Skip to content

J
jumpserver
Commit cb7ca9bc authored by wojiushixiaobai's avatar wojiushixiaobai
Browse files
Options

[更新文档]

parent adb89593
Hide whitespace changes
Inline Side-by-side
Showing with 177 additions and 596 deletions
docs/admin_asset.rst
View file @ cb7ca9bc
资产管理 资产管理
============= =============
一、资产 一、资产列表
````````````````` `````````````````
1.1 管理资产树 1.1 管理资产树
资产树节点不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作。 资产树节点不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作。
.. image:: _static/img/asset_tree.jpg .. image:: _static/img/admin_assets_asset_list.jpg
1.2 为资产树节点分配资产 1.2 为资产树节点创建资产
在资产列表页面, 选择要添加资产的节点, 右键, 选择添加资产到节点 在资产列表页面, 先在左侧选择资产要加入的节点, 然后在右侧选择创建资产
.. image:: _static/img/add_asset_to_node.jpg .. image:: _static/img/admin_assets_asset_create.jpg
选择要被添加的资产, 点击"确认"即可。 二、网域列表
`````````````````
.. image:: _static/img/select_asset_to_node.jpg 网域功能是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录。
1.3 删除节点资产 2.1 网域列表
选择要被删除的节点, 选择"从节点删除", 点击"提交"即可。 .. image:: _static/img/admin_assets_domain_list.jpg
.. image:: _static/img/delete_asset_from_node.jpg 2.2 创建网域
二、标签 .. image:: _static/img/admin_assets_domain_create.jpg
````````````````
2.1 创建标签 2.3 网关列表
点击页面左上角"创建标签"按钮, 进入创建标签页面: .. image:: _static/img/admin_assets_domain_gateway_list.jpg
给资产打上标签便于查询和管理。标签信息有名称和值:名称可以是描述功能信息, 例如:用途, 值则可以是具体信息, 例如:组织1-部门1-研发。标签创建的时候可以选择为已存在的资产打上该标签。 2.4 创建网关
.. image:: _static/img/admin_label_create.jpg .. image:: _static/img/admin_assets_domain_gateway_create.jpg
标签名称可以重名, 一个资产可以有多个标签产。标签删除, 资产上的标签信息会自动消失:
.. image:: _static/img/admin_label_delete.jpg
三、管理用户 三、管理用户
````````````````````` `````````````````````
3.1 创建管理用户 管理用户是资产(被控服务器)上的root,或拥有 NOPASSWD: ALL sudo权限的用户, Jumpserver使用该用户来 `推送系统用户`、`获取资产硬件信息`等。 暂不支持 Windows或其它硬件, 可以随意设置一个
管理用户是服务器的 root, 或拥有 NOPASSWD: ALL sudo 权限的用户, Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。
名称可以按资产树来命名。用户名 root。密码和 SSH 私钥必填一个。 3.1 管理用户列表
.. image:: _static/img/create_asset_admin_user.jpg .. image:: _static/img/admin_assets_admin-user_list.jpg
3.2 创建 Windows 管理用户 3.2 创建管理用户
同 Linux 系统的管理用户一样, 名称可以按资产树来命名, 用户名是管理员用户名, 密码是管理员的密码。 .. image:: _static/img/admin_assets_admin-user_create.jpg
.. image:: _static/img/create_windows_admin.jpg
四、系统用户 四、系统用户
````````````````````` `````````````````````
4.1 创建系统用户 系统用户是 Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(`ssh web@some-host`), 而不是使用某个用户的用户名跳转登录服务器(`ssh xiaoming@some-host`); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。 系统用户创建时,如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中,如果资产(交换机、windows)不支持ansible, 请手动填写账号密码。目前还不支持Windows的自动推送
4.1 系统用户列表
系统用户是 Jumpserver 跳转登录资产时使用的用户, 可以理解为登录资产用户, 如 web, sa, dba('ssh web@some-host'), 而不是使用某个用户的用户名跳转登录服务器('ssh xiaoming@some-host'); 简单来说是 用户使用自己的用户名登录 Jumpserver, Jumpserver 使用系统用户登录资产。 .. image:: _static/img/admin_assets_system-user_list.jpg
系统用户创建时, 如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中, 如果资产(交换机、Windows)不支持 Ansible, 请手动填写账号密码。 4.2 创建系统用户
Linux 系统协议项务必选择 ssh 。如果用户在系统中已存在, 请去掉自动生成密钥、自动推送勾选。 .. image:: _static/img/admin_assets_system-user_create_01.jpg
.. image:: _static/img/admin_assets_system-user_create_02.jpg
.. image:: _static/img/create_asset_system_user.jpg 五、标签管理
````````````````
