官方文档:http://www.jumpserver.org/
— 登录脚本 —
1.1 使用paramiko原生ssh协议登录后端主机(原来版本使用pexpect模拟登录)
1.2 新增使用别名或备注登录
1.3 新增主机分组查看,使用更方便
1.4 多线程批量执行命令
1.5 优化登录脚本
— web管理 —
1.6 Web界面更加美观漂亮
1.7 增加部门管理员负责管理本部门成员
1.8 增加仪表盘统计信息
1.9 增加部门, 用户组, 主机组
1.10 用户信息,主机信息更加详细
1.11 主机登录方式增加登录方式 map,用于登录不支持ldap的主机
1.12 主机授权,sudo授权改为组组之间授权
1.13 增加主机批量修改,批量添加
1.14 添加用户自动生成随机密码,然后自动发送邮件
1.15 添加各种搜索
1.16 增加普通用户web页面的授权申请
1.17 审计界面更加友好
1.18 主机添加过滤搜索功能
1.19 增加用户头像
1.20 上传批量上传
1.21 增加部门管理员页面
1.22 普通用户页面内容更加丰富
一. 用户管理
Jumpserver 2.0.0 版本中增加了部门管理员角色,可以负责管理一个部门的成员和该部门的主机,如果有需要请添加部门,如果服务器或用户较少可以不添加部门和部门管理员
1.1 添加部门
用户管理 — 添加部门
1.2 添加部门管理员用户
用户管理 — 添加用户
用户的web登录密码,ssh密钥密码等以邮件发送给所填写的邮箱
查看添加后的用户
1.3 添加普通用户
用户管理 — 添加用户
查收邮件
1.4 添加用户组
2.0.0版本的jumpserver授权主机或者sudo是以组的形式组织的,所以要建立用户组
用户管理 — 添加小组 (有人问为何不是添加用户组? 因为四个字比较好看)
1.5 测试添加的用户
根据邮件说明,登录web
下载ssh密钥,用来登录jumpserver
导入到工具或者使用ssh命令登录jumpserver,本例使用xshell导入
登录jumpserver
二. 资产管理
2.1 添加IDC机房
(重新登录管理员账户)如果有多个IDC机房,可以分别添加IDC机房,如果就那么一个可以不添加,使用默认的即可
资产管理 — 添加IDC
查看IDC机房
2.2 添加资产
登录方式: 有两种,一中是LDAP也是最主要的方式,服务器需要安装ldap client,另一种是map,也就是映射,该模式用于不能安装ldap的机器,选择该模式后,需要手动填写主机的账号密码,用户从跳板机跳转到该服务器,会以这个用户登录
部门:选择服务器输入哪个部门,也相当于把服务器授权给某个部门,将来该部门管理员可以管理该服务器及授权
所属主机组:刚开始可不填,当选择主机组后,如果该主机组已授权给用户组,则该主机授权给用户组的各个用户
查看资产
2.3 批量添加资产
资产管理 — 添加资产 — 批量添加
批量添加资产可以按照格式批量添加资产,对应的各个字段有说明,也有实例
查看资产
2.4 添加主机组
前面也讲过授权是基于组的,最终需要以组形式授权,所以添加主机组
资产管理 — 添加主机组
查看主机组
三. 授权管理
授权管理是用来授权主机或者sudo,查看用户权限申请并处理的模块
3.1 授权主机组给用户组
授权管理 — 小组授权 — 选择用户组 — 授权编辑
将刚才建立的主机组授权给该用户组
查看授权详情
3.2 测试授权
web登录建立的那个普通用户,查看授权的主机
该用户登录jumpserver,使用jumpserver登录授权主机
注: jumpserver正常使用会让 connect.py脚本登录自启动,部署文档后面有说明, 下面的操作为试了方便测试
# cd /opt/jumpserver
# python connect.py
输入p或P 查看所有授权主机
输入g或G 查看授权主机组
输入g或G加上组的ID,查看该组下的主机
输入e 可以进入二级菜单批量在主机执行命令,根据提示输入IP,支持通配符,可以逗号分隔,下面输入执行的命令
注意:报错可能提示没有目录权限,添加该目录并修改权限
# mkdir –p /opt/jumpserver/logs/exec_cmds
# chmod 777 /opt/jumpserver/logs/exec_cmds -p
输入q 可以退出到上一层菜单或者退出
输入ip地址,或者ip的一部分,或者输入主机的备注,或者输入主机的别名(别名是用户在web端对主机的自定义备注)
注意:报错可能提示没有目录权限,添加该目录并修改权限
# mkdir /opt/jumpserver/logs/connect/
# chmod 777 /opt/jumpserver/logs/connect/
3.3 Sudo授权
(重新登录管理员账户)
添加sudo可执行的命令组
授权管理 – sudo授权 — 添加命令组
查看命令组
sudo授权
授权管理 – sudo授权 — 查看sudo授权 — sudo授权
查看sudo授权
可以查看授权了那些主机上执行哪些sudo 命令
3.4 测试sudo命令
想必刚才的终端你还没用退出,使用jumpserver登录后端主机后,sudo测试
四. 日志审计
4.1 监控在线用户操作
日志审计 — 在线
这时如果你的终端没用退出的话,会看到测试账户
点击监控,可以实时查看用户的操作行为和历史操作记录 (如果不能弹出监控窗,应该是 node index.js程序没有启动)
点击阻断,强行用户断开
4.2 查看历史记录
日志审计 — 历史记录 — 命令统计
查看本次登录用户操作的记录 (如果没有日志 可能是log_handler.py程序没有运行)
五. 部门管理员角色的职能
将主机授权给部门管理员后,部门管理员可以管理本部门用户, 可以授权该部门下的主机,上面添加用户时已经添加了 乔峰 为部门管理员,下面将主机授权给乔峰所在部门
5.1 部门授权
在添加主机时,如果将主机设置为某个部门,则直接将主机授权给该部门,可省略下面工作
授权管理 — 部门授权 — 授权编辑
5.2 部门管理员登陆 (什么,你忘记密码了? 去查看邮件吧)
5.3 查看部门管理员相关功能
部门管理员相比超级管理员功能要少些,只能负责该部门的主机授权,用户管理,需要说明的是,新建的用户会默认属于本部门,新添加的主机会属于本部门
快去试试吧!
六. 普通用户web操作
普通用户也可以登录jumpserver web系统,进行一些操作哦
6.1 登录
6.2 浏览浏览
可以四处浏览一下,试试各个功能,仪表盘,个人信息
6.3 申请主机权限
申请主机权限,可以选择申请的主机或者组,发邮件给管理员,管理员收到后会处理申请(对不起,目前申请处理还不是自动的)
权限申请 — 申请主机
查看申请记录
这时乔峰应该收到了邮件,可以点击链接,或者登陆jumpserver处理申请
登陆乔峰账户,查看权限申请
授权管理 — 权限审批 — 未审批
这时苦逼的管理员需要手动为该用户授权,授权完成后点击确认,嘿嘿
6.4 上传文件
上传下载 — 文件上传
填写ip地址,多个ip逗号隔开,将需要上传的文件或者目录拖拽上去,点击全部上传,上传文件在服务器的/tmp目录下,去看看吧
