Jumpserver v2.0.0 堡垒机使用图文说明

sky

一. 用户管理
Jumpserver 2.0.0 版本中增加了部门管理员角色，可以负责管理一个部门的成员和该部门的主机，如果有需要请添加部门，如果服务器或用户较少可以不添加部门和部门管理员
1.1 添加部门
用户管理 -- 添加部门
图片：0.jpg



1.2 添加部门管理员用户
用户管理 -- 添加用户
图片：1.jpg



用户的web登录密码，ssh密钥密码等以邮件发送给所填写的邮箱
图片：2.jpg



查看添加后的用户
图片：3.jpg



1.3 添加普通用户
用户管理 -- 添加用户
图片：4.jpg



查收邮件
图片：5.jpg





图片：6.jpg



1.4 添加用户组
2.0.0版本的jumpserver授权主机或者sudo是以组的形式组织的，所以要建立用户组
用户管理 -- 添加小组 (有人问为何不是添加用户组？ 因为四个字比较好看)
图片：7.jpg





图片：8.jpg



1.5 测试添加的用户
根据邮件说明，登录web
图片：9.jpg



下载ssh密钥，用来登录jumpserver
图片：10.jpg



导入到工具或者使用ssh命令登录jumpserver，本例使用xshell导入
图片：11.jpg



图片：12.jpg



登录jumpserver
图片：13.jpg


图片：14.jpg



图片：15.jpg


二. 资产管理
2.1 添加IDC机房
(重新登录管理员账户)如果有多个IDC机房，可以分别添加IDC机房，如果就那么一个可以不添加，使用默认的即可
资产管理 -- 添加IDC
图片：16.jpg



查看IDC机房
图片：17.jpg



2.2 添加资产
登录方式： 有两种，一中是LDAP也是最主要的方式，服务器需要安装ldap client，另一种是map，也就是映射，该模式用于不能安装ldap的机器，选择该模式后，需要手动填写主机的账号密码，用户从跳板机跳转到该服务器，会以这个用户登录
部门：选择服务器输入哪个部门，也相当于把服务器授权给某个部门，将来该部门管理员可以管理该服务器及授权
所属主机组：刚开始可不填，当选择主机组后，如果该主机组已授权给用户组，则该主机授权给用户组的各个用户
图片：18.jpg



图片：19.jpg



查看资产
图片：20.jpg



2.3 批量添加资产
资产管理 -- 添加资产 -- 批量添加
批量添加资产可以按照格式批量添加资产，对应的各个字段有说明，也有实例
图片：21.jpg



图片：22.jpg



查看资产
图片：23.jpg



2.4 添加主机组
前面也讲过授权是基于组的，最终需要以组形式授权，所以添加主机组
资产管理 -- 添加主机组
图片：24.jpg



查看主机组
图片：25.jpg



三. 授权管理
授权管理是用来授权主机或者sudo，查看用户权限申请并处理的模块
3.1 授权主机组给用户组
授权管理 -- 小组授权 -- 选择用户组 -- 授权编辑
图片：26.jpg



将刚才建立的主机组授权给该用户组
图片：27.jpg



查看授权详情
图片：28.jpg



图片：29.jpg

       

sky

3.2 测试授权
web登录建立的那个普通用户，查看授权的主机
图片：30.jpg



该用户登录jumpserver，使用jumpserver登录授权主机
注： jumpserver正常使用会让 connect.py脚本登录自启动，部署文档后面有说明， 下面的操作为试了方便测试
# cd /opt/jumpserver
# python connect.py

图片：31.jpg



输入p或P 查看所有授权主机
输入g或G 查看授权主机组
输入g或G加上组的ID，查看该组下的主机

图片：32.jpg


输入e 可以进入二级菜单批量在主机执行命令，根据提示输入IP，支持通配符，可以逗号分隔，下面输入执行的命令
注意：报错可能提示没有目录权限，添加该目录并修改权限
# mkdir –p /opt/jumpserver/logs/exec_cmds
# chmod 777  /opt/jumpserver/logs/exec_cmds -p