.. _update_admin_system_user: 给资产打上标签便于查询和管理。标签信息有名称和值:名称可以是描述功能信息, 例如:用途, 值则可以是具体信息, 例如:组织1-部门1-研发。标签创建的时候可以选择为已存在的资产打上该标签。
4.2 创建 Windows 系统系统用户 5.1 标签列表
由于目前 Windows 不支持自动推送, 所以 Windows 的系统用户设置成与管理用户同一个用户。 .. image:: _static/img/admin_assets_label_list.jpg
Windows 资产协议务必选择 rdp。 5.2 创建标签
.. image:: _static/img/create_windows_user.jpg 点击页面左上角"创建标签"按钮, 进入创建标签页面:
五、资产 .. image:: _static/img/admin_assets_label_create.jpg
````````````
5.1 创建资产
点击页面左侧的"资产管理"菜单下的"资产列表"按钮, 查看当前所有的资产列表。 标签名称可以重名, 一个资产可以有多个标签产。标签删除, 资产上的标签信息会自动消失
点击页面左上角的"创建资产"按钮, 进入资产创建页面, 填写资产信息。 六、命令过滤
````````````````
IP 地址和管理用户要确保正确, 确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 信息只用于展示, 可不填, Jumpserver 连接资产主机使用的是 IP 信息。 系统用户可以绑定一些命令过滤器,一个过滤器可以定义一些规则 当用户使用这个系统用户登录资产,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配, 当一个规则匹配到了,如果规则的动作是 允许, 这个命令会被放行, 如果规则的动作是 禁止,命令将会被禁止执行, 否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行
.. image:: _static/img/create_asset.jpg 6.1 命令过滤器列表
资产创建信息填写好保存之后, 可测试资产是否能正确连接: .. image:: _static/img/admin_assets_cmd-filter_list.jpg
.. image:: _static/img/check_asset_connect.jpg 6.2 创建命令过滤器
如果资产不能正常连接, 请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上。 .. image:: _static/img/admin_assets_cmd-filter_create.jpg
5.2 创建 Windows 资产 6.3 命令过滤器规则列表
同创建 Linux 资产一样。 .. image:: _static/img/admin_assets_cmd-filter_rule_list.jpg
创建 Windows 资产, 系统平台请选择正确的 Windows, 端口号为3389, IP 和 管理用户请正确选择, 确保管理用户能正确登录到指定的 IP 主机上。 6.4 创建规则
.. image:: _static/img/create_windows_asset.jpg .. image:: _static/img/admin_assets_cmd-filter_rule_create.jpg
docs/admin_audits.rst 0 → 100644
View file @ cb7ca9bc
日志审计
=========
一、登陆日志
.. image:: _static/img/admin_audits_login-log_list.jpg
二、FTP日志
.. image:: _static/img/admin_audits_ftp-log_list.jpg
三、操作日志
.. image:: _static/img/admin_audits_operate-log_list.jpg
四、改密日志
.. image:: _static/img/admin_audits_password-change-log_list.jpg
五、批量命令
.. image:: _static/img/admin_audits_command-execution-log_list.jpg
docs/admin_create_asset.rst deleted 100644 → 0
View file @ adb89593
快速入门
==================
说明
``````````
- 到 Jumpserver 会话管理-终端管理 查看 Coco Guacamole 等应用是否在线
一、系统设置
````````````````````
**1.1 基本设置**
----------------
.. code-block:: vim
# 修改 url 的"localhost"为你的实际 url 地址, 否则邮件收到的地址将为"localhost" 也无法创建新用户
.. image:: _static/img/basic_setting.jpg
**1.2 邮件设置**
----------------
.. code-block:: vim
# 点击页面上边的"邮件设置", 进入邮件设置页面
# 默认使用 25 端口, 不勾选 SSL 和 TLS; 如果需要勾选 SSL, 端口需要修改成 465; 如果需要勾选 TLS, 端口需要改成 587
# 不可以同时勾选 SSL 和 TLS
# 配置邮件服务后, 点击页面的"测试连接"按钮, 如果配置正确, Jumpserver 会发送一条测试邮件到您的 SMTP 账号邮箱里面, 确定收到测试邮件后点击保存即可使用
.. image:: _static/img/smtp_setting.jpg
**1.3 LDAP设置**
-----------------
.. code-block:: vim
# 如果不需要使用"ldap"用户登陆 jumpserver, 可以直接跳过, 不需要设置
# 先"测试"通过才能保存
# DN 和 OU 一定要完整(如 "DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org")
# 注:可借用第三方 gui 工具查看 ldap 用户的属性, 新版本已经支持中文名登录, 即cn=中文也可正常使用
.. image:: _static/img/ldap_setting.jpg
参考 `LDAP 使用说明 <faq_ldap.html>`_
**1.4 终端设置**
----------------
.. code-block:: vim
# "密码认证"和"密钥认证"是 SSH 连接跳板机时所使用的认证方式(都不选会造成无法使用 SSH 方式连接登录跳板机, 不影响 web 登录)
# "命令存储""录像存储"位置设置
# "Telnet成功正则表达式" telnet设备登陆失败需要设置
# 修改后, 需要修改在Jumpserver 会话管理-终端管理 修改terminal的配置 录像存储 命令记录, 然后重启 Jumpserver 服务
# 设置后重启 Coco 才能生效
**1.5 安全设置**
----------------
.. code-block:: vim
# "MAF二次认证"勾选会开启全局强制"MFA", 所有jumpserver用户必须使用动态口令进行认证登录(即时生效)
# "限制登录失败"和"限制登录时间"设置需要重启jumpserver才能生效
# "SSH最大空闲时间"设置需要重启jumpserver才能生效
# "密码校验规则"设置立即生效
二、用户管理
