jumpserver 节点部署_Jumpserver堡垒机安装配置全过程(二)-配置

在非IE浏览器中输入:http://192.168.1.15访问Jumpserver

一、系统设置

1、基本设置

当前站点URL:http://jumpserver.abc.com:8080

发送重置密码邮件中指向Jumpserver的网站域名,设置这个不影响Jumpserver访问

Email主题前缀:[*******堡垒机]

Jumpserver发送邮件给用户时的标题

2、配置邮件发送服务器

点击页面上边的"邮件设置"标签,进入邮件设置页面:

SMTP主机:smtp.abc.com

SMTP端口:25

SMTP账号:[email protected]

SMTP密码:****

使用SSL:不勾选

使用TLS:不勾选

3、LDAP设置

此处省略

上边这些可以按照下图的官方文档http://docs.jumpserver.org/zh/docs/faq_ldap.html来填写

二、创建用户(此过程创建的是Jumpserver的用户,不是服务器的使用账号)

1、创建用户组

用户组,顾名思义,给用户分组。用户组信息很有用,在分配资产权限的时候,针对的某个用户组下的所有用户,可以为一个用户分配多个用户组。

点击页面左侧"用户管理"菜单下的"用户组",进入用户组列表页面。

点击页面左上角"创建用户组"按钮,进入创建用户组页面:

名称即用户组名称,建议填写简单明了有用的信息。创建用户组的时候可以把已存在的用户加入到该分组中,一个用户可以存在多个分组中。如果没有已存在的用户,可以留空

创建完毕

2、创建用户

点击页面左侧"用户列表"菜单下的"用户列表",进入用户列表页面。点击页面左上角"创建用户"按钮,进入创建用户页面。

填写账户,角色安全,个人等信息。其中,用户名即 Jumpserver 页面登录账号。用户组是用于资产授权,当某个资产对一个用户组授权后,这个用户组下面的所有用户就都可以使用这个资产了。角色用于区分一个用户是管理员还是普通用户。

创建完毕

成功提交用户信息后,Jumpserver 会发送一条"重置密码"的邮件到您填写的用户邮箱。

点击邮件中的设置密码链接,设置好密码后,您就可以用户名和密码登录 Jumpserver 了。

用户首次登录 Junmpserver,会被要求完善用户信息,不完善也不影响使用。

除了使用浏览器登录 Jumpserver 外,还可使用命令行登录:

确保 Coco 服务正常

也可以直接在 Jumpserver 主机上执行如下命令检测 Coco 是否存活

netstat -ntpl

命令行登录 Jumpserver ,Coco 服务默认使用 2222 端口:

IP:192.168.1.15

端口:2222

登录成功后界面如下:

三、创建管理用户(此过程添加的是服务器的最高权限账号)

1、创建Linux管理用户

"管理用户"是Linux服务器的 root账号,或拥有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 使用该用户来推送"系统用户"、获取资产硬件信息等。此root账户必须得建立一个(可以不填写密码),否则后边的Linux资产无法创建。

名称可以按资产树来命名。用户名 root。

2、创建 Windows 管理用户

如果是Windows服务器,这个账号用途就只有获取资产硬件信息。

同 Linux 系统的管理用户一样,名称可以按资产树来命名,用户名是管理员用户名,密码是管理员的密码。

四、创建系统用户(此过程添加的是服务器的一般权限账号)

1、创建Linux系统用户

系统用户是 Jumpserver 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录 Jumpserver, Jumpserver 使用系统用户登录资产。

系统用户创建时,如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机、Windows)不支持 Ansible, 请手动填写账号密码。

Linux 系统协议项务必选择 ssh 。如果用户在系统中已存在,请去掉自动生成密钥、自动推送勾选。

2、创建 Windows 系统用户

由于目前 Windows 不支持自动推送,所以 Windows 的系统用户设置成与管理用户同一个用户。

Windows 资产协议务必选择 rdp。

五、资产管理

1、 创建 Linux 资产

(1)编辑资产树

节点不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作。

重命名为需要的节点,然后再添加一个节点

节点创建完毕

(2)创建资产

点击页面左侧的"资产管理"菜单下的"资产列表"按钮,查看当前所有的资产列表。点击页面左上角的"创建资产"按钮,进入资产创建页面,填写资产信息。

IP 地址和管理用户要确保正确,确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 信息只用于展示,可不填,Jumpserver 连接资产使用的是 IP 信息。

资产创建信息填写好保存之后,可测试资产是否能正确连接:

如果资产不能正常连接,请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上。

2、创建 Windows 资产

(1)创建 Windows 系统管理用户

同 Linux 系统的管理用户一样,名称可以按资产树来命名,用户名是管理员用户名,密码是管理员的密码。

(2)创建 Windows 系统系统用户

目前 Windows 暂不支持自动推送,用户必须在系统中存在且有权限使用远程连接,请去掉自动生成密钥、自动推送勾选;请确认 windows 资产的 rdp 防火墙已经开放。Windows 资产协议务必选择 rdp。

