JumpServer 堡垒机--操作实践（二）

系统设置--邮件设置

SMTP主机 输入你或者你服务商提供的 smtp 服务器, 格式：smtp.126.com

SMTP端口 通常是 25，推荐使用更安全的 465 或者 587

SMTP账号 通常是 user@domain.com

SMTP密码 输入对应账户的密码，注意：每次测试都需要重新输入密码

发送账号 与 SMTP账户保持一致

创建JumpServer用户

用户列表

创建用户

创建用户组

用户详情

强制启用多因子认证（建议开启）

重置多因子认证

发送重置密码邮件（创建用户时可不配置用户密码，通过发送重置密码邮件设置用户密码）

发送重置密钥邮件

系统设备--基本设置

当前站点URL 不设置的话，邮件收到的地址为 http://localhost 开头（建议设置为JumpServer地址，如果映射到公网访问需填写公网URL）

资产管理--管理用户--创建管理用户

管理用户是资产（被控服务器）上的 root，或拥有 NOPASSWD: ALL sudo 权限的用户， JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。

资产管理--系统用户--创建系统用户

系统用户是 JumpServer 跳转登录资产时使用的用户，可以理解为登录资产用户；简单来说是用户使用自己的用户名登录 JumpServer，JumpServer 使用系统用户登录资产。系统用户创建时，如果选择了自动推送，JumpServer 会使用 Ansible 自动推送系统用户到资产中，如果资产（交换机）不支持 Ansible，请手动填写账号密码。

登录模式 分为自动登录和手动登录。自动登录不需要输入用户名和密码，如果选择手动登录模式，用户名和密码可以不填写

用户名 自动登录需要填写用户名，手动登录可以不填写

优先级 1-100, 1最低优先级，100最高优先级。授权多个用户时，高优先级的系统用户将会作为默认登录用户

协议 ssh telnet rdp vnc mysql

sudo 举例

Sudo  /bin/su  #当前系统用户可以免sudo密码执行sudo su命令
Sudo  /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail
#当前系统用户可以免sudo密码执行git php cat more less tail
Sudo  !/usr/bin/yum #当前系统用户不可以执行sudo yum命令

资产管理--资产列表--资产树

创建节点

重命名节点

删除节点

添加资产到节点

移动资产到节点

更新节点资产硬件信息

测试节点资产可连接性

仅显示当前节点资产

节点详情

创建资产---资产列表--创建资产

windows 主机

系统用户 自动登录 设置，系统平台 选择 Windows

系统用户 手动登录 设置，系统平台 选择 Windows(2016)

官方文档

https://jumpserver.readthedocs.io/zh/master/admin-guide/assets/windows_rdp/

linux主机

（1）预先检查主机 /etc/hosts.allow /etc/hosts.deny /etc/ssh/sshd_config 是否有登录限制
（2）资产连接超时 timeout 请检查 /etc/ssh/sshd_config 的 UseDNS 项是否为 no

权限管理--资产授权

名称 自定义授权名称，不可重复

用户 建议用户和用户组选择一个即可

资产 资产和节点二选一，选择节点会包含节点下的所有资产

系统用户 所选的用户或用户组下的用户能通过该系统用户使用所选节点或者节点下的资产

动作 根据需求选择上传和下载文件权限，RDP协议不支持单独控制上传或下载文件

用户登录

Web 登录 JumpServer

点击页面左侧的 会话管理 - Web终端 用户只能看到自己被管理员授权了的 资产 , 如果登录后无资产, 请联系管理员进行确认

windows 主机

linux主机

JumpServer ssh 连接远程主机（用于JumpServer本机账户测试等）

添加资产主机实现用户访问实现步骤

第一步：创建用户和用户组

第二步：创建管理用户和系统用户

第三步：资产管理添加资产主机

第四步：权限管理添加资产授权

第五步：用户登陆JumpServer 访问授权的资产