`````````````````````
**2.1 创建 Jumpserver 用户**
----------------------------
.. code-block:: vim
# 点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面
# 点击页面左上角"创建用户"按钮, 进入创建用户页面, (也可以通过右上角导入模版进行用户导入)
# 其中, 用户名即 Jumpserver 登录账号(具有唯一性, 不能重名)。名称为页面右上角用户标识(可重复)
# 成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱
# 点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。
# 用户首次登录 Jumpserver, 会被要求完善用户信息, 按照向导操作即可。
注:MFA 即 Google Authenticator, 使用此软件需要APP时间与浏览器时间同步
.. image:: _static/img/admin_user.jpg
三、资产管理
``````````````````
**3.1 创建 Linux 资产**
------------------------
**3.1.1 编辑资产树**
.. code-block:: vim
# 节点不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作
# 注:如果有 linux 资产和 windows 资产, 建议先建立 Linux 节点与 Windows 节点, 不然授权时不好处理
.. image:: _static/img/asset_tree.jpg
**3.1.2 创建管理用户**
.. code-block:: shell
# "管理用户"是资产上的 root, 或拥有 NOPASSWD: ALL sudo 权限的用户, Jumpserver 使用该用
户来推送系统用户、获取资产硬件信息等
# 如果使用ssh私钥管理资产, 需要先在资产上设置, 这里举个例子供参考(本例登录资产使用root为例)
(1). 在资产上生成 root 账户的公钥和私钥
$ ssh-keygen -t rsa # 默认会输入公钥和私钥文件到 ~/.ssh 目录
(2). 将公钥输出到文件 authorized_keys 文件, 并修改权限
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
$ chmod 400 ~/.ssh/authorized_keys
(3). 打开RSA验证相关设置
$ vi /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
(4). 重启 ssh 服务
$ service sshd restart
(5). 上传 ~/.ssh 目录下的 id_rsa 私钥到 jumpserver 的管理用户中
# 这样就可以使用 ssh私钥 进行管理服务器
# 名称可以按资产树来命名。用户名root。密码和 SSH 私钥必填一个
.. image:: _static/img/create_asset_admin_user.jpg
**3.1.3 创建系统用户**
.. code-block:: vim
# "系统用户"是 Jumpserver 跳转登录资产时使用的用户, 用户使用该用户登录资产
# "自动生成密码"、"自动推送"、"Sudo"等功能需要对应资产的"管理用户"有root权限, 否则自动推送失败
# "系统用户"的"Sudo"栏设定用户的sudo权限
# 如果创建的"系统用户"已在资产上面存在, "推送"将会覆盖掉原用户的"home"目录权限(注: 替换成700权限)
# 这里简单举几个例子
Sudo /bin/su # 当前系统用户可以免sudo密码执行sudo su命令
  Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail
# 当前系统用户可以免sudo密码执行git php cat more less tail
Sudo !/usr/bin/yum # 禁止执行 yum 权限
# 此处的权限应该根据使用用户的需求汇总后定制, 原则上给予最小权限即可
# 下图为不允许用户执行一些危险的操作, 允许其他的所有权限
.. image:: _static/img/create_user_sudo.jpg
.. code-block:: vim
# "系统用户"创建时, 如果选择了"自动推送" Jumpserver 会使用"Ansible"自动推送系统用户到资产中,
# 如果资产(交换机、Windows)不支持"Ansible", 请去掉"自动生成密钥"、"自动推送"勾选。手动填写资产上已有的账号及账号密码
# 如果想让用户登录资产时自己输入密码, 可以在创建系统用户时选择"手动登录"
.. image:: _static/img/create_asset_system_user.jpg
**3.1.4 创建资产**
.. code-block:: vim
# 点击页面左侧的"资产管理"菜单下的"资产列表"按钮, 查看当前所有的资产列表。
# 点击页面左上角的"创建资产"按钮, 进入资产创建页面, 填写资产信息。
# IP 地址和管理用户要确保正确, 确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。
# 资产的系统平台也务必正确填写。公网 IP 信息只用于展示, 可不填, Jumpserver 连接资产使用的是 IP 信息。
.. image:: _static/img/create_asset.jpg
.. code-block:: vim
# 资产创建信息填写好保存之后, 可"测试资产"是否能正确连接
注:被连接资产需要"python"组件, 且版本大于等于2.6, Ubuntu等资产默认不允许root用户远程ssh登录, 请自行处理
# 如果资产不能正常连接, 请检查"管理用户"的用户名和密钥是否正确以及该"管理用户"是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上
.. image:: _static/img/check_asset_connect.jpg
参考 `SSH协议 资产连接说明 <faq_ssh.html>`_
**3.2 创建 Windows 资产**
-------------------------
**3.2.1 创建 Windows 系统管理用户**
.. code-block:: vim
注:同 Linux 系统的"管理用户"一样, 名称可以按"资产树"来命名, 用户名是管理员用户名, 密码是管理员的密码
.. image:: _static/img/create_windows_admin.jpg
**3.2.2 创建 Windows 系统系统用户**
.. code-block:: vim
# 目前 Windows 暂不支持"自动推送", 用户必须在系统中存在且有权限使用"远程连接", 请确认资产的"防火墙"已经开放
注:"Windows 资产"协议务必选择"rdp"
