linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

发布于 2018-05-22  462 次阅读


创建 jumpserver 普通用户

创建用做 jumpserver 的用户

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

我这里会提示错误,因为在安装 jumpserver 的时候,在设置邮箱那里没设置成功,选择了跳过

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

这时可以返回管理界面,手工设置登陆密码

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

登陆新建的用户,下载密钥

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

这时回到管理员用户的管理界面可以见到,下载密钥的状态变为"NoKey GenOne?"

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

不过因为之前设置新用户的时候出错了,并没有把用户的授权码发给用户的邮箱,这时就需要重新生成密钥,系统会提示授权码是什么

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

再次回到用户的管理界面,下载新生成的密钥,之前下载的作废,之前下载密钥只是为了能重新生成授权码

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

添加机器

经过研究,修复了邮箱发邮件问题,这里主要是为了说明邮箱的作用

创建好用户之后,该用户就可以在 Xhsell 上新建一个主机,使用获得的私钥和密钥密码(授权码)去登陆跳板机了

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

接下来,创建资产

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

回到客户机上,给予之前创建的 jump 用户 sudo 的权限

[root@am-02:~#] visudo

jump    ALL=(ALL)       NOPASSWD: ALL

回到资产管理界面,更新资产的信息,这时会以之前建立的管理用户 jump 来做抓取信息的动作

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

添加系统用户并授权

先在跳板机上手动生成系统用户的密钥待用

[root@am-01:~/.ssh#] ssh-keygen -f zhangsan

Generating public/private rsa key pair.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in zhangsan.

Your public key has been saved in zhangsan.pub.

The key fingerprint is:

79:fb:15:4a:e7:08:17:de:d6:1c:28:ca:2d:13:96:33 root@am-01

The key's randomart image is:

+--[ RSA 2048]----+

|                 |

|          .   .  |

|         E ... . |

|        o.*..o o.|

|        S=o.+ = o|

|         .o= * . |

|          . o o  |

|           . .   |

|            .    |

+-----------------+

创建系统用户,如果提示密钥错误,可以继续点击保存,这是 0.3.2 版本的 bug

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

把系统用户推送到客户机,这时客户机会用管理用户来创建系统用户,同时还会通过系统的密钥生成对应的公钥

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

检查是否推送成功

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

假如推送用户的时候出问题,可以看日志,看是什么问题

[root@am-01:~/.ssh#] cd /home/jumpserver/

[root@am-01:/home/jumpserver#] ls

connect.py           Dockerfile  install  jperm            juser    logs        README.md      static

connect.pyc          docs        jasset   jumpserver       keys     manage.py   run_server.py  templates

docker-compose.yaml  init.sh     jlog     jumpserver.conf  LICENSE  manage.pyc  service.sh

[root@am-01:/home/jumpserver#] cd logs/

[root@am-01:/home/jumpserver/logs#] ls

jumpserver.log  README.md

[root@am-01:/home/jumpserver/logs#] cat jumpserver.log

添加授权规则

设置授权规则,这个限定了哪个 jumpserver 用户和哪个系统用户做了一个绑定,同时还把这个用户和指定资产做了个绑定

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

总结

jumpserver 用户用来登录 jumpserver(web 界面、ssh 登录)

管理用户用来自动创建客户机上的系统用户、批量执行命令等操作

客户机上的系统用户,用来通过 jumpserver 去登录每一台客户机的用户

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

客户端登录 jumpserver

使用 zhangsan 用户登陆 jumpserver 的 web 页面,下载私钥

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

使用 Xshell,密钥方式登陆跳板机

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

linux 学习笔记-092-堡垒机-创建 jumpserver 普通用户,添加机器,添加系统用户并授权,添加授权规则,客户端登录 jumpserver

做一些测试

Opt or ID>: p

[ID ] IP               Port   Hostname SysUser    Comment

[0  ] 172.17.1.242     22     am02 [zhangsan]



Opt or ID>: am02

Only match Host:  am02

Connecting am02 ...

[zhangsan@am-02:~$] exit

登出

Opt or ID>: 0

Only match Host:  am02

Connecting am02 ...

Last login: Wed May 23 00:28:13 2018 from 172.17.1.240

[zhangsan@am-02:~$] exit

登出

#登陆客户机,使用 ID 或者 hostname 都可以
Opt or ID>: e

授权包含该系统用户的所有主机

 am02



请输入主机名或 ansible 支持的 pattern, 多个主机:分隔, q 退出

Pattern>: am02

匹配主机:

 am02



请输入执行的命令, 按 q 退出

Cmds>: w

am02 => Ok

 00:30:16 up 12 days,  5:54,  1 user,  load average: 0.00, 0.11, 0.28

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

root     pts/0    172.17.1.1       18:44   38:16   0.22s  0.22s -bash



~o~ Task finished ~o~



请输入执行的命令, 按 q 退出

#批量执行命令
Opt or ID>:

###    欢迎使用 Jumpserver 开源跳板机系统   ###



        1) 输入 ID 直接登录 或 输入部分 IP,主机名,备注 进行搜索登录(如果唯一).

        2) 输入 / + IP, 主机名 or 备注 搜索. 如: /ip

        3) 输入 P/p 显示您有权限的主机.

        4) 输入 G/g 显示您有权限的主机组.

        5) 输入 G/g + 组 ID 显示该组下主机. 如: g1

        6) 输入 E/e 批量执行命令.

        7) 输入 U/u 批量上传文件.

        8) 输入 D/d 批量下载文件.

        9) 输入 H/h 帮助.

        0) 输入 Q/q 退出.

#ctrl+d 可以显示帮助信息

注:

在跳板机上可以查看 zhangsan 这个用户所用的 shell 为/home/jumpserver/init.sh

[root@am-01:~#] cat /etc/passwd | grep zhangsan

zhangsan:x:1033:1033::/home/zhangsan:/home/jumpserver/init.sh