说明视频:
更新log截图编辑: http://Lao guang.blog.51cto.com/6013350/1635853
本篇是使用篇
一.用户管理
在jumpserver2.0. 0版中,添加了部门管理员角色,可以管理部门成员及其部门的主机,根据需要添加部门,如果服务和用户较少,也可以不添加部门和部门管理员
1.1增加部门
用户管理--添加部门
1.2添加部门管理员用户
用户管理--添加用户
用户的web登录密码、ssh密钥密码等通过邮件发送到填写的电子邮件地址
查看添加的用户
1.3添加普通用户
用户管理--添加用户
检查邮件
1.4添加用户组
创建用户组,因为版本2.0.0的jumpserver许可证主机或sudo被组织为组
用户管理--添加组(为什么不是添加用户组? 因为4个字更漂亮)
1.5测试添加的用户
根据邮件说明,登录web
下载用于登录到jumpserver的ssh密钥
导入到工具中或使用ssh命令登录到jumpserver。 本示例使用xshell进行导入
登录到jumpserver
二.资产管理
2.1添加IDC文件室
在存在多个IDC室(重新登录管理员帐户)的情况下,可以分别添加IDC室,在可以仅添加一个IDC室的情况下,使用默认的IDC室即可
资产管理- -添加IDC
浏览IDC文件室
2.2添加资产
登录方法:有两种方法。 一个是LDAP也是最主要的方法。 服务器必须安装LDAP客户端。 另一个是map,也就是映射。 此模式用于无法安装LDAP的机器。 选择此模式后,必须手动输入主机帐户密码。 用户从主板跳到此服务器,然后用此用户登录
部门:选择服务输入到哪个部门也相当于将服务许可给一个部门,将来该部门的管理员可以管理该服务和许可
所属主机组:最初可以不输入。 选择主机组后,如果主机组已被用户组批准,则主机将被用户组中的每个用户批准
查看资源
2.3批量添加资产
资产管理--- -添加资产--- -批量添加
成批增加资产可以根据格式成批增加。 对应的每个字段都有说明,也有示例
查看资源
2.4添加主机组
如上所述,添加主机组,因为许可证是基于组的,最终必须作为组进行许可
资产管理--添加主机组
查看主机组
三.许可证管理
许可证管理是用于批准主机或sudo、查看和处理用户权限申请的模块
3.1将主机组批准为用户组
许可证管理----团队许可证----选择用户组----编辑许可证
向用户组批准刚才创建的主机组
查看许可证详细信息
3.2测试许可证
已建立web登录的一般用户将验证授权的主机
此用户登录到jumpserver,然后使用jumpserver登录到许可证主机
注:登录时,如果以正常方式使用jumpserver,connect.py脚本将自动启动。 部署文档后面有说明。 让下一个操作很容易测试
# cd /opt/jumpserver
# python connect.py
/p>输入p或P 查看所有授权主机
输入g或G 查看授权主机组
输入g或G加上组的ID,查看该组下的主机
输入e 可以进入二级菜单批量在主机执行命令,根据提示输入IP,支持通配符,可以逗号分隔,下面输入执行的命令
注意:报错可能提示没有目录权限,添加该目录并修改权限
# mkdir –p /opt/jumpserver/logs/exec_cmds
# chmod 777 /opt/jumpserver/logs/exec_cmds -p
输入q 可以退出到上一层菜单或者退出
输入ip地址,或者ip的一部分,或者输入主机的备注,或者输入主机的别名(别名是用户在web端对主机的自定义备注)
注意:报错可能提示没有目录权限,添加该目录并修改权限
# mkdir /opt/jumpserver/logs/connect/
# chmod 777 /opt/jumpserver/logs/connect/
3.3 Sudo授权
(重新登录管理员账户)
添加sudo可执行的命令组
授权管理 – sudo授权 -- 添加命令组
查看命令组
sudo授权
授权管理 – sudo授权 -- 查看sudo授权 -- sudo授权
查看sudo授权
可以查看授权了那些主机上执行哪些sudo 命令
3.4 测试sudo命令
想必刚才的终端你还没用退出,使用jumpserver登录后端主机后,sudo测试
四. 日志审计
4.1 监控在线用户操作
日志审计 -- 在线
这时如果你的终端没用退出的话,会看到测试账户
点击监控,可以实时查看用户的操作行为和历史操作记录 (如果不能弹出监控窗,应该是 node index.js程序没有启动)
点击阻断,强行用户断开
4.2 查看历史记录
日志审计 -- 历史记录 -- 命令统计
查看本次登录用户操作的记录 (如果没有日志 可能是log_handler.py程序没有运行)
五. 部门管理员角色的职能
将主机授权给部门管理员后,部门管理员可以管理本部门用户, 可以授权该部门下的主机,上面添加用户时已经添加了 mldxmy 为部门管理员,下面将主机授权给mldxmy所在部门
5.1 部门授权
在添加主机时,如果将主机设置为某个部门,则直接将主机授权给该部门,可省略下面工作
授权管理 -- 部门授权 -- 授权编辑
5.2 部门管理员登陆 (什么,你忘记密码了? 去查看邮件吧)
5.3 查看部门管理员相关功能
部门管理员相比超级管理员功能要少些,只能负责该部门的主机授权,用户管理,需要说明的是,新建的用户会默认属于本部门,新添加的主机会属于本部门
快去试试吧!
六. 普通用户web操作
普通用户也可以登录jumpserver web系统,进行一些操作哦
6.1 登录
6.2 浏览浏览
可以四处浏览一下,试试各个功能,仪表盘,个人信息
6.3 申请主机权限
申请主机权限,可以选择申请的主机或者组,发邮件给管理员,管理员收到后会处理申请(对不起,目前申请处理还不是自动的)
权限申请 -- 申请主机
查看申请记录
这时mldxmy应该收到了邮件,可以点击链接,或者登陆jumpserver处理申请
登陆mldxmy账户,查看权限申请
授权管理 -- 权限审批 -- 未审批
这时苦逼的管理员需要手动为该用户授权,授权完成后点击确认,嘿嘿
6.4 上传文件
上传下载 -- 文件上传
填写ip地址,多个ip逗号隔开,将需要上传的文件或者目录拖拽上去,点击全部上传,上传文件在服务器的/tmp目录下,去看看吧
到此基本的使用已经介绍完了,一些功能比如修改用户信息,删除用户,回收权限没有讲解,自己试试吧,有问题可以群里讨论,Jumpserver是一个年轻的项目,可能存在一些BUG,需要您的及时反馈,帮助我们一起完善项目!