(3)创建 Windows 资产

同创建 Linux 资产一样。创建 Windows 资产,系统平台请选择正确的 Windows,端口号为3389,IP 和 管理用户请正确选择,确保管理用户能正确登录到指定的 IP 主机上。

3、资产节点管理

(1)为资产树节点分配资产

在资产列表页面,选择要添加资产的节点,右键,选择添加资产到节点。

选择要被添加的资产,点击"确认"即可。

(2)删除节点资产

选择要被删除的节点,选择"从节点删除",点击"提交"即可。

六、创建授权规则

节点,对应的是资产,代表该节点下的所有资产。

用户组,对应的是用户,代表该用户组下所有的用户。

系统用户,及所选的用户组下的用户能通过该系统用户使用所选节点下的资产。

节点,用户组,系统用户是一对一的关系,所以当拥有 Linux、Windows 不同类型资产时,应该分别给 Linux 资产和 Windows 资产创建授权规则。

创建的授权规节点要与资产所在的节点一致。

创建完成后页面

七、用户使用资产

1、登录 Jumpserver

因接入了LDAP,所以用LDAP的账号密码登录。但第一次登录后要用admin账号进去设置用户组,才有对应权限

创建授权规则的时候,选择了用户组,所以这里需要登录所选用户组下面的用户才能看见相应的资产。用户正确登录后的页面:

2、使用资产

(1)连接资产

点击页面左边的 Web 终端:

打开资产所在的节点:

双击资产名字,就连上资产了:

连接有任何错误都可以参考http://docs.jumpserver.org/zh/docs/faq.html

接下来,就可以对资产进行操作了。

(2)断开资产

点击页面顶部的 Server 按钮会弹出选个选项,第一个断开所选的连接,第二个断开所有连接。

八、查看命令记录和录像

1、查看命令记录

2、查看录像

依次点击"会话管理-历史会话",点击最后一列的"回放"

Windows操作的历史回放画面较小

Linux操作的历史回放可以看清执行的命令

升级Jumpserver

升级后大概率导致无法启动或者内置组件崩溃,建议重新安装最新版本

因为这里访问github.com太慢,所以采用离线升级的方法

必须先执行:source /opt/py3/bin/activate

一、备份

1、Jumpserver

备份jumpserver配置文件、数据库表结构及录像文件

jumpserver_backup=/tmp/jumpserver_backup

mkdir -p $jumpserver_backup

cd /opt/jumpserver

cp config.py $jumpserver_backup

cp -r data/media $jumpserver_backup/

for app in audits common users assets ops perms terminal;do

mkdir -p $jumpserver_backup/${app}_migrations

cp apps/${app}/migrations/*.py $jumpserver_backup/${app}_migrations

done

2、备份数据库,已被不时之需

mysqldump -uroot –p******** jumpserver > $jumpserver_backup/db_backup.sql

二、更新主代码

1、下载离线包, 更新代码

cd /opt

mv jumpserver jumpserver_bak

git clone https://github.com/jumpserver/jumpserver.git

cd jumpserver && git checkout master# or other branch

git pull

2、还原配置文件、数据库表结构文件及录像文件

cd /opt/jumpserver

for app in audits common users assets ops perms terminal;do

cp $jumpserver_backup/${app}_migrations/*.py apps/${app}/migrations/

done

cp $jumpserver_backup/config.py .

cp -r $jumpserver_backup/media/* data/media/

3、更新依赖或表结构

pip install -r requirements/requirements.txt && cd utils && sh make_migrations.sh

三、更新其他组件

1、Coco

说明: 以下操作都在 coco 项目所在目录。coco是无状态的,备份 keys 目录即可

备份配置文件及keys

cd /opt/coco

cp conf.py $jumpserver_backup/

cp -r keys $jumpserver_backup/

离线更新升级coco

cd /opt

mv coco coco_bak

git clone https://github.com/jumpserver/coco.git

cd coco && git checkout master # or other branch

git pull

还原 keys目录

cd /opt/coco

cp $jumpserver_backup/conf.py .

cp -r $jumpserver_backup/keys .

升级依赖

git pull && cd requirements && pip install -r requirements.txt

2、Luna

重新下载 release 包(https://github.com/jumpserver/luna/releases)

cd /opt

mv luna luna_bak

mv luna.tar.gz luna.tar.gz_bak

wget https://github.com/jumpserver/luna/releases/download/1.3.3/luna.tar.gz

tar xvf luna.tar.gz

chown -R root:root luna

3、Guacamole

docker pull registry.jumpserver.org/public/guacamole:latest

docker stop jms_guacamole # 或者写guacamole的容器ID

docker rename jms_guacamole jms_guacamole_bak # 如果名称不正确请手动修改

docker run --name jms_guacamole -d \

-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \

-e JUMPSERVER_KEY_DIR=/config/guacamole/key \

-e JUMPSERVER_SERVER=http://jumpserver.abc.com \

registry.jumpserver.org/public/guacamole:latest

# 确定升级完成后,可以删除备份容器

docker rm jms_guacamole_bak

你可能感兴趣的:(jumpserver,节点部署)