23.9 創建jumpserver普通用戶
23.10 添加機器
23.11 添加系統用戶並授權
23.12 添加授權規則
23.13 客戶端登錄jumpserver
總結
23.9 創建jumpserver普通用戶
普通用戶的密碼以及密鑰下載地址、密鑰密碼都會通過郵件的方式發送給用戶
瀏覽器登錄普通用戶,可以查看有權限的主機,也可以在web界面下登錄主機、上傳和下載文件
xshell創建新的連接
ip爲jumpserver的ip,端口爲22
用戶名爲普通用戶名字(aming)
設置密鑰認證
連接後,出現登錄頁面,數據p查看所有被授權主機
輸入主機前面的數字可以登錄到對應的主機下面
[root@axinlinux-04 jumpserver-0.3.3]# ./service.sh start
Starting jumpserver service: [ OK ]
#因爲機器重啓過,在jumpserver-0.3.3目錄了下,service.sh文件start就可以了
創建jumpserver裏面的用戶,就是用來登錄jumpserver瀏覽器的用戶。或者說將來你要用命令行的形式去登錄到跳板機來,用到的用戶
首先要創建一個用戶組
然後再創建用戶
以上報錯了,郵箱的問題。我們點擊退後,退回上一步
以上,查看一下用戶。實際上已經有zhangsan這個用戶了。但是密碼是什麼還不知道,這時候郵件就是出問題了。我們可以點擊 編輯,給他設定一個密碼(wangxin789)
以上,設置了密碼。但是密鑰密碼還不知道。可以去生成一個。
也就是說讓zhangsan這個用戶首先登陸,登陸之後,把密鑰下載下來,之後就會顯示NoKey狀態。然後就可以生成一個新的,就會在瀏覽器上提示這個密碼是什麼。 那麼以後如果哪一個用戶忘記了密碼,或者哪一個密鑰的密碼。可以先點擊下載密鑰,然後重新生成一個,生成的同時就會彈出來一個窗口,從而告訴你密碼是什麼。步驟如下:
首先登陸漲三這個用戶
然後回到管理員賬戶(admin)
YHRFtmi5sqCgm3zI
這裏的這個授權密碼,以及下載下來的zhangsan的密鑰在後面的 客戶機登錄jumpserver 這一節上用到
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.10 添加機器
給我們添加的用戶增加機器,也就是資產管理
首先添加 資產組
以上,點更新他可以把這些相關的數據(cpu、內存等等)抓取出來。這是我們之前創建的jump用戶來做的(必須要在相應的客戶機上創建,就是圖上aming-02機器上創建jump),但是我們還沒有給他sudo的權限。現在給他sudo:
[root@dazuoye02-01 ~]# visudo #當然要在相應的客戶機上做sudo的授權
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
jump ALL=(ALL) NOPASSWD: ALL #在此處添加。並且不需要密碼。!!!!!都要爲大寫,因爲此處爲小寫,造成後面的推送不成功!!!!
再回到web界面,管理員賬戶上。點擊更新
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.11 添加系統用戶並授權
系統用戶就是你登錄跳板機到其他機器上的用戶
首先添加系統用戶
然後去生產密鑰
[root@axinlinux-04 ~]# cd .ssh/ #在跳板機上 .ssh目錄下生成
[root@axinlinux-04 .ssh]# ssh-keygen -f zhangsan
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in zhangsan.
Your public key has been saved in zhangsan.pub.
The key fingerprint is:
SHA256:dV+wQJYueoZn2JzDyTFWgHUhBhosQ7bsonV9yrw/WkU root@axinlinux-04
The key's randomart image is:
+---[RSA 2048]----+
| .o.. .+=o*o. |
| oo..o.. +o. o |
| oo. Eo. . .|
| . . o=... . |
| o o . SX.* . |
| o o o o+.& |
|. + .= . |
| o. |
| oo.. |
+----[SHA256]-----+
[root@axinlinux-04 .ssh]# cat zhangsan #將他的私鑰保存到上圖的web界面私鑰的位置
然後點擊確定,會提醒密鑰有誤,再次點擊確定(小bug,沒有有關係)
以上推送成功後,會在資產管理裏,顯示出這臺客戶機的信息
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.12 添加授權規則
針對zhangsan添加一個規則
規則用來做一個映射,讓我們jumpserver裏面的用戶去關聯對應資產裏面的哪一臺機器的哪一個用戶
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.13 客戶端登錄jumpserver
用張三用戶拿xshell去登錄跳板機,並登錄跳板機授權的機器。(之前下載的張三的密鑰以及顯示出來的授權碼)
再點擊用戶驗證身份
然後再連接zhangsan
如果沒有出現以上jumpserver的界面。出現的是跟平常用戶登錄的一樣的命令行(如下),是因爲他的shell不對(如果可查看shell),不應該是/bin/bash,而應該爲/opt/jumpserver-0.3.3/init.sh:
[root@axinlinux-04 jumpserver-0.3.3]# echo $SHELL
/bin/bash
[root@axinlinux-04 jumpserver-0.3.3]# vim /etc/passwd
zhangsan:x:1002:1002::/home/zhangsan:/opt/jumpserver-0.3.3/init.sh
lisi:x:1003:1003::/home/lisi:/opt/jumpserver-0.3.3/init.sh
所以要把zhangsan的shell改爲/opt/jumpserver-0.3.3/init.sh。再重新登一下就可以了
登陸進來之後,就可以操作了:
Opt or ID>: p #p可以查看有權限登錄的機器,最常用就是p,然後輸入前面的數字去登錄
[ID ] IP Port Hostname SysUser Comment
[0 ] 192.168.208.135 22 dazuoye02-01 [zhangsan]
Opt or ID>: 0 #輸入前面的ID數0就可以登錄到135機器。但是不能登錄本機(也就是跳板機),因爲本機無法登本機
Only match Host: dazuoye02-01
Connecting dazuoye02-01 ...
Last login: Sun Dec 2 22:28:41 2018 from 192.168.208.136
[zhangsan@dazuoye02-01 ~]$ #就可以對135機器操作
Opt or ID>: e #也可以ane,批量的執行一些命令
授權包含該系統用戶的所有主機
dazuoye02-01
請輸入主機名或ansible支持的pattern, 多個主機:分隔, q退出
Pattern>: dazuoye02-01 #輸入dazuoye02-01機器
匹配主機:
dazuoye02-01
請輸入執行的命令, 按q退出
Cmds>: w #如果是多臺就可以全部的顯示出來
dazuoye02-01 => Ok
22:43:40 up 1:18, 1 user, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.208.1 22:12 11:24 0.15s 0.12s vim /etc/passwd
~o~ Task finished ~o~
請輸入執行的命令, 按q退出
Cmds>: #還可以繼續執行
也可以給zhangsan用戶sudo一些root的命令,讓他去執行root的一些操作
總結:
在jumpserver裏面有三種用戶:
1.jumpserver用戶是我們用來登錄web界面的用戶。也可以建立一個xshell,因爲我們每創建一個jumpserver用戶都會生成一個系統用戶(/etc/passwd)
2.管理用戶是在每一臺機器上作爲一個管理員用戶,他的作用幫我們自動創建系統用戶、還可以自動的額幫我們把機器的配置抓下來
3.系統用戶就是用來登錄客戶機的
而授權規則就需要把jumpserver和對應的機器以及系統用戶關聯起來