三、用戶管理、資產(chǎn)管理、客戶端登錄jumpserver

一、用戶管理

有三種用戶：

1、登錄jumpserver的用戶

在jumpserver用戶管理中創(chuàng)建一個用戶，創(chuàng)建提交后更新可設(shè)置密碼。也可以在系統(tǒng)設(shè)置中設(shè)置郵件，通過發(fā)送郵件的方式設(shè)置密碼。設(shè)置好后即可登錄。登錄web界面的，以及命令行界面的。

2、管理用戶

jumpserver有一個自動化批量執(zhí)行命令的功能，執(zhí)行這個命令的用戶，也可以在遠程機器上創(chuàng)建一個系統(tǒng)用戶，所以這個用戶把它叫做管理用戶。創(chuàng)建一個管理用戶jumpserver，管理用戶最好用私鑰。

#?cd?~/.ssh
#?ssh-keygen?-f?jumpserver????//-f指定密鑰的名字
[root@CLAY?.ssh]#?ls
authorized_keys??id_rsa??id_rsa.pub??jumpserver??jumpserver.pub??known_hosts
[root@CLAY?.ssh]#?sz?jumpserver???//把私鑰下載再選擇該私鑰文件，如果私鑰沒有設(shè)密碼，那jumpserver用戶的密碼處就留空，如果設(shè)置了密碼，就填私鑰的密碼。

3、系統(tǒng)用戶

登錄每臺機器的用戶，通常情況下，和用戶管理中列表里的用戶保持一致，方便去管理。用戶列表里的用戶是登錄jumpserver的，系統(tǒng)用戶是登錄到j(luò)umpserver里以后再跳到系統(tǒng)里去登錄的用戶。通過命令行界面登錄后跳到系統(tǒng)中去的用戶。創(chuàng)建一個系統(tǒng)用戶，定義名稱、用戶名，選擇自動登錄。

二、資產(chǎn)管理

web界面，資產(chǎn)管理→資產(chǎn)列表

左側(cè)的可以認為是主機組，在里面新建一個節(jié)點，這個節(jié)點就相當(dāng)于公司里N多的業(yè)務(wù)，命名業(yè)務(wù)1，在業(yè)務(wù)1中來創(chuàng)建資產(chǎn)。

定義主機名、IP、管理用戶，這個管理用戶必須要到這臺機器上去創(chuàng)建，提交。

#?useradd?jumpserver???
[root@wbs?~]#?ls?-l?/home/jumpserver/
總用量?0

//這個jumpserver用戶是每添加一臺機器都要添加的用戶。由于每增加一個節(jié)點，一個管理的機器都要添加用戶比較麻煩，所以想一個辦法，以后每購買一臺新的阿里云機器也好，物理機也罷，上架初始化的時候就創(chuàng)建這個用戶。

[root@wbs?jumpserver]#?cd?/home/jumpserver/
#?mkdir?.ssh
#?vi?.ssh/authorized_keys

//到j(luò)umpserver那臺機器上把之前生成的公鑰復(fù)制過來cat ~/.ssh/jumpserver.pub，這樣就可以通過密鑰去連接對方機器的jumpserver用戶了。

[root@CLAY?.ssh]#?ssh?-i?jumpserver?jumpserver@192.168.149.133

//測試連接，ssh -i指定私鑰，如果不需要輸入密碼即可登錄到對方機器了，說明配置成功。

不成功的可能性：對方機器公鑰的權(quán)限以及私鑰的權(quán)限、SELinux。

管理用戶必須要具有root的權(quán)限，使用sudo來實現(xiàn)。

兩個方法：

1、jumpserver的UID設(shè)置成0，這種方法不太好。

2、給它設(shè)定sudo權(quán)限。

[root@wbs?jumpserver]#?visudo
...
##?Allow?root?to?run?any?commands?anywhere
jumpserver?ALL=(ALL)????NOPASSWD:?ALL?????//添加一行
root????ALL=(ALL)???????ALL
user1???ALL=(ALL)???????/bin/ls,/bin/chown,/bin/chmod,/bin/tail,/bin/cat
user2???ALL=(ALL)???????ALL
...