# 如果想让用户登录资产时自己输入密码, 可以在"系统用户"设置"手动登录"
.. image:: _static/img/create_windows_user.jpg
**3.2.3 创建 Windows 资产**
.. code-block:: vim
# Windows 7/8/2008/2012 "系统平台"选择 "Windows"
# Windows 10/2016 "系统平台"选择 "Windows(2016)"
# 创建 Windows 资产, "系统平台"请选择正确的 Windows, 默认"RDP"端口号为 3389, "IP" 和"管理用户"请正确选择
# 注:确保"管理用户"能正确登录到指定的 IP 主机上
.. image:: _static/img/create_windows_asset.jpg
参考 `RDP协议 资产连接说明 <faq_rdp.html>`_
**3.3 网域列表**
----------------
.. code-block:: vim
# "网域"功能是为了解决部分环境无法直接连接而新增的功能, 原理是通过网关服务器进行跳转登录
# 点击页面左侧的"网域列表"按钮, 查看所有网域列表
# 点击页面左上角的"创建网域"按钮, 进入网域创建页面, 选择资产里用作网域的网关服务器
# 注:混合云适用
.. image:: _static/img/create_domain.jpg
.. code-block:: vim
# 点击"网域"的名称, 进入"网域详情"列表。
# 点击页面的"网关"按钮, 选择网关列表的"创建网关"按钮, 进入网关创建页面, 填写网关信息。
# IP信息一般默认填写网域资产的IP即可(如用作网域的资产有多块网卡和IP地址, 选能与jumpserer通信的任一IP即可)
注:用户名与密码可以使用网关资产上已存在的任一拥有执行 ssh 命令权限的用户
.. image:: _static/img/create_geteway.jpg
.. code-block:: vim
注: 保存信息后点击"测试连接", 确定设置无误后到资产列表添加需要使用"网关"登录的资产即可。
注: "Windows资产"可以使用"ssh网关"
.. image:: _static/img/create_asset02.jpg
**3.4 资产节点管理**
---------------------
**3.4.1 为资产树节点分配资产**
.. code-block:: vim
# 在"资产列表"页面, 选择要添加资产的"节点", 右键, 选择添加资产到"节点"(一台资产可以同时在多个节点下面)
.. image:: _static/img/add_asset_to_node.jpg
.. code-block:: vim
# 选择要被添加的"资产", 点击"确认"即可。
.. image:: _static/img/select_asset_to_node.jpg
**3.4.2 删除节点资产**
.. code-block:: vim
# 选择要被删除的节点, 选择"从节点删除", 点击"提交"即可。
.. image:: _static/img/delete_asset_from_node.jpg
四、创建授权规则
`````````````````````
**4.1 为用户分配资产**
----------------------
.. code-block:: vim
# "名称", 授权的名称, 不能重复
# "用户"和"用户组"二选一, 不推荐即选择用户又选择用户组
# "资产"和"节点"二选一, 选择节点会包含节点下面的所有资产
# "系统用户", 及所选的用户或用户组下的用户能通过该系统用户使用所选节点或者节点下的资产
# 用户(组), 资产(节点), 系统用户是一对一的关系, 所以当拥有 Linux、Windows 不同类型资产时,
# 应该分别给 Linux 资产和 Windows 资产创建授权规则。
资产授权与节点授权的区别请参考下面示例, 一般情况下, 资产授权给个人, 节点授权给用户组, 一个授权只能选择一个系统用户
.. image:: _static/img/create_auth_rules01.jpg
.. image:: _static/img/create_auth_rules02.jpg
.. code-block:: vim
注:创建的授权规则, 节点要与资产所在的节点一致
.. image:: _static/img/auth_rule_list.jpg
.. code-block:: vim
# 原则上, 一个授权只能同时授予一个用户或者一个组
# 意思是:把个人的资产授权给个人, 把部门的资产授权给部门, 把项目的资产授权给项目...
五、用户使用资产
`````````````````````
**5.1 登录 Jumpserver**
-----------------------
.. code-block:: vim
# 用户只能看到自己被管理员授权了的"资产", 如果登录后无资产, 请联系管理员进行确认
.. image:: _static/img/user_login_success.jpg
**5.2 使用资产**
----------------
**5.2.1 连接资产**
.. code-block:: vim
# 点击页面左边的 "Web 终端"
.. image:: _static/img/link_web_terminal.jpg
.. code-block:: vim
# 打开资产所在的节点:
.. image:: _static/img/luna_index.jpg
.. code-block:: vim
# 点击"资产"名字, 就连上资产了, 整个过程不需要用户输入资产的任何信息
# 如果显示连接超时, 请参考FAQ文档进行处理
.. image:: _static/img/windows_assert.jpg
**5.2.2 断开资产**
.. code-block:: vim
# 点击页面顶部的"Server"按钮会弹出选个选项, 第一个断开所选的连接, 第二个断开所有连接。
.. image:: _static/img/disconnect_assert.jpg
以上就是 Jumpserver 的简易入门了, Jumpserver 还有很多功能等待您去发现。在使用过程中, 如果遇到什么问题, 可以在文档的"联系方式"一栏找到我们。
docs/admin_guide.rst
View file @ cb7ca9bc
...@@ -7,10 +7,10 @@ ...@@ -7,10 +7,10 @@
:maxdepth: 1 :maxdepth: 1
admin_instruction admin_instruction
admin_create_asset
admin_user admin_user
admin_asset admin_asset
admin_permission admin_perms
admin_session admin_terminal
admin_work_center admin_ops
admin_system_settings admin_audits
admin_settings
docs/admin_instruction.rst
View file @ cb7ca9bc
...@@ -6,7 +6,7 @@ ...@@ -6,7 +6,7 @@
组件说明 组件说明
================= `````````````
Jumpserver Jumpserver
````````````` `````````````
......
