这是JumpServer授权方案不过对其他堡垒机授权也有参考意义
JumpServer授权方案
一,添加开发者的使用账户
方法一:通过ldap导入
在ldap处点击导入,搜索统一身份认证号。
方法二:
用户管理 - 查看用户 - 添加用户 填写基本信息,完成用户添加。
用户添加完成后,根据提示记住用户账号密码,换个浏览器登录下载key,
ssh登录jumpserver测试
二,在xshell测试
测试账户用
ssh syop@ip
可以通过xsell登陆
三,添加服务器的管理用户和系统用户
添加管理用户即sudo
资产管理- 管理用户 - 添加别名 输入别名名称和命令,完成sudo添加
添加系统用户
资产管理 - 系统用户 - 添加 输入基本信息,完成系统用户添加,可以是管理用户也可以是非管理用户
四,添加资产
资产管理 - 查看资产 - 添加资产 填写基本信息,完成资产添加
新建资产需要将资产添加入两个节点,公司项目的节点和运维的节点。
并配置资源的系统用户和管理用户。
例子
资产以测试服务器,为例子:从业研申请服务器,
获得一台服务器,
先将资产加入运维权限的相应操作系统节点。
再将服务器加入所属项目的相应操作系统节点。
五,添加授权规则
按最小节点粒度进行授权,授权与相应的规则
目前JumpServer的授权纬度为项目组和管理员两个纬度
管理员授权
管理员-SUSE
管理员-Centos
管理员-Windows
三条授权规则, 此后申请的所有机器都需要添加三个规则的授权内
项目组纬度
公司-部门-项目-操作系统为项目组的一个授权单位,
一个项目获得5台suse,3centos,2windows,例如创建授权,需要创建三个授权
- 科技公司-部门A-项目B-SUSE给项目组内开发权限
- 科技公司-部门A-项目B-Centos项目组内开发权限
科技公司-部门A-项目B-Windows项目组内开发权限
后续此项目组添加机器或人就像对应的三条规则内添加即可
六, 测试登录
用户登陆web 查看授权的主机,测试是否可以登录服务器
通过xshell登陆 登录
推送系统用户
授权管理 - 推送 - 选择需要推送的资产或资产组完成推送
推送只支持服务器,使用密钥是指用户从跳板机跳转时使用key,反之使用密码,
授权时会检查推送记录,如果没有推送过则无法完成系统用户在该资产上的授权。
如果资产时网络设备,请不要选择密码和秘钥,模拟一下推送,目的是为了生成
推送记录。
- 添加授权规则
授权管理 - 授权规则 - 添加规则 选择刚才添加的用户,资产,系统用户完成授权
测试登录
用户下载key 登录跳板机,会自动运行connect.py,根据提示登录服务器
用户登陆web 查看授权的主机,点击后面的链接,测试是否可以登录服务器