JumpServer初探
JumpServer资产,用户关系如图所示。
资产管理下有资产列表和系统用户,系统用户分为特权用户和普通用户。资产列表下管理的是服务器,而特权用户就是JumpServer用来登录服务器的账号,因此特权用户需要拥有较高的权限,比如root账号或能执行sudo的管理员账号,而且需要配置密码。JumpServer会用这个账号来登录和管理对应的服务器资产。在资产列表中添加资产时配置的特权用户就来自与这里。
用户管理下的用户列表是用来登录JumpServer的账号。但是这个账号还无法直接登录服务器,因为他是配置在JumpServer数据库的,和服务器没关系。
在资产管理的系统用户下,除了特权用户,还有普通用户,他是可以用来登录服务器的。只要将这里的普通用户和JumpServer的用户关联起来,那么JumpServer的用户就可以登录服务器了,如果再把资产列表中的服务器关联起来,就能实现登录权限管理,这就是资产授权的作用。
搞清楚这些概念以及它们之间的关系之后,做为JumpServer的管理员,要为一个人开通登录服务器的权限需要以下步骤。
第一步:新建JumpServer用户
在用户管理→用户列表下新建用户。来源哪里选数据库,其他没什么要特别注意的地方。
第二步:新建特权用户
在资产管理→系统用户下切换到特权用户,创建一个管理员账号,并填写密码。
第三步:添加资产
在资产管理→资产列表创建一个资产,其中特权用户栏选择上一步创建的管理员账号,这个管理员账号要能够登录这台服务器。
如果已有资产,可以点击更新设置特权用户。正常情况下,资产列表的“可连接”列为绿色勾勾,这就说明JumpServer通过特权用户成功登录并获取了服务器信息。
如果服务器”可连接“状态为红色叉叉,说明没有配置特权用户或者配置不对,可能是用户名或密码不对,修改后如果还是显示红色叉叉,可以点击表格左上角刷新按钮。如果刷新无效,可以点击表格中的主机名,这是一个链接,到资产详情页,右边有一个快速更新的模块,分辨点击这两个刷新按钮,看到OK后关掉,再回到资产列表,应该就能看到”可连接“状态变为绿色叉叉,并且服务器信息页成功显示出来了。
第四步:新建普通用户
在资产管理→系统用户下的普通用户页,创建一个普通用户。协议选择SSH,名称随意,用户名是用来登录服务器的用户名。认证方式选择托管密码,并打开自动生成,然后打开自动推送开关。
这样设置之后,就不需要事先在服务器上创建对应账号了,JumpServer会自动帮你创建账号,输入密码。效果就是登录JumpServer后点击web终端就能直接登录服务器,不需要再输入密码。当然,这一切的前提是还需要最后一步授权管理。
第五步:资产授权
在权限管理→资产授权中新建一条授权规则。在”用户“栏选择的是JumpServer的用户,也就是第一步创建的用户,”资产“栏也有系统用户选择,这里选的是第四步创建的用户,然后在资产栏选择运行访问的资产,这样一条授权规则就创建好了,他将JumpServer用户,服务器和服务器账户关联了起来。
资产也可以按树形结构分类管理,也就是我们说的业务树。在授权时,不选择具体的资产,而是在节点栏选择业务树,这样当业务树上机器发生变化时,不需要重新设置权限。
第六步:登录服务器
管理员的操作到此结束,可以退出登录了,然后用第一步创建的账号登录JumpServer。在我的资产页可以看到上一步授权的服务器,点击操作栏的终端按钮就可以跳转到web终端页面了。也可以直接访问堡垒机的 /luna
路径,直接就到web终端了。