三、用戶管理、資產管理、客戶端登錄jumpserver

一、用戶管理

有三種用戶：

1、登錄jumpserver的用戶

在jumpserver用戶管理中創建一個用戶，創建提交后更新可設置密碼。也可以在系統設置中設置郵件，通過發送郵件的方式設置密碼。設置好后即可登錄。登錄web界面的，以及命令行界面的。

2、管理用戶

jumpserver有一個自動化批量執行命令的功能，執行這個命令的用戶，也可以在遠程機器上創建一個系統用戶，所以這個用戶把它叫做管理用戶。創建一個管理用戶jumpserver，管理用戶最好用私鑰。

#?cd?~/.ssh
#?ssh-keygen?-f?jumpserver????//-f指定密鑰的名字
[root@CLAY?.ssh]#?ls
authorized_keys??id_rsa??id_rsa.pub??jumpserver??jumpserver.pub??known_hosts
[root@CLAY?.ssh]#?sz?jumpserver???//把私鑰下載再選擇該私鑰文件，如果私鑰沒有設密碼，那jumpserver用戶的密碼處就留空，如果設置了密碼，就填私鑰的密碼。

3、系統用戶

登錄每臺機器的用戶，通常情況下，和用戶管理中列表里的用戶保持一致，方便去管理。用戶列表里的用戶是登錄jumpserver的，系統用戶是登錄到jumpserver里以后再跳到系統里去登錄的用戶。通過命令行界面登錄后跳到系統中去的用戶。創建一個系統用戶，定義名稱、用戶名，選擇自動登錄。

二、資產管理

web界面，資產管理→資產列表

左側的可以認為是主機組，在里面新建一個節點，這個節點就相當于公司里N多的業務，命名業務1，在業務1中來創建資產。

定義主機名、IP、管理用戶，這個管理用戶必須要到這臺機器上去創建，提交。

#?useradd?jumpserver???
[root@wbs?~]#?ls?-l?/home/jumpserver/
總用量?0

//這個jumpserver用戶是每添加一臺機器都要添加的用戶。由于每增加一個節點，一個管理的機器都要添加用戶比較麻煩，所以想一個辦法，以后每購買一臺新的阿里云機器也好，物理機也罷，上架初始化的時候就創建這個用戶。

[root@wbs?jumpserver]#?cd?/home/jumpserver/
#?mkdir?.ssh
#?vi?.ssh/authorized_keys

//到jumpserver那臺機器上把之前生成的公鑰復制過來cat ~/.ssh/jumpserver.pub，這樣就可以通過密鑰去連接對方機器的jumpserver用戶了。

[root@CLAY?.ssh]#?ssh?-i?jumpserver?jumpserver@192.168.149.133

//測試連接，ssh -i指定私鑰，如果不需要輸入密碼即可登錄到對方機器了，說明配置成功。

不成功的可能性：對方機器公鑰的權限以及私鑰的權限、SELinux。

管理用戶必須要具有root的權限，使用sudo來實現。

兩個方法：

1、jumpserver的UID設置成0，這種方法不太好。

2、給它設定sudo權限。

[root@wbs?jumpserver]#?visudo
...
##?Allow?root?to?run?any?commands?anywhere
jumpserver?ALL=(ALL)????NOPASSWD:?ALL?????//添加一行
root????ALL=(ALL)???????ALL
user1???ALL=(ALL)???????/bin/ls,/bin/chown,/bin/chmod,/bin/tail,/bin/cat
user2???ALL=(ALL)???????ALL
...

[root@wbs?jumpserver]#?su?-?jumpserver???//先登錄到jumpserver
上一次登錄：六?10月?12?17:29:34?CST?2019從?192.168.149.131pts/1?上
[jumpserver@wbs?~]$?sudo?ls?/root
001??123.fifo??20shell	anaconda-ks.cfg??login	test.fifo
[jumpserver@wbs?~]$?sudo?tail?-5?/etc/shadow
gitlab-prometheus:!!:18166::::::
zhangsan:$6$tgTbTKHN$a9S7trCLv3X/GWYP5cM.RMReQ.cMbjbjrK/0c1HNAmuJNOmDXjaKjbG34QAhQGgTextVxa1jeSFaxMkX49qUt/:18170:0:99999:7:::
saslauth:!!:18171::::::
redis:!!:18172::::::
jumpserver:!!:18181:0:99999:7:::
sudo都執行成功了，說明沒問題。先退出這兒。

到資產管理的主機中更新硬件信息，上方可以看到更新成功，實際上把這個任務交給了作業中心，再回到資產列表的主機中點進去看硬件信息是否是已經更新了。

系統用戶，要把它下發到資產上去的：

web界面，權限管理→資產授權→創建授權規則，名稱定義一個系統用戶的名稱，選擇用戶、資產、系統用戶，提交。

把系統用戶中的自動推送功能打開，刷新一下，再到主機中查看，# id zhangsan，即可看到推送到了系統。

三、客戶端登錄jumpserver

重新登錄ssh終端下的jumpserver的機器，輸入p，即可看到你的機器。輸入對應的ID數字，即可直接登錄。

#?cd?/home/zhangsan
#?ls?-la???//看到有.ssh目錄，進去可以看到有密鑰，說明這是通過密鑰登錄進去的。
總用量?12
drwx------.??3?yaowei?yaowei??74?10月?13?11:46?.
drwxr-xr-x.?13?root???root???164?10月?13?11:43?..
-rw-r--r--.??1?yaowei?yaowei??18?8月???3?2017?.bash_logout
-rw-r--r--.??1?yaowei?yaowei?193?8月???3?2017?.bash_profile
-rw-r--r--.??1?yaowei?yaowei?231?8月???3?2017?.bashrc
drwx------.??2?yaowei?yaowei??29?10月?13?11:46?.ssh

再到web界面創建一個jumpserver本機的資產，本機的IP、本機的名字。

然后回到ssh終端創建jumpserver用戶：

#?useradd?jumpserver
#?su?-?jumpserver
[jumpserver@CLAY?~]$?mkdir?.ssh
$?chmod?700?.ssh
$?vi?.ssh/authorized_keys???
$?chmod?600?.ssh/authorized_keys
$?登出
[root@CLAY?~]#?visudo
...
##?Allow?root?to?run?any?commands?anywhere
root????ALL=(ALL)???????ALL
jumpserver?ALL=(ALL)????NOPASSWD:?ALL????//添加一行。

[root@CLAY?.ssh]#?ssh?-i?jumpserver?jumpserver@127.0.0.1???//測試登錄

web界面，授權規則，把本機的資產更新增加到原來的規則中，或者創建新的授權規則都行。

再回到jumpserver的ssh終端中，重新連接一下，輸入p，可以看到本機的資產和前面的資產兩個，輸入數字即可直接連接。

其他功能：

會話管理：

命令記錄，可以看到用戶執行的歷史命令；

歷史會話，可以視頻回放用戶操作的記錄過程；

在線會話，可以看到當前正在連接的終端，如果終端它，正在寫的內容將不會保存。

新開一個瀏覽器，用自己的用戶登錄，可以看到有web終端，點擊進入，在左側即可選擇對應的業務登錄進入。

文件管理，機器下的目錄為/tmp目錄，上傳的文件都會在/tmp目錄里。