很早之前就了解过开源堡垒机JumpServer,曾经部署并体验效果,感觉还不错,而且也用过某些客户的商业堡垒机,体验效果和这个开源堡垒机很相似。由于官方的资产及用户配置文档,我个人的理解思维方式感觉有点难,然后在此做记录配置资产及用户的步骤,主要是刚开始接触,对堡垒机的资产名称与系统用户不好区分,在实际配置多个资产后,逐渐掌握配置方法,以此记录。
关于JumpServer堡垒机的部署操作参考文章:
离线安装JumpServer堡垒机操作记录
说明:用户管理中的用户是指可登录堡垒机平台的用户。
如果不需要创建用户,直接分配给管理员用户admin也可以使用。
名称:张三
用户名:zhangsan
邮箱:zhangsan@yourcompanymail.com
密码:zhangsan123456
系统角色:用户
二、配置资产(服务器)
1、配置Linux服务器步骤如下:
第一步、创建特权用户用于资产可连接性测试、推送用户、批量改密等自动化任务,也可直接登录。
Linux的登录方式支持密码和私钥。
进入【资产管理】–【系统用户】菜单页面,切换到【特权用户】页签,点击创建按钮。
名称:(便于区分的名称)
协议:默认SSH
用户名:(指Linux服务器的root用户名)
密码:(如果使用密码登录,录入Linux服务器root用户的密码)
SSH密钥:(如果使用私钥登录,选择私钥文件上传)
密钥密码:(如果私钥包含密码,录入密钥密码)
命令过滤器:可为空
用户切换:(是否允许切换为其他用户)
优先级:默认即可
SFTP根路径:默认tmp,可根据需要设置,如opt
备注:
第二步、创建资产进入【资产管理】–【资产列表】菜单页面,根据需要创建资产树分支,点击创建按钮。
主机名:(便于区分的名称)
IP(域名):(内网IP或域名都行)
系统平台:Linux
公网IP:可选填
网域:暂未研究
协议组:默认ssh,端口22,可选择rdp、telnet、vnc
特权用户:(选择上一步创建的特权用户)
节点:选择创建的资产树分支,类似于资产分类分组
标签管理:为空
其他激活
第三步、创建系统普通用户此步对Linux服务器可不操作,不过安全起见,不应该直接操作root用户控制服务器。
进入【资产管理】–【系统用户】菜单页面,切换到【普通用户】页签,点击创建按钮。
根据需要的连接方式,选择主机协议类型,如SSH协议。
名称:(便于区分的名称)
协议:默认SSH(根据选择的协议类型)
用户名:(指Linux服务器的root以外的用户名称)
动态用户名:暂未研究,(用户名是动态的,登录资产时使用当前用户的用户名登录)
认证方式:托管密码(默认),或手动输入
自动生成:(猜测此功能和上面的动态用户名功能,应该是基于特权用户可自动创建用户的功能实现)
密码:(录入上面用户名对应的Linux服务器密码)
SSH密钥:(如果使用私钥登录,选择私钥文件上传)
密钥密码:(如果私钥包含密码,录入密钥密码)
自动推送:暂未研究,(应该与特权用户可自动创建用户的功能有关)
命令过滤器:暂未研究,可为空
用户切换:(是否允许切换为其他用户)
优先级:默认即可
SFTP根路径:默认tmp,可根据需要设置,如opt
备注:
第四步、创建授权规则进入【权限管理】–【资产授权】菜单页面,选择资产树对应资产,点击创建按钮。
名称:(便于区分的名称)
用户:(选择授权给堡垒机的用户,可多选)
用户组:(官方说是用户与用户组二选一,不推荐两个都选)
资产:(默认带出上面选择的资产树中的资产名称,可多选)
节点:(官方说资产与节点二选一,选择节点包含节点下所有的资产)
系统用户:(连接资产的认证凭据用户,即前面创建的服务器的用户,看官方文档,选择的是特权用户)
动作:根据需求授权
其他:默认即可
完成以上步骤,即可通过Web终端连接Linux服务器。
2、配置Windows服务器步骤与Linux服务器配置类似,只不过创建资产时的系统平台和协议组选择对应的信息即可。
特别指出,配置Windows服务器资产,必须创建普通用户,普通用户可直接使用服务器的管理员账号。创建普通用户的主机协议选择RDP(远程桌面)。
3、配置MySQL数据库应用 第一步、创建应用进入【应用管理】–【数据库】菜单页面,点击创建按钮,选择应用类型。
名称:(便于区分的名称)
类型:(根据上面选择的应用类型默认)
网域:暂未研究
主机:(数据库应用的IP或域名地址)
端口:(数据库端口,默认3306)
数据库:(指定要连接的数据库名称)
其他备注:
第二步、创建系统普通用户进入【资产管理】–【系统用户】菜单页面,切换到【普通用户】页签,点击创建按钮。
根据需要的连接方式,选关系数据库类型,如MySQL。
名称:(便于区分的名称)
用户名:(数据库的用户名,需要有jumpserver服务器IP可访问权限)
优先级:默认
协议:(根据选择的关系数据库类型默认)
认证方式:托管密码(默认),或手动输入
密码:数据库用户对应的密码
命令过滤器:
其他:
第三步、创建授权规则进入【权限管理】–【应用授权】菜单页面,选择应用管理树对应应用,点击创建按钮。
名称:(便于区分的名称)
用户:(选择授权给堡垒机的用户,可多选)
用户组:(官方说是用户与用户组二选一,不推荐两个都选)
类别:默认
类型:默认
应用:(默认带出上面选择的应用管理树中的应用名称,可多选)
系统用户:(第二步创建的系统普通用户)
动作:根据需求选择
其他:生效日期及激活、备注等
完成以上步骤,即可通过Web终端连接MySQL应用。
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