說明視訊:
使用者管理: http://v.youku.com/v_show/id_XOTM5Mzc3NDE2.html
授權管理: http://v.youku.com/v_show/id_XOTM5Mzg1MTY0.html
部署篇: http://laoguang.blog.51cto.com/6013350/1636273
更新log截圖篇: http://laoguang.blog.51cto.com/6013350/1635853
本篇是使用篇
一. 使用者管理
Jumpserver 2.0.0 版本中增加了部門管理者角色,可以負責管理一個部門的成員和該部門的主機,如果有需要請添加部門,如果伺服器或使用者較少可以不添加部門和部門管理者
1.1 添加部門
使用者管理 -- 添加部門
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIx0DciV2dmADM30zd-cGcq5CRzUyYHNWc1kmT1UFVRZkUwU1cWBzYQJVVRJUMpJmMjJDZ5VUVZlXVW1UT5cVYMR2MMlXTww0QapHT5FEVUZXSE1keadVZzkzUiZnTtxkdSNTW4VlaMpXTzwkdvR0YwIFSh9CXt92YuM3YltWas5iclN3Ztl2Lc9CX6MHc0RHaiojIsJye.jpg)
1.2 添加部門管理者使用者
使用者管理 -- 添加使用者
使用者的web登入密碼,ssh密鑰密碼等以郵件發送給所填寫的郵箱
檢視添加後的使用者
1.3 添加普通使用者
使用者管理 -- 添加使用者
查收郵件
1.4 添加使用者組
2.0.0版本的jumpserver授權主機或者sudo是以組的形式組織的,是以要建立使用者組
使用者管理 -- 添加小組 (有人問為何不是添加使用者組? 因為四個字比較好看)
1.5 測試添加的使用者
根據郵件說明,登入web
下載下傳ssh密鑰,用來登入jumpserver
導入到工具或者使用ssh指令登入jumpserver,本例使用xshell導入
登入jumpserver
二. 資産管理
2.1 添加IDC機房
(重新登入管理者賬戶)如果有多個IDC機房,可以分别添加IDC機房,如果就那麼一個可以不添加,使用預設的即可
資産管理 -- 添加IDC
檢視IDC機房
2.2 添加資産
登入方式: 有兩種,一中是LDAP也是最主要的方式,伺服器需要安裝ldap client,另一種是map,也就是映射,該模式用于不能安裝ldap的機器,選擇該模式後,需要手動填寫主機的賬号密碼,使用者從跳闆機跳轉到該伺服器,會以這個使用者登入
部門:選擇伺服器輸入哪個部門,也相當于把伺服器授權給某個部門,将來該部門管理者可以管理該伺服器及授權
所屬主機組:剛開始可不填,當選擇主機組後,如果該主機組已授權給使用者組,則該主機授權給使用者組的各個使用者
檢視資産
2.3 批量添加資産
資産管理 -- 添加資産 -- 批量添加
批量添加資産可以按照格式批量添加資産,對應的各個字段有說明,也有執行個體
檢視資産
2.4 添加主機組
前面也講過授權是基于組的,最終需要以組形式授權,是以添加主機組
資産管理 -- 添加主機組
檢視主機組
三. 授權管理
授權管理是用來授權主機或者sudo,檢視使用者權限申請并處理的子產品
3.1 授權主機組給使用者組
授權管理 -- 小組授權 -- 選擇使用者組 -- 授權編輯
将剛才建立的主機組授權給該使用者組
檢視授權詳情
3.2 測試授權
web登入建立的那個普通使用者,檢視授權的主機
該使用者登入jumpserver,使用jumpserver登入授權主機
注: jumpserver正常使用會讓 connect.py腳本登入自啟動,部署文檔後面有說明, 下面的操作為試了友善測試