图片：33.jpg


输入q 可以退出到上一层菜单或者退出

图片：34.jpg


输入ip地址，或者ip的一部分，或者输入主机的备注，或者输入主机的别名(别名是用户在web端对主机的自定义备注)
注意：报错可能提示没有目录权限，添加该目录并修改权限
# mkdir /opt/jumpserver/logs/connect/
# chmod 777 /opt/jumpserver/logs/connect/
图片：35.jpg



图片：36.jpg



3.3 Sudo授权
(重新登录管理员账户)
添加sudo可执行的命令组
授权管理 – sudo授权 -- 添加命令组
图片：37.jpg



查看命令组
图片：38.jpg



sudo授权
授权管理 – sudo授权 -- 查看sudo授权 -- sudo授权
图片：39.jpg



查看sudo授权
图片：40.jpg



可以查看授权了那些主机上执行哪些sudo 命令
3.4 测试sudo命令
想必刚才的终端你还没用退出，使用jumpserver登录后端主机后，sudo测试
图片：41.jpg



四. 日志审计
4.1 监控在线用户操作
日志审计 -- 在线
这时如果你的终端没用退出的话，会看到测试账户
图片：42.jpg



点击监控，可以实时查看用户的操作行为和历史操作记录 (如果不能弹出监控窗，应该是 node index.js程序没有启动)
图片：43.jpg



图片：44.jpg



点击阻断，强行用户断开
图片：45.jpg



4.2 查看历史记录
日志审计 -- 历史记录 -- 命令统计
查看本次登录用户操作的记录 （如果没有日志 可能是log_handler.py程序没有运行）
图片：46.jpg



五. 部门管理员角色的职能
将主机授权给部门管理员后，部门管理员可以管理本部门用户， 可以授权该部门下的主机，上面添加用户时已经添加了 乔峰 为部门管理员，下面将主机授权给乔峰所在部门
5.1 部门授权
在添加主机时，如果将主机设置为某个部门，则直接将主机授权给该部门，可省略下面工作
授权管理 -- 部门授权 -- 授权编辑
图片：47.jpg



5.2 部门管理员登陆 (什么，你忘记密码了？ 去查看邮件吧)
图片：48.jpg



图片：49.jpg



5.3 查看部门管理员相关功能
部门管理员相比超级管理员功能要少些，只能负责该部门的主机授权，用户管理，需要说明的是，新建的用户会默认属于本部门，新添加的主机会属于本部门
快去试试吧！

六. 普通用户web操作
普通用户也可以登录jumpserver web系统，进行一些操作哦
6.1 登录
图片：50.jpg



6.2 浏览浏览
可以四处浏览一下，试试各个功能，仪表盘，个人信息
6.3 申请主机权限
申请主机权限，可以选择申请的主机或者组，发邮件给管理员，管理员收到后会处理申请(对不起，目前申请处理还不是自动的)
权限申请 -- 申请主机
图片：51.jpg



查看申请记录
图片：52.jpg



这时乔峰应该收到了邮件，可以点击链接，或者登陆jumpserver处理申请
图片：53.jpg



登陆乔峰账户，查看权限申请
授权管理 -- 权限审批 -- 未审批
图片：54.jpg



这时苦逼的管理员需要手动为该用户授权，授权完成后点击确认，嘿嘿
6.4 上传文件
上传下载 -- 文件上传
填写ip地址，多个ip逗号隔开，将需要上传的文件或者目录拖拽上去，点击全部上传，上传文件在服务器的/tmp目录下，去看看吧
图片：55.jpg



图片：56.jpg



图片：57.jpg



到此基本的使用已经介绍完了，一些功能比如修改用户信息，删除用户，回收权限没有讲解，自己试试吧，有问题可以群里讨论，Jumpserver是一个年轻的项目，可能存在一些BUG，需要您的及时反馈，帮助我们一起完善项目！