[root@wbs?jumpserver]#?su?-?jumpserver???//先登錄到j(luò)umpserver
上一次登錄：六?10月?12?17:29:34?CST?2019從?192.168.149.131pts/1?上
[jumpserver@wbs?~]$?sudo?ls?/root
001??123.fifo??20shell	anaconda-ks.cfg??login	test.fifo
[jumpserver@wbs?~]$?sudo?tail?-5?/etc/shadow
gitlab-prometheus:!!:18166::::::
zhangsan:$6$tgTbTKHN$a9S7trCLv3X/GWYP5cM.RMReQ.cMbjbjrK/0c1HNAmuJNOmDXjaKjbG34QAhQGgTextVxa1jeSFaxMkX49qUt/:18170:0:99999:7:::
saslauth:!!:18171::::::
redis:!!:18172::::::
jumpserver:!!:18181:0:99999:7:::
sudo都執(zhí)行成功了，說明沒問題。先退出這兒。

到資產(chǎn)管理的主機中更新硬件信息，上方可以看到更新成功，實際上把這個任務(wù)交給了作業(yè)中心，再回到資產(chǎn)列表的主機中點進去看硬件信息是否是已經(jīng)更新了。

系統(tǒng)用戶，要把它下發(fā)到資產(chǎn)上去的：

web界面，權(quán)限管理→資產(chǎn)授權(quán)→創(chuàng)建授權(quán)規(guī)則，名稱定義一個系統(tǒng)用戶的名稱，選擇用戶、資產(chǎn)、系統(tǒng)用戶，提交。

把系統(tǒng)用戶中的自動推送功能打開，刷新一下，再到主機中查看，# id zhangsan，即可看到推送到了系統(tǒng)。

三、客戶端登錄jumpserver

重新登錄ssh終端下的jumpserver的機器，輸入p，即可看到你的機器。輸入對應(yīng)的ID數(shù)字，即可直接登錄。

#?cd?/home/zhangsan
#?ls?-la???//看到有.ssh目錄，進去可以看到有密鑰，說明這是通過密鑰登錄進去的。
總用量?12
drwx------.??3?yaowei?yaowei??74?10月?13?11:46?.
drwxr-xr-x.?13?root???root???164?10月?13?11:43?..
-rw-r--r--.??1?yaowei?yaowei??18?8月???3?2017?.bash_logout
-rw-r--r--.??1?yaowei?yaowei?193?8月???3?2017?.bash_profile
-rw-r--r--.??1?yaowei?yaowei?231?8月???3?2017?.bashrc
drwx------.??2?yaowei?yaowei??29?10月?13?11:46?.ssh

再到web界面創(chuàng)建一個jumpserver本機的資產(chǎn)，本機的IP、本機的名字。

然后回到ssh終端創(chuàng)建jumpserver用戶：

#?useradd?jumpserver
#?su?-?jumpserver
[jumpserver@CLAY?~]$?mkdir?.ssh
$?chmod?700?.ssh
$?vi?.ssh/authorized_keys???
$?chmod?600?.ssh/authorized_keys
$?登出
[root@CLAY?~]#?visudo
...
##?Allow?root?to?run?any?commands?anywhere
root????ALL=(ALL)???????ALL
jumpserver?ALL=(ALL)????NOPASSWD:?ALL????//添加一行。

[root@CLAY?.ssh]#?ssh?-i?jumpserver?jumpserver@127.0.0.1???//測試登錄

web界面，授權(quán)規(guī)則，把本機的資產(chǎn)更新增加到原來的規(guī)則中，或者創(chuàng)建新的授權(quán)規(guī)則都行。

再回到j(luò)umpserver的ssh終端中，重新連接一下，輸入p，可以看到本機的資產(chǎn)和前面的資產(chǎn)兩個，輸入數(shù)字即可直接連接。

其他功能：

會話管理：

命令記錄，可以看到用戶執(zhí)行的歷史命令；

歷史會話，可以視頻回放用戶操作的記錄過程；

在線會話，可以看到當(dāng)前正在連接的終端，如果終端它，正在寫的內(nèi)容將不會保存。

新開一個瀏覽器，用自己的用戶登錄，可以看到有web終端，點擊進入，在左側(cè)即可選擇對應(yīng)的業(yè)務(wù)登錄進入。

文件管理，機器下的目錄為/tmp目錄，上傳的文件都會在/tmp目錄里。