文章目录
[+]
基本设置
系统设置修合法前站点的url,可以是内网ip,也可以是域名修正一个霸气的Email前缀吧~邮件设置这里没什么好主张的,有的时候SMTP的密码可能是token配置 QQ 邮箱的 SMTP 做事可参考 link配置邮件做事后,点击页面的\"大众测试连接\"大众按钮,如果配置精确,Jumpserver 会发送一条测试邮件到 您的 SMTP 账号邮箱里面,确定收到测试邮件后点击保存即可利用。LDAP假如不用ldap的话就可以不用设置啦~要把稳先测试通过才能保存哟~后面会有专门的章节讲ldap~先跳过吧终端设置录像直接存在本地吧,或者挂载cinder盘,并且指一个软连接安全设置看你心情咯~创建用户
资产管理
(图片来自网络侵删)
|系统|管理员| |----|----| |windows|Administrator(把稳是大写的A!
)| |linux|root|
权限管理
创建授权规则节点,对应的是资产,代表该节点下的所有资产用户组,对应的是用户,代表该用户组下所有的用户节点,用户组,系统用户是一对一的关系,以是当拥有 Linux、Windows 不同类型资产时,该当分别给 Linux 资产和 Windows 资产创建授权规则个人建议:资产授权给个人,节点授权给用户组,一个授权只能选择一个别系用户会话管理
在线会话没啥好说的现在还不支持查看windows资产的在线会话管理员可以直接中断会话历史会话可以查看详情,并且有录像命令记录存放的是用户在资产上实行过哪些命令,单击一行记录,会展示命令实行的结果点击\"大众转到\"大众连接,会跳转到详细的会话页面,如果会话已结束可以查看会话录像,如果会话正在线可中断会话Web 终端用户就利用web终端来掌握资产啦终端管理现在只有两款终端coco:linux终端Gua:windows终端作业中央
作业是 Jumpserver 向其所管理下的资产发送的指令,例如,测试资产可连接性、获取资产硬件信息、测试管理用户可连接性和测试系统用户可连接性等命令,默认展示七天~点击作业名称可以查看作业的详细详情、作业的历史版本以及作业实行的历史记录把稳
用户、系统用户、管理用户的关系
用户:每个公司的同事创建一个用户账号,用来登录Jumpserver系统用户:利用来登录到做事器的用户,如 web, dba, root,张三等,合营sudo实现权限管控管理用户:是做事器上已存在的特权用户,Ansible用来获取硬件信息, 如 root, 或者其它拥有 sudo NOPASSWD: ALL权限的用户这里阐明一下系统用户里面的sudo,比如有个别系用户的权限是这样的 sudo:/usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/head,/usr/bin/tail 意思是许可这个别系用户免密码实行 git、PHP、cat、more、less、head、tail 命令,只要关联了这个别系用户的用户在相应的资产都可以实行这些命令。LDAP 利用解释
LDAP 支持 利用 LADP 与 Windows AD 的用户作为 jumpserver 登任命户LDAP 设置解释LDAP地址 ldap://serverurl:389 或者 ldaps://serverurl:636(须要勾选ssl) 此处是设置LDAP的做事器,推举利用IP,防止解析问题绑定DN cn=admin,dc=jumpserver,dc=org 这里是设置认证用户的信息,jumpserver会利用这个用户去校验ldap的信息是否精确密码 上面认证用户的密码用户OU ou=jumpserver,dc=jumpserver,dc=org 这里是设置用来登录jumpserver的组织单元,比如我要用某个ou的用户来登录jumpserver用户过滤器 (cn=%(user)s) 这里是设置筛选ldap用户的哪些属性LADP属性映射 {\公众username\"大众: \"大众cn\"大众, \"大众name\"大众: \"大众sn\"大众, \公众email\"大众: \公众mail\公众}|用户名|用户名称|邮箱|用户属性| |:----|:----|:----|:----| |username|name|email|jumpserver的用户属性(不可变动)| |cn|sn|mail|ldap的用户属性(可自定义)|坑DN 一定假如完全的DN,不能跳过OU,可以利用其他工具查询如:cn=admin,ou=aaa,dc=jumpserver,dc=org,必须要写成cn=admin,ou=aaa,dc=jumpserver,dc=org 不能缩写成cn=admin,dc=jumpserver,dc=org用户OU 用户OU可以只写顶层OU,不写子OU如:ou=aaa,ou=bbb,ou=ccc,dc=jumpserver,dc=org,可以只写ou=ccc,dc=jumpserver,dc=org,根据需求自行修正用户过滤器 筛选用户的规则,点击测试连接便是根据这个规则到用户OU里面去检索用户,可以自定义规则如:(uid=%(user)s) 或 (sAMAccountName=%(user)s) 等,这里的属性须要与下面的属性映射设置同等LADP属性映射 username name email 这三项不可修正删除,cn sn 可自定义,mail必须存在如:{\"大众username\"大众: \"大众uid\"大众, \公众name\"大众: \"大众sn\"大众, \"大众email\"大众: \公众mail\"大众} 或 {\"大众username\公众: \"大众sAMAccountName\公众, \公众name\公众: \公众cn\公众, \"大众email\"大众: \公众mail\"大众}\公众username\"大众: \公众uid\"大众 这里的 uid 必须和上面的 (uid=%(user)s) 这里的 uid 同等如果上面是(sAMAccountName=%(user)s) 那么下面也该当修正为{\"大众username\"大众: \"大众sAMAccountName\公众上传文件linux上传下载文件利用sftp默认的上传目录在 /tmp ,其他目录没有权限sftp admin@puzhuang.youi:2222 # Linux 语法,admin改为对应的用户名sftp 2222 admin@puzhuang.youi # xshell 语法,admin改为对应的用户名ls 列出资产目录cd 你的资产ls 列出你的系统用户cd 你的系统用户此处即是当前资产的 /tmp 目录windows上传文件直接将文件拖拽至web终端内上传完毕之后会涌现远程桌面硬盘,咱们上传的文件就在这里啦,可以将文件复制到其他分区上(由于远程桌面硬盘里面的东西,关闭终端就消逝惹)windows下载文件将须要下载的文件拖拽到远程桌面文件硬盘内的Download文件夹内,就会在浏览器自动触发下载动作啦