docs/admin_work_center.rst docs/admin_ops.rst
View file @ cb7ca9bc
作业中心 作业中心
============== ==============
一、任务列表
`````````````````````
作业是 Jumpserver 向其所管理下的资产发送的指令, 例如, 测试资产可连接性、获取资产硬件信息、测试管理用户可连接性和测试系统用户可连接性等命令。默认展示最近7天的作业记录。 作业是 Jumpserver 向其所管理下的资产发送的指令, 例如, 测试资产可连接性、获取资产硬件信息、测试管理用户可连接性和测试系统用户可连接性等命令。默认展示最近7天的作业记录。
.. image:: _static/img/admin_work_center.jpg .. image:: _static/img/admin_ops_task_list.jpg
点击作业名称可以查看作业的具体详情、作业的历史版本以及作业执行的历史记录
二、批量命令
`````````````````````
点击作业名称可以查看作业的具体详情、作业的历史版本以及作业执行的历史记录: 可以通过该功能快速下发命令到资产, 目前仅支持能被 ansible 管理的资产, 要求 系统用户 登陆方式为 自动登陆
.. image:: _static/img/admin_work_detail.jpg .. image:: _static/img/admin_ops_command-execution_start.jpg
docs/admin_permission.rst docs/admin_perms.rst
View file @ cb7ca9bc
...@@ -4,7 +4,13 @@ ...@@ -4,7 +4,13 @@
一、资产授权 一、资产授权
````````````````````` `````````````````````
1.1 创建授权规则 把资产授权给用户后, 用户才能在 "我的资产" 里面看到资产, 配置正确后用户才能正常连接资产
1.1 查看授权列表
.. image:: _static/admin_perms_asset-permission_list.jpg
1.2 创建授权规则
节点, 对应的是资产, 代表该节点下的所有资产。 节点, 对应的是资产, 代表该节点下的所有资产。
...@@ -14,7 +20,6 @@ ...@@ -14,7 +20,6 @@
节点, 用户组, 系统用户是一对一的关系, 所以当拥有 Linux、Windows 不同类型资产时, 应该分别给 Linux 资产和 Windows 资产创建授权规则。 节点, 用户组, 系统用户是一对一的关系, 所以当拥有 Linux、Windows 不同类型资产时, 应该分别给 Linux 资产和 Windows 资产创建授权规则。
资产授权与节点授权的区别请参考下面示例, 一般情况下, 资产授权给个人, 节点授权给用户组, 一个授权只能选择一个系统用户 资产或节点可以授权给个人或用户组, 一个授权建议只指定一个系统用户 (多系统用户会按照优先级进行排序, 高优先自动登陆, 同时存在多个并级系统用户时,用户需要自己选择系统用户)
.. image:: _static/img/create_auth_rules01.jpg .. image:: _static/img/admin_perms_asset-permission_create.jpg
.. image:: _static/img/create_auth_rules02.jpg
docs/admin_system_settings.rst docs/admin_settings.rst
View file @ cb7ca9bc
系统设置 系统设置
============= =============
点击页面左侧"系统设置"按钮, 进入系统设置页面, 查看基本设置、邮件设置、LDAP 设置和终端设置等内容。 点击页面左侧 "系统设置" 按钮, 进入系统设置页面, 查看基本设置、邮件设置、LDAP 设置和终端设置等内容。
.. _basic_settings:
一、基本设置 一、基本设置
````````````````````` `````````````````````
点击页面上边的"基本设置" TAB, 进入基本设置页面, 编辑当前站点 URL、用户想到 URL、Email 主题前缀等信息, 点击"提交"按钮, 基本设置完成。 点击页面上边的 "基本设置" 按钮, 进入基本设置页面, 编辑当前站点 URL、用户想到 URL、Email 主题前缀等信息, 点击"提交"按钮, 基本设置完成。
.. image:: _static/img/basic_setting.jpg .. image:: _static/img/admin_settings_list.jpg
二、邮件设置 二、邮件设置
```````````````````` ````````````````````
点击页面上边的"邮件设置" TAB, 进入邮件设置页面: 点击页面上边的 "邮件设置" 按钮, 进入邮件设置页面:
.. image:: _static/img/smtp_setting.jpg
配置 QQ 邮箱的 SMTP 服务可参考(http://blog.csdn.net/Aaron133/article/details/78363844)
配置邮件服务后, 点击页面的"测试连接"按钮, 如果配置正确, Jumpserver 会发送一条测试邮件到您的 SMTP 账号邮箱里面: .. image:: _static/img/admin_settings_email_list.jpg
.. image:: _static/img/smtp_test.jpg
三、LDAP 设置 三、LDAP 设置
```````````````````````` ````````````````````````
点击页面上边的" LDAP 设置" TAB, 进入 LDAP 设置页面, 编辑 LDAP 地址、DN、用户 OU、用户过滤器、LDAP 属性映射和是否使用 SSL、是否启用 LDAP 认证等信息, 点击"测试连接"按钮, 测试是否正确设置, 点击"提交"按钮, 完成 LDAP 设置。 点击页面上边的" LDAP 设置" 按钮, 进入 LDAP 设置页面, 编辑 LDAP 地址、DN、用户 OU、用户过滤器、LDAP 属性映射和是否使用 SSL、是否启用 LDAP 认证等信息, 点击"测试连接"按钮, 测试是否正确设置, 点击"提交"按钮, 完成 LDAP 设置。
如果这里有问题请手动用 ldapsearch命令测试一下, 如果能唯一搜索出这个用户代表你的设置是对的, 然后根据用户的属性填写映射关系 .. image:: _static/img/admin_settings_ldap_list.jpg
.. image:: _static/img/ldapsearch.png 如果这里有问题请手动用 ldapsearch命令测试一下, 如果能唯一搜索出这个用户代表你的设置是对的, 然后根据用户的属性填写映射关系
:alt: LDAP搜索实例
:: ::
...@@ -60,11 +51,21 @@ ...@@ -60,11 +51,21 @@
objectClass: shadowAccount objectClass: shadowAccount
... ...
