jumpserver进阶使用(Centos7环境)
环境:
一台安装好 Jumpserver 系统的可用主机(堡垒机)
一台或多台可用的 Linux、Windows资产设备(被管理的资产)
| 角色 | IP |
|---|---|
| jumpserver | 192.168.2.5 |
| server(资产机) | 192.168.2.6 |
一、系统设置
配置qq邮箱SMTP服务
下拉至
这个密钥充当着登录密码的作用,如果你获取密钥后,修改了QQ密码,那么密钥会无效,那就要重新获取。如果你早已打开了该SMTP服务,但没有密钥,关闭重新打开服务
smtp密码处输入qq给予你的字符串密码,测试连接.根据提示这个jumpserver版本修改系统设置后需要手动重启jumpserver,回到终端下运行./jms restart all,回到cocod终端下./cocod restart,涉及到的组件也重启
二、创建用户
其中,用户名即 Jumpserver 登录账号。用户组是用于资产授权,当某个资产对一个用户组授权后,这个用户组下面的所有用户就都可以使用这个资产了。角色用于区分一个用户是管理员还是普通用户
①创建用户组
如果刚刚修复了邮件无法发送的问题,没有收到重置密码的邮件,回到用户列表点进需要发送的用户,选择发送重置密码邮件
系统设置中基本设置中有当前站点URL需要支持域名解析,如在内网实验,需要填写jumpserverip:8080,并手动重启jumpserver,否则无法跳转至jumpserver
②生成用户密钥,回到jumpserver
(py3) [root@localhost ~]# ssh-keygen -t rsa -C "441811842@qq.com"
(py3) [root@localhost ~]# cat .ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCjoNuvOLm+nTh1lm7m/KXjIRXdL+54sOUa+Z1QKX/x/g11PyQoitMh2XpalhimMKHEJ1IbpI64eOAM4mfDLIeKa06jrRR/i1eD8lWNO8E2dcz9d9z5ldRvimac8qoB3psCW75tR26nDuwqBqgiBId1Uu0c6bi9HwkiclRJLbk1KziUqjl6TRU0EfDUe0KjtCxTJVLDjtzKmvRheWWCNVdz1Pa5r44a8QsJET/yvTZaC/PQRcyYNl+IiVmMlTixYBGt2V5+yCT5iQDNKeH/pc/mu1pqdoInHCzdlSZ/uxZGSroimDbh1vtgOCW6H6mnhIBCD6TOrBSHEJS7r7iTb6ej 441811842@qq.com
复制到用户公钥处,提交
③确保Coco存活,在终端可以查看2222端口是否存在
使用命令行测试登录,使用2.6测试连接
Connecting to 192.168.2.6:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Last login: Mon May 28 18:10:15 2018 from 192.168.2.1
[root@localhost ~]# ssh -p 2222 wushuting@192.168.2.5
The authenticity of host '[192.168.2.5]:2222 ([192.168.2.5]:2222)' can't be established.
RSA key fingerprint is 77:a3:09:bc:58:61:d8:f2:7d:1a:f1:ba:67:79:ec:fc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.2.5]:2222' (RSA) to the list of known hosts.
wushuting@192.168.2.5's password:
Opt> exit
Connection to 192.168.2.5 closed.
测试成功说明jumpserver与资产机用户间通讯正常
三、创建管理用户
①创建一些节点与子节点
②创建管理用户
管理用户是服务器的 root,或拥有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。
如果使用ssh私钥,需要先在资产上设置,这里举个例子供参考(本例登录资产使用root为例)
[root@localhost ~]# cat .ssh/id_rsa.pub >> ~/.ssh/authorized_keys
[root@localhost ~]# chmod 400 ~/.ssh/authorized_keys
[root@localhost ~]# vim /etc/ssh/sshd_config
......
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
......
[root@localhost ~]# systemctl restart sshd
[root@localhost ~]# ssh-copy-id 192.168.2.5
密钥与密码必填一个,可以选择将资产机的id_rsa拷贝到宿主机
又如果使用root密码那就是资产机root密码,此处选择密码
四、创建系统用户
系统用户是 Jumpserver 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产
系统用户的 Sudo 栏填写允许当前系统用户免sudo密码执行的程序路径,如默认的/sbin/ifconfig,意思是当前系统用户可以直接执行 ifconfig 命令或 sudo ifconfig 而不需要输入当前系统用户的密码,执行其他的命令任然需要密码,以此来达到权限控制的目的
此处本人为创建出来,点回更新的界面,正常界面下会显示自动生成密钥,如果资产机没有这个系统用户,此处选择自动生成密钥,如果用户存在可以选择相应密码
五、创建资产
提交后回到资产列表选择资产可以测试连接
如果资产不能正常连接,请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上
六、创建网域
创建网关(如果没有网关可以跳出此步)
IP信息一般默认填写网域资产的IP即可(如用作网域的资产有多块网卡和IP地址,选能与jumpserer通信的任一IP即可),用户名与密码可以在资产上面创建亦可使用jumpserver的推送功能(需要手动输入密码),确认该用户拥有执行ssh命令的权限
jumpserver:
(py3) [root@localhost .ssh]# useradd gateway
(py3) [root@localhost .ssh]# passwd gateway
更改用户 gateway 的密码
新的 密码:
无效的密码: 密码未通过字典检查 - 过于简单化/系统化
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新
七、创建授权规则
创建的授权规则要与节点一致
!!在使用之前必须回到系统用户,管理用户,资产列表每一个寻找测试连接的界面,测试所有的连接,没有报错后继续下一步!!
如有报错访问官文FAQ:http://docs.jumpserver.org/zh...
八、用户使用授权资产
右上角注销用户,选择登录测试用户登录
选择web终端
双击进入资产,如出现报错,参考官网FAQ
http://docs.jumpserver.org/zh...
断开资产
九、本人搭建以及使用遇到的问题
本人遇到了luna版本与coco版本的不兼容,可能是coco版本最近的更新导致luna无法在前端显示
发生错误前luna版本:
进入到前端luna空白页没有显示
解决方法:
进入到jumpserver下
[root@localhost opt]# ls
coco jumpserver logs luna.tar.gz nginx-1.14.0.tar.gz rh
dist.tar.gz keys luna nginx-1.14.0 py3 sessions
(py3) [root@localhost jumpserver]# ./jms stop
[root@localhost opt]# rm -rf luna
删掉旧版本的luna,去到github下载最新的luna
访问:https://github.com/jumpserver...
复制下载链接使用wget下载到jumpserver中,解压luna移动到/opt下
重新启动jumpserver和coco以及各组件,删除浏览器缓存,也可以更换浏览器继续尝试
