23.9 创建jumpserver普通用户
23.10 添加机器
23.11 添加系统用户并授权
23.12 添加授权规则
23.13 客户端登录jumpserver
总结
23.9 创建jumpserver普通用户
普通用户的密码以及密钥下载地址、密钥密码都会通过邮件的方式发送给用户
浏览器登录普通用户,可以查看有权限的主机,也可以在web界面下登录主机、上传和下载文件
xshell创建新的连接
ip为jumpserver的ip,端口为22
用户名为普通用户名字(aming)
设置密钥认证
连接后,出现登录页面,数据p查看所有被授权主机
输入主机前面的数字可以登录到对应的主机下面
[root@axinlinux-04 jumpserver-0.3.3]# ./service.sh start
Starting jumpserver service: [ OK ]
#因为机器重启过,在jumpserver-0.3.3目录了下,service.sh文件start就可以了
创建jumpserver里面的用户,就是用来登录jumpserver浏览器的用户。或者说将来你要用命令行的形式去登录到跳板机来,用到的用户
首先要创建一个用户组
然后再创建用户
以上报错了,邮箱的问题。我们点击退后,退回上一步
以上,查看一下用户。实际上已经有zhangsan这个用户了。但是密码是什么还不知道,这时候邮件就是出问题了。我们可以点击 编辑,给他设定一个密码(wangxin789)
以上,设置了密码。但是密钥密码还不知道。可以去生成一个。
也就是说让zhangsan这个用户首先登陆,登陆之后,把密钥下载下来,之后就会显示NoKey状态。然后就可以生成一个新的,就会在浏览器上提示这个密码是什么。 那么以后如果哪一个用户忘记了密码,或者哪一个密钥的密码。可以先点击下载密钥,然后重新生成一个,生成的同时就会弹出来一个窗口,从而告诉你密码是什么。步骤如下:
首先登陆涨三这个用户
然后回到管理员账户(admin)
YHRFtmi5sqCgm3zI
这里的这个授权密码,以及下载下来的zhangsan的密钥在后面的 客户机登录jumpserver 这一节上用到
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.10 添加机器
给我们添加的用户增加机器,也就是资产管理
首先添加 资产组
以上,点更新他可以把这些相关的数据(cpu、内存等等)抓取出来。这是我们之前创建的jump用户来做的(必须要在相应的客户机上创建,就是图上aming-02机器上创建jump),但是我们还没有给他sudo的权限。现在给他sudo:
[root@dazuoye02-01 ~]# visudo #当然要在相应的客户机上做sudo的授权
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
jump ALL=(ALL) NOPASSWD: ALL #在此处添加。并且不需要密码。!!!!!都要为大写,因为此处为小写,造成后面的推送不成功!!!!
再回到web界面,管理员账户上。点击更新
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.11 添加系统用户并授权
系统用户就是你登录跳板机到其他机器上的用户
首先添加系统用户
然后去生产密钥
[root@axinlinux-04 ~]# cd .ssh/ #在跳板机上 .ssh目录下生成
[root@axinlinux-04 .ssh]# ssh-keygen -f zhangsan
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in zhangsan.
Your public key has been saved in zhangsan.pub.
The key fingerprint is:
SHA256:dV+wQJYueoZn2JzDyTFWgHUhBhosQ7bsonV9yrw/WkU root@axinlinux-04
The key's randomart image is:
+---[RSA 2048]----+
| .o.. .+=o*o. |
| oo..o.. +o. o |
| oo. Eo. . .|
| . . o=... . |
| o o . SX.* . |
| o o o o+.& |
|. + .= . |
| o. |
| oo.. |
+----[SHA256]-----+
[root@axinlinux-04 .ssh]# cat zhangsan #将他的私钥保存到上图的web界面私钥的位置
然后点击确定,会提醒密钥有误,再次点击确定(小bug,没有有关系)
以上推送成功后,会在资产管理里,显示出这台客户机的信息
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.12 添加授权规则
针对zhangsan添加一个规则
规则用来做一个映射,让我们jumpserver里面的用户去关联对应资产里面的哪一台机器的哪一个用户
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23.13 客户端登录jumpserver
用张三用户拿xshell去登录跳板机,并登录跳板机授权的机器。(之前下载的张三的密钥以及显示出来的授权码)
再点击用户验证身份
然后再连接zhangsan
如果没有出现以上jumpserver的界面。出现的是跟平常用户登录的一样的命令行(如下),是因为他的shell不对(如果可查看shell),不应该是/bin/bash,而应该为/opt/jumpserver-0.3.3/init.sh:
[root@axinlinux-04 jumpserver-0.3.3]# echo $SHELL
/bin/bash
[root@axinlinux-04 jumpserver-0.3.3]# vim /etc/passwd
zhangsan:x:1002:1002::/home/zhangsan:/opt/jumpserver-0.3.3/init.sh
lisi:x:1003:1003::/home/lisi:/opt/jumpserver-0.3.3/init.sh
所以要把zhangsan的shell改为/opt/jumpserver-0.3.3/init.sh。再重新登一下就可以了
登陆进来之后,就可以操作了:
Opt or ID>: p #p可以查看有权限登录的机器,最常用就是p,然后输入前面的数字去登录
[ID ] IP Port Hostname SysUser Comment
[0 ] 192.168.208.135 22 dazuoye02-01 [zhangsan]
Opt or ID>: 0 #输入前面的ID数0就可以登录到135机器。但是不能登录本机(也就是跳板机),因为本机无法登本机
Only match Host: dazuoye02-01
Connecting dazuoye02-01 ...
Last login: Sun Dec 2 22:28:41 2018 from 192.168.208.136
[zhangsan@dazuoye02-01 ~]$ #就可以对135机器操作
Opt or ID>: e #也可以ane,批量的执行一些命令
授权包含该系统用户的所有主机
dazuoye02-01
请输入主机名或ansible支持的pattern, 多个主机:分隔, q退出
Pattern>: dazuoye02-01 #输入dazuoye02-01机器
匹配主机:
dazuoye02-01
请输入执行的命令, 按q退出
Cmds>: w #如果是多台就可以全部的显示出来
dazuoye02-01 => Ok
22:43:40 up 1:18, 1 user, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.208.1 22:12 11:24 0.15s 0.12s vim /etc/passwd
~o~ Task finished ~o~
请输入执行的命令, 按q退出
Cmds>: #还可以继续执行
也可以给zhangsan用户sudo一些root的命令,让他去执行root的一些操作
总结:
在jumpserver里面有三种用户:
1.jumpserver用户是我们用来登录web界面的用户。也可以建立一个xshell,因为我们每创建一个jumpserver用户都会生成一个系统用户(/etc/passwd)
2.管理用户是在每一台机器上作为一个管理员用户,他的作用帮我们自动创建系统用户、还可以自动的额帮我们把机器的配置抓下来
3.系统用户就是用来登录客户机的
而授权规则就需要把jumpserver和对应的机器以及系统用户关联起来