可以参考 "FAQ文档" 的 "LDAP 使用说明"
四、终端设置 四、终端设置
```````````````````` ````````````````````
点击页面上边的"终端设置" TAB, 进入终端设置页面, 编辑终端信息, 点击"提交"按钮, 终端设置完成。 点击页面上边的 "终端设置" 按钮, 进入终端设置页面, 编辑终端信息, 点击"提交"按钮, 终端设置完成。
资产列表排序项, 可以选择按主机名或者 IP 来排序, 默认是按主机名排序。心跳间隔指的是 Coco 和 Gua 等终端向 Jumpserver 发送心跳信息的频率, 如果 Jumpserver 长时间(1个小时)未收到 Coco 和 Gua 发送的心跳数据, Jumpserver 则认为该终端也"死掉", 在"会话管理"下的"终端管理"页面会显示该终端已掉线。 资产列表排序项, 可以选择按主机名或者 IP 来排序, 默认是按主机名排序。心跳间隔指的是 Coco 和 Gua 等终端向 Jumpserver 发送心跳信息的频率, 如果 Jumpserver 长时间(1个小时)未收到 Coco 和 Gua 发送的心跳数据, Jumpserver 则认为该终端也"死掉", 在"会话管理"下的"终端管理"页面会显示该终端已掉线。
.. image:: _static/img/admin_terminal_settings.jpg .. image:: _static/img/admin_settings_terminal_list_01.jpg
.. image:: _static/img/admin_settings_terminal_list_02.jpg
五、安全设置
点击页面上边的 "安全设置" 按钮, 进入安全设置页面
.. image:: _static/img/admin_terminal_security_list_01.jpg
.. image:: _static/img/admin_terminal_security_list_02.jpg
docs/admin_session.rst docs/admin_terminal.rst
View file @ cb7ca9bc
...@@ -28,7 +28,7 @@ ...@@ -28,7 +28,7 @@
时长:在线时长。 时长:在线时长。
.. image:: _static/img/admin_session_online.jpg .. image:: _static/img/admin_terminal_session-online_list.jpg
可以查看指定的在线记录, 比如, 指定用户、资产或系统用户。 可以查看指定的在线记录, 比如, 指定用户、资产或系统用户。
...@@ -36,8 +36,6 @@ ...@@ -36,8 +36,6 @@
管理员可以手动中断当前在线的会话。 管理员可以手动中断当前在线的会话。
.. image:: _static/img/admin_session_disconnect.jpg
已中断的会话会记录到"历史会话"里面。 已中断的会话会记录到"历史会话"里面。
...@@ -48,40 +46,38 @@ ...@@ -48,40 +46,38 @@
历史会话同在线会话包含的信息一样, 都有用户、资产和 IP 地址等信息。 历史会话同在线会话包含的信息一样, 都有用户、资产和 IP 地址等信息。
.. image:: _static/img/admin_session_history.jpg .. image:: _static/img/admin_terminal_session-offline_list.jpg
2.2 查看历史话录像 2.2 查看历史话录像
Jumpserver 提供历史会话的录像观看。点击左侧的"回放"按钮, 即可观看录像。 Jumpserver 提供历史会话的录像观看。点击左侧的"回放"按钮, 即可观看录像。
.. image:: _static/img/admin_session_history_video.jpg
三、命令记录 三、命令记录
``````````````````````` ```````````````````````
命令记录里面存放的是用户在资产上执行过哪些命令, 单击一行记录, 会展示命令执行的结果: 命令记录里面存放的是用户在资产上执行过哪些命令, 单击一行记录, 会展示命令执行的结果:
.. image:: _static/img/admin_session_command.jpg .. image:: _static/img/admin_terminal_command_list.jpg
点击"转到"连接, 会跳转到详细的会话页面, 如果会话已结束可以查看会话录像, 如果会话正在线可中断会话: 点击"转到"连接, 会跳转到详细的会话页面, 如果会话已结束可以查看会话录像, 如果会话正在线可中断会话:
.. image:: _static/img/admin_session_command_detail.jpg
四、Web 终端 四、Web 终端
`````````````````````````` ``````````````````````````
Web 终端是资产使用界面, 管理员和用户都是从这里登录到资产上, 执行操作。点击资产名字连接资产, 点击"Server"下的"Disconnect"断开资产连接。 Web 终端是资产使用界面, 管理员和用户都是从这里登录到资产上, 执行操作。点击资产名字连接资产, 点击"Server"下的"Disconnect"断开资产连接。
.. image:: _static/img/admin_web_terminal.jpg .. image:: _static/img/admin_terminal_web-terminal_list.jpg
五、文件管理 五、文件管理
``````````````````````` ```````````````````````
文件管理允许对 SSH 协议资产进行文件上传下载创建删除操作(不支持上传文件夹), 目前也不支持系统用户是手动登录的资产 文件管理允许对 SSH 协议资产进行文件上传下载创建删除操作(不支持上传文件夹), 目前也不支持系统用户是手动登录的资产
