远程登录服务(高级版)
产品对经销商报价:¥100/学校/年
登录地址信息请联系管理员提供
- 注:网址https双向认证登录,需要客户端认证秘钥(需要找管理提供)
1、用户管理
创建jumpserver用户(登录web页面的用户)
- 点击页面左侧“用户列表”菜单下的“用户列表”, 进入用户列表页面
- 点击页面左上角“创建用户”按钮, 进入创建用户页面, (也可以通过右上角导入模版进行用户导入)
- 其中, 用户名即 Jumpserver 登录账号(具有唯一性, 不能重名)。名称为页面右上角用户标识(可重复)
- 成功提交用户信息后, Jumpserver 会发送一条设置“用户密码”的邮件到您填写的用户邮箱(可以启用邮箱也可以自己设置密码)
- 点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。
- 用户首次登录 Jumpserver, 会被要求完善用户信息, 按照向导操作即可。
- 注:MFA 即 Google Authenticator, 使用此软件需要APP时间与浏览器时间同步
2、资产管理
编辑资产树
- 节点“不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作
2.1 创建管理用户
- 管理用户”是资产上的 root, 或拥有 NOPASSWD: ALL sudo 权限的用户, Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。管理用户需要在资产上面创建用户及给与相应的权限,所以需要管理员权限
- “管理用户”是给 Jumpserver 服务使用, 是一个服务账户(和系统用户的区别是, 系统用户是给用户登陆资产使用的)
- “名称” 不能重复
- “ssh私钥” 如果私钥有密码, 请把key的密码填在密码栏上, 目前仅支持 RSA DSA 格式私钥
2.2 创建系统用户
- “系统用户”是 Jumpserver 跳转登录资产时使用的用户, 用户使用该用户登录资产(授权时指定系统用户, 用户连接资产将会使用此系统用户登陆资产)
- “自动生成密码”、“自动推送”、“Sudo”等功能需要对应资产的“管理用户”有相应的权限, 否则自动推送失败
- ssh 协议的 “Sudo” 栏设定用户的 sudo 权限,
- ssh 协议如果创建的“系统用户”已在资产上面存在, “推送”将会覆盖掉原用户的“home”目录权限(注: 替换成700权限)
- ssh 协议的 “ssh私钥” 如果私钥有密码, 请把key的密码填在密码栏上, 目前仅支持 RSA DSA 格式私钥
- 这里简单举几个 “sudo” 设置例子 Sudo /bin/su
- 当前系统用户可以免sudo密码执行sudo su命令 Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail
- 当前系统用户可以免sudo密码执行git php cat more less tail
- Sudo !/usr/bin/apt 当前系统用户不可以执行sudo apt命令
- 此处的权限应该根据使用用户的需求汇总后定制, 原则上给予最小权限即可
- “系统用户”创建时, 如果选择了“自动推送” Jumpserver 会使用“Ansible”自动推送系统用户到资产中, “root”用户不支持推送
- 如果资产不支持“Ansible”, 请去掉“自动生成密钥”、“自动推送”勾选。手动填写资产上已有的账号及账号密码;
- 如果想让用户登录资产时自己输入密码, 可以在创建系统用户时选择“手动登录”
2.3创建命令过滤
- 系统用户“可以绑定一些”命令过滤器“,一个过滤器可以定义一些”规则“
- 当”用户“使用这个”系统用户“登录资产,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配
- 当一个规则匹配到了,如果规则的动作是 “允许” 这个命令会被放行; 如果规则的动作是 “禁止” 命令将会被禁止执行;否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行
2.4创建资产
- 点击页面左侧的”资产管理“菜单下的”资产列表“按钮, 查看当前所有的资产列表。
- 点击页面左上角的”创建资产“按钮, 进入资产创建页面, 填写资产信息。
- IP 地址和管理用户要确保正确, 确保所选的管理用户的用户名和密码能”牢靠“地登录指定的 IP 主机上。
- 资产的系统平台也务必正确填写。公网 IP 信息只用于展示, 可不填, Jumpserver 连接资产使用的是 IP 信息。
注:资产创建信息填写好保存之后, ssh 协议资产可"测试资产"是否能正确连接, 其他协议暂不支持
被连接资产需要"python"组件, 且版本大于等于2.6, Ubuntu等资产默认不允许root用户远程ssh登录, 请自行处理
如果资产不能正常连接, 请检查"管理用户"的用户名和密钥是否正确以及该"管理用户"是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上
3、创建授权规则
3.1 为用户分配资产
- 名称”, 授权的名称, 不能重复
- 用户“和”用户组“二选一, 不推荐即选择用户又选择用户组
- 资产”和“节点”二选一, 选择节点会包含节点下面的所有资产
- 系统用户“, 及所选的用户或用户组下的用户能通过该系统用户使用所选节点或者节点下的资产
- 用户(组), 资产(节点), 系统用户是一对一的关系, 所以当拥有 Linux、Windows 不同类型资产时, 应该分别给 Linux 资产和 Windows 资产创建授权规则
一般情况下, 资产授权给个人, 节点授权给用户组, 一个授权只能选择一个系统用户
4、用户登录
用户只能看到自己被管理员授权了的资产, 如果登录后无资产, 请联系管理员
4.1连接资产
- 在我的资产点击资产右边的连接快速连接资产
- 也可以点击左侧栏的Web终端
- 点击资产名字, 就连上资产了
- 如果显示连接超时, 请联系管理员处理
4.2文件管理
- 点击文件管理
- 先在左边选择资产, 目前只支持自动登录的 SSH 协议资产
- 也可以使用 sftp 方式进行文件管理