# cd /opt/jumpserver
# python connect.py
輸入p或P 檢視所有授權主機
輸入g或G 檢視授權主機組
輸入g或G加上組的ID,檢視該組下的主機
輸入e 可以進入二級菜單批量在主機執行指令,根據提示輸入IP,支援通配符,可以逗号分隔,下面輸入執行的指令
注意:報錯可能提示沒有目錄權限,添加該目錄并修改權限
# mkdir –p /opt/jumpserver/logs/exec_cmds
# chmod 777 /opt/jumpserver/logs/exec_cmds -p
輸入q 可以退出到上一層菜單或者退出
輸入ip位址,或者ip的一部分,或者輸入主機的備注,或者輸入主機的别名(别名是使用者在web端對主機的自定義備注)
注意:報錯可能提示沒有目錄權限,添加該目錄并修改權限
# mkdir /opt/jumpserver/logs/connect/
# chmod 777 /opt/jumpserver/logs/connect/
3.3 Sudo授權
(重新登入管理者賬戶)
添加sudo可執行的指令組
授權管理 – sudo授權 -- 添加指令組
檢視指令組
sudo授權
授權管理 – sudo授權 -- 檢視sudo授權 -- sudo授權
檢視sudo授權
可以檢視授權了那些主機上執行哪些sudo 指令
3.4 測試sudo指令
想必剛才的終端你還沒用退出,使用jumpserver登入後端主機後,sudo測試
四. 日志審計
4.1 監控線上使用者操作
日志審計 -- 線上
這時如果你的終端沒用退出的話,會看到測試賬戶
點選監控,可以實時檢視使用者的操作行為和曆史操作記錄 (如果不能彈出監控窗,應該是 node index.js程式沒有啟動)
點選阻斷,強行使用者斷開
4.2 檢視曆史記錄
日志審計 -- 曆史記錄 -- 指令統計
檢視本次登入使用者操作的記錄 (如果沒有日志 可能是log_handler.py程式沒有運作)
五. 部門管理者角色的職能
将主機授權給部門管理者後,部門管理者可以管理本部門使用者, 可以授權該部門下的主機,上面添加使用者時已經添加了 喬峰 為部門管理者,下面将主機授權給喬峰所在部門
5.1 部門授權
在添加主機時,如果将主機設定為某個部門,則直接将主機授權給該部門,可省略下面工作
授權管理 -- 部門授權 -- 授權編輯
5.2 部門管理者登陸 (什麼,你忘記密碼了? 去檢視郵件吧)
5.3 檢視部門管理者相關功能
部門管理者相比超級管理者功能要少些,隻能負責該部門的主機授權,使用者管理,需要說明的是,建立的使用者會預設屬于本部門,新添加的主機會屬于本部門
快去試試吧!
六. 普通使用者web操作
普通使用者也可以登入jumpserver web系統,進行一些操作哦
6.1 登入
6.2 浏覽浏覽
可以四處浏覽一下,試試各個功能,儀表盤,個人資訊
6.3 申請主機權限
申請主機權限,可以選擇申請的主機或者組,發郵件給管理者,管理者收到後會處理申請(對不起,目前申請處理還不是自動的)
權限申請 -- 申請主機
檢視申請記錄
這時喬峰應該收到了郵件,可以點選連結,或者登陸jumpserver處理申請
登陸喬峰賬戶,檢視權限申請
授權管理 -- 權限審批 -- 未審批
這時苦逼的管理者需要手動為該使用者授權,授權完成後點選确認,嘿嘿
6.4 上傳檔案
上傳下載下傳 -- 檔案上傳
填寫ip位址,多個ip逗号隔開,将需要上傳的檔案或者目錄拖拽上去,點選全部上傳,上傳檔案在伺服器的/tmp目錄下,去看看吧
到此基本的使用已經介紹完了,一些功能比如修改使用者資訊,删除使用者,回收權限沒有講解,自己試試吧,有問題可以群裡讨論,Jumpserver是一個年輕的項目,可能存在一些BUG,需要您的及時回報,幫助我們一起完善項目!