說明視頻:
用戶管理: http://v.youku.com/v_show/id_XOTM5Mzc3NDE2.html
授權管理: http://v.youku.com/v_show/id_XOTM5Mzg1MTY0.html
部署篇: http://laoguang.blog.51cto.com/6013350/1636273
更新log截圖篇: http://laoguang.blog.51cto.com/6013350/1635853
本篇是使用篇
一. 用戶管理
Jumpserver 2.0.0 版本中增加了部門管理員角色,可以負責管理一個部門的成員和該部門的主機,如果有需要請添加部門,如果服務器或用戶較少可以不添加部門和部門管理員
1.1 添加部門
用戶管理 -- 添加部門
1.2 添加部門管理員用戶
用戶管理 -- 添加用戶
用戶的web登錄密碼,ssh密鑰密碼等以郵件發送給所填寫的郵箱
查看添加後的用戶
1.3 添加普通用戶
用戶管理 -- 添加用戶
查收郵件
1.4 添加用戶組
2.0.0版本的jumpserver授權主機或者sudo是以組的形式組織的,所以要建立用戶組
用戶管理 -- 添加小組 (有人問爲何不是添加用戶組? 因爲四個字比較好看)
1.5 測試添加的用戶
根據郵件說明,登錄web
下載ssh密鑰,用來登錄jumpserver
導入到工具或者使用ssh命令登錄jumpserver,本例使用xshell導入
登錄jumpserver
二. 資產管理
2.1 添加IDC機房
(重新登錄管理員賬戶)如果有多個IDC機房,可以分別添加IDC機房,如果就那麼一個可以不添加,使用默認的即可
資產管理 -- 添加IDC
查看IDC機房
2.2 添加資產
登錄方式: 有兩種,一中是LDAP也是最主要的方式,服務器需要安裝ldap client,另一種是map,也就是映射,該模式用於不能安裝ldap的機器,選擇該模式後,需要手動填寫主機的賬號密碼,用戶從跳板機跳轉到該服務器,會以這個用戶登錄
部門:選擇服務器輸入哪個部門,也相當於把服務器授權給某個部門,將來該部門管理員可以管理該服務器及授權
所屬主機組:剛開始可不填,當選擇主機組後,如果該主機組已授權給用戶組,則該主機授權給用戶組的各個用戶
查看資產
2.3 批量添加資產
資產管理 -- 添加資產 -- 批量添加
批量添加資產可以按照格式批量添加資產,對應的各個字段有說明,也有實例
查看資產
2.4 添加主機組
前面也講過授權是基於組的,最終需要以組形式授權,所以添加主機組
資產管理 -- 添加主機組
查看主機組
三. 授權管理
授權管理是用來授權主機或者sudo,查看用戶權限申請並處理的模塊
3.1 授權主機組給用戶組
授權管理 -- 小組授權 -- 選擇用戶組 -- 授權編輯
將剛纔建立的主機組授權給該用戶組
查看授權詳情
3.2 測試授權
web登錄建立的那個普通用戶,查看授權的主機
該用戶登錄jumpserver,使用jumpserver登錄授權主機
注: jumpserver正常使用會讓 connect.py腳本登錄自啓動,部署文檔後面有說明, 下面的操作爲試了方便測試
# cd /opt/jumpserver
# python connect.py
輸入p或P 查看所有授權主機
輸入g或G 查看授權主機組
輸入g或G加上組的ID,查看該組下的主機
輸入e 可以進入二級菜單批量在主機執行命令,根據提示輸入IP,支持通配符,可以逗號分隔,下面輸入執行的命令
注意:報錯可能提示沒有目錄權限,添加該目錄並修改權限
# mkdir –p /opt/jumpserver/logs/exec_cmds
# chmod 777 /opt/jumpserver/logs/exec_cmds -p
輸入q 可以退出到上一層菜單或者退出
輸入ip地址,或者ip的一部分,或者輸入主機的備註,或者輸入主機的別名(別名是用戶在web端對主機的自定義備註)
注意:報錯可能提示沒有目錄權限,添加該目錄並修改權限
# mkdir /opt/jumpserver/logs/connect/
# chmod 777 /opt/jumpserver/logs/connect/
3.3 Sudo授權
(重新登錄管理員賬戶)
添加sudo可執行的命令組
授權管理 – sudo授權 -- 添加命令組
查看命令組
sudo授權
授權管理 – sudo授權 -- 查看sudo授權 -- sudo授權
查看sudo授權
可以查看授權了那些主機上執行哪些sudo 命令
3.4 測試sudo命令
想必剛纔的終端你還沒用退出,使用jumpserver登錄後端主機後,sudo測試
四. 日誌審計
4.1 監控在線用戶操作
日誌審計 -- 在線
這時如果你的終端沒用退出的話,會看到測試賬戶
點擊監控,可以實時查看用戶的操作行爲和歷史操作記錄 (如果不能彈出監控窗,應該是 node index.js程序沒有啓動)
點擊阻斷,強行用戶斷開
4.2 查看歷史記錄
日誌審計 -- 歷史記錄 -- 命令統計
查看本次登錄用戶操作的記錄 (如果沒有日誌 可能是log_handler.py程序沒有運行)
五. 部門管理員角色的職能
將主機授權給部門管理員後,部門管理員可以管理本部門用戶, 可以授權該部門下的主機,上面添加用戶時已經添加了 喬峯 爲部門管理員,下面將主機授權給喬峯所在部門
5.1 部門授權
在添加主機時,如果將主機設置爲某個部門,則直接將主機授權給該部門,可省略下面工作
授權管理 -- 部門授權 -- 授權編輯
5.2 部門管理員登陸 (什麼,你忘記密碼了? 去查看郵件吧)
5.3 查看部門管理員相關功能
部門管理員相比超級管理員功能要少些,只能負責該部門的主機授權,用戶管理,需要說明的是,新建的用戶會默認屬於本部門,新添加的主機會屬於本部門
快去試試吧!
六. 普通用戶web操作
普通用戶也可以登錄jumpserver web系統,進行一些操作哦
6.1 登錄
6.2 瀏覽瀏覽
可以四處瀏覽一下,試試各個功能,儀表盤,個人信息
6.3 申請主機權限
申請主機權限,可以選擇申請的主機或者組,發郵件給管理員,管理員收到後會處理申請(對不起,目前申請處理還不是自動的)
權限申請 -- 申請主機
查看申請記錄
這時喬峯應該收到了郵件,可以點擊鏈接,或者登陸jumpserver處理申請
登陸喬峯賬戶,查看權限申請
授權管理 -- 權限審批 -- 未審批
這時苦逼的管理員需要手動爲該用戶授權,授權完成後點擊確認,嘿嘿
6.4 上傳文件
上傳下載 -- 文件上傳
填寫ip地址,多個ip逗號隔開,將需要上傳的文件或者目錄拖拽上去,點擊全部上傳,上傳文件在服務器的/tmp目錄下,去看看吧
到此基本的使用已經介紹完了,一些功能比如修改用戶信息,刪除用戶,回收權限沒有講解,自己試試吧,有問題可以羣裏討論,Jumpserver是一個年輕的項目,可能存在一些BUG,需要您的及時反饋,幫助我們一起完善項目!