrator
节点 Default / SSH Server Default / RDP Server

创建 Windows 资产, 注意协议组我们需要选择 sshrdp, 否则无法获取 Windows 资产的状态及硬件信息。

提示:资产管理—>资产列表—>新建,填写对应被管控的的主机信息和ip地址信息,以及管理用户,点击最下方的提交;

提示:提交完成后,我们就可以在资产列表中看到我们刚才添加到主机;

3.2.4、创建数据库应用

击页面左侧的 应用管理 - 数据库应用 - 创建数据库应用 创建 mysql 数据库

表单 MySQL 资产示例
名称 test_mysql01
类型 MySQL
主机 172.16.80.31
端口 3306
数据库
备注 MySQL 资产

数据库 选项可以留空, 如果是某些特定用户, 只允许访问指定的数据库, 这里指定数据库名称即可

3.2.5、创建系统用户

IP System System User Password Group Sudo Sftp Root
172.16.80.11 Centos 7 testssh01 random pass ALL /
172.16.80.21 Windows 10 testrdp01 random pass Users
172.16.80.23 MySQL 5 root Test2020.M

点击页面左侧的 资产管理 - 系统用户 - 创建系统用户 创建对应协议系统用户

表单 SSH 系统用户
名称 test_ssh01_测试系统用户
登录模式 自动登陆
用户名 testssh01
协议 ssh
自动推送
Sudo ALL
Shell /bin/bash
家目录
用户附属组
自动生成密钥
SFTP根路径 /
表单 RDP 系统用户
名称 test_rdp01_测试系统用户
登录模式 自动登陆
用户名 testrdp01
协议 rdp
自动推送
自动生成密钥
表单 MySQL 系统用户
名称 test_mysql01_测试系统用户
登录模式 自动登陆
用户名 root
协议 mysql
密码 Test2020.M

资产管理—>系统用户—>新建,填写好用户名,勾选自动推送和自动生成密钥,点击最下方的提交即可;这里填写的用户会用作jumpserver上登录对应的主机用到用户,如果被管控端没有这个用户,jumpserver就会利用我们刚才添加的管理用户去创建一个这里的系统用户;

3.3、创建授权规则

权限管理—>资产授权—>创建,填写好名称后,要选择用户和组以及资产和系统用户,然后点击最下方的提交;到此一个资源就授权给test用户和test组中的成员了;这里需要注意一点,一个节点中有很多server,如果你只想授权单台server给某个用户,下面的节点就留空,如果你想授权一个节点给用户你可以选择节点,上面的资产就可以留空,如果你又想授权单个资产和某个节点给用户,就选择对应的资产和节点即可;如果这里选择default节点,表示把default节点下的所有主机都授权给用户;默认default节点包含所有主机;

3.3.1、为用户分配资产

IP System System User User
172.16.80.11 Centos 7 testssh01 admin
172.16.80.21 Windows 10 testrdp01 admin
172.16.80.31 MySQL 5 root admin

点击页面左侧的 授权管理 - 资产授权 - 创建授权规则 创建两个授权

表单 SSH 资产授权 RDP 资产授权
名称 test_ssh01_测试授权 test_rdp01_测试授权
用户 Administrator(admin) Administrator(admin)
用户组
资产 test_ssh01(172.16.80.11) test_rdp01(172.16.80.21)
节点
系统用户 test_ssh01_测试系统用户(testssh01) test_rdp01_测试系统用户(testrdp01)
权限 √ 全部 √ 全部

3.3.2、为用户分配数据库应用

点击页面左侧的 授权管理 - 数据库应用 - 创建授权规则 创建数据库授权

表单 MySQL 资产授权
名称 test_mysql01_测试授权
用户 Administrator(admin)
用户组
数据库应用 test_mysql01
系统用户 test_mysql01_测试系统用户(root)

3.4、用户登录

  • 登录 JumpServer
    点击页面左侧的 会话管理 - Web终端 用户只能看到自己被管理员授权了的 资产 , 如果登录后无资产, 请联系管理员进行确认

  • 连接资产
    在我的资产点击资产右边的 连接 快速连接资产
    也可以点击左侧栏的 Web终端 点击 资产 名字, 就连上资产了
    如果显示连接 超时, 请参考 FAQ 文档进行处理

  • 断开资产
    点击页面顶部的 Server 按钮会弹出选个选项, 第一个断开所选的连接, 第二个断开所有连接
    也可以直接点资产小窗口的 X , SSH 会话也可以输入 exit 来退出
    直接关闭页面也可以, 但是不推荐

  • 文件管理
    点击 文件管理
    先在左边选择资产, 目前只支持自动登录的 SSH 协议 资产
    也可以使用 sftp 方式进行 文件管理

3.5、查看用户操作回放

点击会话管理---->会话管理---->历史会话----> 找到对应会话后面的回放即可查看对应用户在过去会话中执行的操作;

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。