一、搭建
关闭 iptables,关闭selinux
jumpserver
:192.168.1.100
Python:2.6.6
2、安装依赖包
yum -y installepel-release
yum clean all && yum makecache
yum -y update
yum -y install git python-pip mysql-devel gcc automake autoconf python-devel vim ssh pass lrzsz readline-devel
3、导入jumpserver安装包(可到官网下载)
cd /opt/
rz jumpserver.zip
unzip jumpserver.zip
4、执行快速安装脚本
cd /opt/jumpserver/install
进行安装:python install.py
安装过程中若报错:Cannot uninstall requirement pycrypto, not installed解决办法:需要卸载重装:
pip uninstall pycrypto
easy_install pycrypto
安装之后继续 python install.py 进行安装
安装过程中会报如下错误(图一),原因是jumpserver数据表已经存在,可忽略。
图一
注意:如果启动失败,查看8000端口是否被占用
然后用sh service.sh start启动,若还是启动失败,使用python run_server.py启动。
默认是8000端口。如果想改端口可以修改/opt/jumpserver/jumpserver.conf (图四)
图四
二、应用
1、用户的概念
I. 使用Jumpserver前要理解清楚这三个用户关系:
用户:是指你在web上创建的用户,会在跳板机上创建这个用户,作用就是用于登录跳板机
管理用户:是指客户端上的如root等高权限账号(或普通用户拥有NOPASSWD: ALL sudo权限), 作用用于推送系统用户
系统用户:是指要在客户端上创建这个系统用户,通过推送来实现,作用就是登录客户端
II. 管理用户和系统用户的关系:
两者都是客户端上的用户,后者涉及到一个推送动作,比如推送test系统用户,也就是在客户端上创建test用户,那么创建用户需要有权限,
有没有权限创建就要看你是用客户端的root用户还是普通用户做为管理用户,如果后者做为管理用户就需要添加sudo权限又是NOPASSWD: ALL,这样推送系统用户,就可以成功在客户端上创建test用户。
1.1、修改信息
1.2、添加用户组
用户组:为了方便进行授权,可以将多个用户组成用户组
在授权中使用组授权,那么该组中的用户就拥有所有授权的主机权限。
1.3、添加用户
用户: 用户是授权和登陆的主体,管理员为每个员工创建一个用户帐号用来登录跳板机.
另外用户分为普通用户和超级管理员,后者可以审计查看用户登陆记录、命令历史等.
用户添加成功后,邮箱会收到邮件。
2、设置默认管理账号
默认设置:使用默认管理帐号适用于资产的管理账号、密码和密钥是统一的.添加资产如果使用默认管理账号,则会使用这里设置的信息.
默认管理帐号是指客户端上拥有sudo权限的用户,如root,或者有 NOPASSWD:ALL的用户.
3、添加资产(资产、资产组、机房)
3.1添加资产组
主机组:同用户组,这里是资产组成的集合,为了方便授权。
3.2、添加资产(可批量添加)
资产: 资产通常是我们的服务器、网络设备、其它ssh协议硬件设备等.
添加资产时需要添加一个管理用户,该管理用户是客户端上拥有sudo权限的用户,如root,或者有 NOPASSWD: ALL的用户.
该管理用户用来向资产推送系统用户,如果有关联sudo别名会为系统用户添加sudo.通过管理用户来获取资产的一些硬件信息.
3.2.1、单台添加
3.2.2、批量添加
IP地址:客户端IP
端口:客户端端口号
主机名:主机名不能取太长,不要用特殊字符,可以用下划线.
管理帐号:使用就填默认(这里是对应前面第三步设置默认管理帐号),不使用就为空.
用户、密码:客户端上拥有sudo权限的用户密码.
主机组:对应资产的主机组
上传asset.xlsx文件
4、授权管理(sudo、系统用户、授权规则)
4.1、sudo
4.2、添加系统用户
系统用户:是客户端上的用户,用于登陆客户端,过程是用户先登录跳板机在用系统用户跳转登陆客户端.
简单理解就是将某个资产上的某个系统用户映射给这个用户登录.
如test_01,test_02等,可以使用JMS推送到客户端上,也可以利用自己公司的工具进行推送,或手动创建.
如果添加系统用户是客户端上已有的用户,可以使用模拟推送。
创建成功后需要对系统用户进行推送。
4.3、授权规则
授权规则: 授权规则就是将用户、系统用户和资产关联起来,来完成授权。
用户可以以某个系统用户登陆客户端,用户是在跳板机上,而系统用户是在客户端上的。
系统用户可以使用JMS推送,也可以利用自己公司的工具进行推送,或者手动在客户端上创建
注意:授权时,一定要把admin用户加上,否则admin在连接主机时,会提示没有授权用户。
5、登录(web、xshell)
5.1、web登录
5.2、xshell登录
在邮箱中下载秘钥、然后倒入xshell中
密码处填写ssh密钥文件密码
在xshell中ssh 跳板机
此处填写与秘钥相对应得用户名
此处选择刚才倒入的秘钥,并输入ssh密钥文件密码。
在安装以及使用过程中如遇到其他错误,可到以下地址查询
https://github.com/jumpserver/jumpserver/wiki/v0.3.2-%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98-FAQ
网友评论