.. image:: _static/img/admin_terminal_web-sftp_list.jpg
六、终端管理 六、终端管理
``````````````````````` ```````````````````````
终端列表页面列出了 Jumpserver 正在使用的终端有哪些, 例如:Coco、Gua 等。终端第一次使用, 会首先向 Jumpserver 发送请求注册, 在 Jumpserver 中接受注册后就可以正常使用该终端了。 终端列表页面列出了 Jumpserver 正在使用的终端有哪些, 例如:Coco、Gua 等。终端第一次使用, 会首先向 Jumpserver 发送请求注册, 在 Jumpserver 中接受注册后就可以正常使用该终端了。
.. image:: _static/img/admin_terminal_list.jpg .. image:: _static/img/admin_terminal_terminal_terminal_list.jpg
docs/admin_user.rst
View file @ cb7ca9bc
用户管理 用户管理
============= =============
一、用户组 一、用户列表
````````````````
1.1 创建用户组
用户组, 顾名思义, 给用户分组。用户组信息很有用, 在分配资产权限的时候, 针对的某个用户组下的所有用户, 可以为一个用户分配多个用户组。
点击页面左侧"用户管理"菜单下的"用户组", 进入用户组列表页面。
.. image:: _static/img/admin_user_group_list.jpg
点击页面左上角"创建用户组"按钮, 进入创建用户组页面:
名称即用户组名称, 建议填写简单明了有用的信息。创建用户组的时候可以把已存在的用户加入到该分组中, 一个用户可以存在多个分组中。
.. image:: _static/img/admin_create_user_group.jpg
二、用户
``````````````````` ```````````````````
2.1 创建用户
1.1 创建用户
点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面。 点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面。
.. image:: _static/img/admin_users_user_list.jpg
点击页面左上角"创建用户"按钮, 进入创建用户页面, 填写账户, 角色安全, 个人等信息。 点击页面左上角"创建用户"按钮, 进入创建用户页面, 填写账户, 角色安全, 个人等信息。
其中, 用户名即 Jumpserver 登录账号。用户组是用于资产授权, 当某个资产对一个用户组授权后, 这个用户组下面的所有用户就都可以使用这个资产了。角色用于区分一个用户是管理员还是普通用户。 其中, 用户名即 Jumpserver 登录账号。用户是用于资产授权, 当某个资产对一个用户授权后, 这个用户就使用这个资产了。角色用于区分一个用户是管理员还是普通用户。
.. image:: _static/img/create_jumpserver_user.jpg .. image:: _static/img/admin_users_user_create.jpg
成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱。 成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱。
.. image:: _static/img/create_user_success.jpg
点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。 点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。
用户首次登录 Jumpserver, 会被要求完善用户信息。 用户首次登录 Jumpserver, 会被要求完善用户信息。
Linux/Unix 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104.html)
Windows 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104.html)
查看公钥信息: 查看公钥信息:
:: ::
...@@ -56,20 +36,6 @@ Windows 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104. ...@@ -56,20 +36,6 @@ Windows 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104.
除了使用浏览器登录 Jumpserver 外, 还可使用命令行登录: 除了使用浏览器登录 Jumpserver 外, 还可使用命令行登录:
确保 Coco 服务正常
.. image:: _static/img/coco_check.jpg
鉴于心态检测存在延迟, 您也可以直接在 Jumpserver 主机上执行如下命令检测 Coco 是否存活, Coco 服务默认使用 2222 端口:
::
$ netstat -ntpl
效果如下:
.. image:: _static/img/coco_check_terminal.jpg
命令行登录 Jumpserver 使用如下命令: 命令行登录 Jumpserver 使用如下命令:
:: ::
...@@ -80,15 +46,19 @@ Windows 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104. ...@@ -80,15 +46,19 @@ Windows 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104.
