jumpserver 管理手册

安装文档参考：https://blog.csdn.net/Doudou_Mylove/article/details/97109679

理论知识：

1、用户管理里面的用户列表 是用来登录jumpserver平台的用户, 用户需要先登录jumpserver平台, 才能管理或者连接资产

2、 资产管理里面的管理用户 是jumpserver用来管理资产需要的服务账户, Linux资产需要root或 NOPASSWD: ALL sudo权限, Jumpserver使用该用户来 '推送系统用户'、'获取资产硬件信息'等。Windows资产随意指定一个, 暂无作用

3、资产管理里面的系统用户 是jumpserver用户连接资产需要的登录账户, Linux资产可以自动推送该系统用户到资产上,

4、Windows需要指定资产上已经创建的系统用户

1、宿主机：搭建堡垒机的服务器；

2、客户端：被宿主机管理的服务器。

3、Web端用户：堡垒机管理员及操作员；

4、管理用户：管理用户是资产（被控服务器）上的 root，或拥有 NOPASSWD: ALL sudo 权限的用户， Jumpserver 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。

5、系统用户：系统用户是 Jumpserver 跳转登录资产时使用的用户，简称登录资产用户；    简单来说是用户使用自己的用户名登录 Jumpserver，Jumpserver 使用系统用户登录资  产。 系统用户创建时，如果选择了自动推送，Jumpserver 会使用 Ansible 自动推送    系统用户到资产中，如果资产（交换机）不支持 Ansible，请手动填写账号密码。

完善用户信息时注意

1、 用户组：建议纳入某个用户组，如果此用户特殊，可以不纳入组，如此账号有特殊用途，         需与其他用户隔离则不列入组。

2、密码由用户在邮件中自行设置，所以确保邮件一定不要写错，邮件一经发送无法撤回！

3、角色、失效日期根据情况设置，默认不做更改。

4、二次验证，此功能目前没有找到具体作用说明，默认不勾选

管理用户和系统用户建议统一使用root

秘钥使用【推荐】

不管用什么方法生成一个密钥对，把公钥传到目标主机，私钥添加至管理用户。有人说还要放到系统用户里但是我没试过。

新建一个部门的时候的流程

用户组>

资产组>

管理用户>

系统用户

如果不同的服务器root密码不一样

创建新的管理用户>

创建新的系统用户>

创建资产选择以上管理用户>

资产授权，选择老用户（组）和新管理用户

思路：

用户通过堡垒机连接服务器，堡垒机就是跳板机，跳板机需要和客户机相通，所以要先创建密钥；

堡垒机上执行：

ssh-keygen -t rsa

ssh-copy-id 192.168.135.128

ssh-copy-id 192.168.135.130

1、开始创建一个堡垒机管理用户，或者说创建一个提供用户登录堡垒机的用户，这里用密码登录。

1. 创建一个资产管理用户

建议：资产管理用户和下面创建的系统用户统一都用root：

下面这一步是重点

3、创建系统账户，用于连上客户机后以该用户操作执行命令的用户，可以是root也可以是其他普通用户，建议用户root

#下面是以普通用户做测试

1. 添加资产

注意下面的“管理用户”选择

1. 资产授权

这里要注意堡垒机用户和系统用户

1. Web端测试连接，主机名随便点一个进去右侧有测试按钮，注意“可连接”下面的颜色，绿色表示可以连接

下图说明测试OK

或者点击“会话管理-web终端”会跳转到luna界面

点击左侧分组里面的节点进行连接，发现连接成功

7、最后在本地xshell连接堡垒机测试

注意堡垒机端口默认都是coco的2222，这里演示用密码连接

连接成功如下

敲回车就会显示所有资产，输入ID号就可直接连接客户端服务器

下面就演示创建一个用密钥连接堡垒机的用户：

先在自己电脑上创建一个ssh密钥对，windows一般放在c:\User\下面的用户里

然后去jumpserver的web端“用户管理-用户列表-创建用户”

提交之后更新如下内容

资产授权给新用户

Xshell用户密钥测试连接刚刚创建的用户

连接成功如下

敲回车就会显示所有资产，输入ID号就可直接连接客户端服务器

搞定。