.. image:: _static/img/coco_success.jpg .. image:: _static/img/coco_success.jpg
三、登录日志 二、用户组
```````````````````` ````````````````
2.1 创建用户组
用户组, 顾名思义, 给用户分组。用户组信息很有用, 在分配资产权限的时候, 针对的某个用户组下的所有用户, 可以为一个用户分配多个用户组。
3.1 查看登录日志 点击页面左侧"用户管理"菜单下的"用户组", 进入用户组列表页面。
登录日志, 记录 Jumpserver 用户的登录信息, 包含用户名、类型:通过网页登录(Web)还是终端登录(Terminal)、Agent:所用代理、登录的 IP 地址、登录的地点以及登录日期。 .. image:: _static/img/admin_user_group_list.jpg
还可以指定某一用户, 查询其登录的历史记录。 点击页面左上角"创建用户组"按钮, 进入创建用户组页面:
点击页面左侧"用户管理"菜单下的"登录日志"按钮, 进入登录日志页面: 名称即用户组名称, 建议填写简单明了有用的信息。创建用户组的时候可以把已存在的用户加入到该分组中, 一个用户可以存在多个分组中。
.. image:: _static/img/admin_login_log.jpg .. image:: _static/img/admin_user_group_create.jpg
docs/user_asset.rst deleted 100644 → 0
View file @ adb89593
用户资产
================
1.1 Web 连接资产
~~~~~~~~~~~~~~~~~~~~~~~~~~
点击页面左边的 Web 终端:
.. image:: _static/img/link_web_terminal.jpg
打开资产所在的节点:
.. image:: _static/img/luna_index.jpg
点击资产名字, 就连上资产了, 如果显示连接错误, 请联系管理员解决
.. image:: _static/img/windows_assert.jpg
1.2 Web 上传文件到 Win 资产
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Windows 资产的文件上传方式为:直接拖拽需要上传的文件到 Windows 资产窗口即可, 上传后的文件位置在资产的 Guacamole RDP上的 G 目录下
.. image:: _static/img/faq_windows_08.jpg
1.3 WEB 主机登出
~~~~~~~~~~~~~~~~~~~~~
点击页面顶部的 Server 按钮会弹出选个选项, 第一个断开所选的连接, 第二个断开所有连接:
.. image:: _static/img/disconnect_assert.jpg
1.4 SSH 连接资产
~~~~~~~~~~~~~~~~~~~~~
咨询管理员 跳板机服务器地址 及 端口, 使用 ssh 方式输入自己的用户名和密码登录(与Web登录的用户密码一致)
.. image:: _static/img/user_asset_ssh.jpg
1.5 SSH 主机登出
~~~~~~~~~~~~~~~~~~~~~
推荐退出主机时使用 exit 命令或者 ctrl + d 退出会话
1.6 SFTP 上传文件到 Linux 资产
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
咨询管理员 跳板机服务器地址 及 端口, 使用 ssh 方式输入自己的用户名和密码登录(与 SSH 登录跳板机的用户密码一致)
连接成功后, 可以看到当前拥有权限的资产, 打开资产, 然后选择系统用户, 即可到资产的 /tmp 目录(/tmp 目录为管理员自定义)
docs/user_assets_user-asset.rst 0 → 100644
View file @ cb7ca9bc
我的资产
================
这里显示自己被授权了的资产列表, 可以通过资产右侧的连接功能快速连接资产
.. image:: _static/img/user_assets_user-asset_list.jpg
docs/user_guide.rst
View file @ cb7ca9bc
用户使用文档 用户文档
============= =============
这部分给您介绍 Jumpserver 的用户使用文档 这部分给您介绍 Jumpserver 的用户使用文档
...@@ -6,5 +6,8 @@ ...@@ -6,5 +6,8 @@
.. toctree:: .. toctree::
:maxdepth: 1 :maxdepth: 1
user_info user_assets_user-asset
user_asset user_ops_command-execution
user_users_profile
user_terminal_web-terminal
user_terminal_web-sftp
docs/user_info.rst deleted 100644 → 0
View file @ adb89593
用户页面
=========
通过管理员发送的邮件里面的 Jumpserver 地址登录进行用户初始化
1.1 查看个人信息
~~~~~~~~~~~~~~~~~
个人信息页面展示了用户的名称、角色、邮件、所属用户组、SSh 公钥、创建日期、最后登录日期和失效日期等信息:
.. image:: _static/img/user_info.jpg
1.2 修改密码
~~~~~~~~~~~~~
在个人信息页面点击"更改密码"按钮, 跳转到修改密码页面, 正确输入新旧密码, 即可完成密码修改:
.. image:: _static/img/user_update_password.jpg
1.3 设置或禁用 MFA
~~~~~~~~~~~~~~~~~~~
在个人信息页面点击"设置MFA"按钮(设置完成后按钮会禁用MFA), 根据提示处理即可, MFA全称是Multi-Factor Authentication, 遵循(TOTP)标准(RFC 6238)
1.4 修改 SSH 公钥
~~~~~~~~~~~~~~~~~~
点击"重置 SSH 密钥"按钮, 跳转到修改 SSH 密钥信息页, 复制 SSH 密钥信息到指定框中, 即可完成 SSH 密钥修改:
查看 SSH 公钥信息:
::
$ cat ~/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDadDXxxx......
.. image:: _static/img/user_update_ssh_key.jpg
1.5 查看个人资产
~~~~~~~~~~~~~~~~
自己被授权的资产, 增减授权资产的需求请联系管理员
.. image:: _static/img/user_login_success.jpg
docs/user_ops_command-execution.rst 0 → 100644
View file @ cb7ca9bc
命令执行
================
可以通过该功能快速下发命令到资产, 目前仅支持能被 ansible 管理的资产, 要求 系统用户 登陆方式为 自动登陆
.. image:: _static/img/user_ops_command-execution_start_list.jpg
docs/user_terminal_web-sftp.rst 0 → 100644
View file @ cb7ca9bc
文件管理
================
在左侧选择资产后, 可以进入管理员预设的资产目录 ( 默认 /tmp ), 可跨资产复制粘贴文件, 目前仅支持 ssh 协议且 系统用户 要求登陆方式为 自动登陆
.. image:: _static/img/user_terminal_web-sftp_list.jpg
docs/user_terminal_web-terminal.rst 0 → 100644
View file @ cb7ca9bc
Web终端
================
通过 web 连接资产
.. image:: _static/img/user_terminal_web-terminal_list.jpg
docs/user_users_profile.rst 0 → 100644
View file @ cb7ca9bc
个人信息
=========
显示当前用户的个人信息, 右侧的功能可以根据个人所需进行设置
.. image:: _static/img/user_users_profile_list.jpg
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment