Jumpserver与Freeipa集成(以及其他配置)
原创
背景:
jumpserver的安装参照:jumpserver的简单安装使用,Freeipa的安装参照:Freeipa的简单搭建配置。准备将Freeipa与Jumpserver集成。其实Freeipa搭建后linux客户端如果安装了Freeipa client。也能完成用户的授权权限管理了,参照:利用Freeipa实现Liunx用户身份、权限的统一管理 | 企业安全拥抱开源 。但是还是不能很好的完成操作的审计等操作。且用jumpserver管理能更好完成用户的操作审计。但是freeipa创建的linux用户账户的密码修改同步推送也会有各种的问题?该怎么在账号管理中同步账户信息的变更?最后折衷了还是:freeipa只与jumpserver完成认证,同步用户,用户组。同一用户组使用相同账户(linux用户)管理。linux主机不与freeipa联动?后面看一下能否实现用freeipa用户ssh!
注:安装的时候jumpserver版本为3.1.0,现在最新版本为3.1.1(重装了一下latest默认,现在版本为3.1.1)!小版本差别这里就忽略了!
Jumpserver与Freeipa集成
关于Freeipa 的用户用户组
在freeipa 与jenkins的集成中为创建了jenkins jenkins-develop jenkins-qa这样的分组.这里也创建一个jumpserver jumpserver-develop jenkins-qa这样的分组。其实分组应该搞成复用的。这里就先这样演示了,一切应该以自己实际的需求来进行组划分!
创建jumpserver分组:
创建jumpserver jumpserver-develop jumpserver-qa分组,将 jumpserver-develop jumpserver-qa组加入jumpserver组
将用户加入jumpserver对应组
zhangpeng用户作为jumpserver member managers用户
jumpserver-develop组用户如下:
jumpserver-qa组用户如下:
Freeipa同步用户到Jumpserver:
管理员登陆jumpserver 点击右上角系统设置:
点击认证设置-ldap:
参照: FreeIPA配置笔记,配置jumpserver与freeipa集成:
输入以下参数:
LDAP服务器:
LDAP地址: ldap://xxx.xxxx.com:389
绑定 DN: uid=zhangpeng,cn=users,cn=accounts,dc=xxx,dc=com
密码: xxxx
LDAP用户:
用户 OU: cn=users,cn=accounts,dc=xxx,dc=com
用户过滤器: (uid=%(user)s)
LDAP属性映射: {"username":"uid","name":"displayname","email":"mail"}
其他:
启用 LDAP 认证: 勾选
测试连接:
用户导入,选择导入全部:
记得右下角的提交 ldap配置!
but用户组是空的,还是希望能把组同步过来,然后针对用户组做权限管理:
如何导入用户组呢?
Freeipa同步用户组到jumpserver:
用户属性这里mail后面加一个,然后添加“groups”:"memberOf"
提交,导入全部(当时了这里也可以测试以下配置是否成功!)
切换到控制台用户管理用户列表界面,用户的用户组栏有了相关组信息如下:
点击用户组:这里有些纠结,不想同步过来那么多组,不知道又没有大佬指点一二?
后面修改了一下认证设置LDAP配置这里的用户过滤器为**(&(uid=%(user)s)(!(nsaccountlock=*))(objectclass=organizationalperson))**(前提先删除用户管理中LDAP用户and用户组)
切换到控制台用户管理页面:总算没有名称为空的用户了!
用户组界面也总算清凉了以,这还能接受:
memberof具体的还是不会玩,这样好歹看的舒服多了先这样!
Jumpserver Freeipa简单使用:
关于资产列表,资产树这里根节点的Default无法修改,就先忽略了!资产树节点默认以下配置:
当然了腾讯云下还可以加一个地域的节点?这里忽略了。单地域演示!Develop QA Master三个环境!
Develop资产管理的设置:
Develop环境下Jumpserver配置
Develop环境下准备添加一台CVM:
创建选择平台-主机 -linux:
这个地方有个很不喜欢的。为点击了左侧资产树的Develop 节点这里不能默认跟随....还要自动选择一下?输入相关信息:
添加账户这里输入名称默认下面用户名会跟上面一样,记得修改用户名!密码类型这里按照个人实际情况来。我这里用了一下ssh-key的方式:
返回资产列表,看到创建的develop资源在列表中展现:
针对资产授权:
左侧控制台边栏:权限管理-资产授权-创建:
输入规则名称,用户组,资产,节点选择账号等相关信息,提交:
资产选择develop确认:
最后点击提交:
最终资产授权这里如下:
权限验证:
打开火狐浏览器登陆jumpserver-develop组用户,以huozhonghao用户为例,点击工作台左侧边栏-web终端-找到develop资产,连接:
确认正常登陆develop资产并操作:
创建资产的时候看到了创建同名账户的选项?
突然决定freeipa client的方式可以尝试一下?Qa为例:
Qa资产管理设置:
freeipa-client 配置:
qa 资产IP 10.0.2.28
修改hostname
qa-client.xxxxx.com安装ipa-client包:
yum install -y ipa-client
修改dnsserver 为 ipaserver ip
[root@qa-client ~]# cat /etc/resolv.conf# Generated by NetworkManagernameserver 10.0.4.52nameserver 183.60.82.98nameserver 183.60.83.19这里有坑,后面会讲!
可以用下面命令使client 连接到server:
ipa-client-install --domain=xxxx.com --no-ntp --realm=xxxx.com --mkhomediror
ipa-client-install --mkhomedir
Freeipa web ui配置:
登陆freeipa server web UI 确认主机注册成功:
策略这里,删除原有的两个规则,创建HBAC规则-qa:
编辑规则如下:
Sudo 添加role role简单命名为sudo:
配置参照下图:只指定了组与主机 ,其他都是any
Jumpserver相关配置
创建10.0.2.28的 qa资产,账户列表这里设置为空,暂时不添加:
权限管理-授权,特别注明账户这里选择同名账号:
权限验证:
登陆jumpserver-qa用户huozhonghao:
左侧工作台为的资产可以发现qa and develop资产:
连接qa资产-同名账号。输入用户密码(与登陆jumpserver同一密码!)
目测第一次登陆ssh会让修改密码,如下,会需要重置密码(这里就保留原密码了!):
重新登陆如下:,无法sudo是当时没有配置好freeipa权限忽略:
sudo -i 可以切换到root用户:
尝试创建zhangpeng3用户加入到jumpserver-qa组
开其他浏览器or切用户为zhangpeng3,点击左侧边栏web终端。操作qa资产树下qa资产重置密码(第一次登陆步骤):
sudo -i验证权限:
尝试freeipa web控制台修改密码:
jumpserver 重新连接qa资产密码会显示认证失败,需要重新输入密码才能连接对应资产控制台(jumpserver Web如果未退出)!
尝试修改密码可以在资产终端操作passwd操作尝试:
退出jumpserver,重新登陆,已经显示过去记录的密码错误,输入修改后的密码进入控制台:
连接资产web终端,重新输入passwd更改的新密码:
passwd如不能修改密码请参照freeipa控制台密码策略:
演示以两个环境演示就可以了,master环境没有必要再操作一遍了!
jumpserver的其他相关配置
主要是关于系统设置的这些部分:
从邮件设置开始:
点击邮件设置,点击右侧邮件服务器配置邮件服务器相关配置:
以qq邮箱为例:
记录下生成的授权码:
SMTP主机: smtp.qq.comSMTP端口: 465SMTP账户: xxxxx@qq.comSMTP密码:xxxxxx(生成的授权码)安全设置使用SSL开启,提交配置:
给自己邮箱发一封测试邮件尝试:
目标收件人收到测试邮件就表示配置成功。最终邮件设置这里邮件发送,主体前缀设置为:jumpserver。其他的保持原有配置保存提交!
消息订阅
消息订阅这里可以开启邮箱的订阅方式,并且修改消息接受人(这里忽略了。这里好多用户邮箱是假的)!
终端设置:
终端设置的相关配置有很多,这里只着重配置一下录像存储 and 命令存储:
录像存储:
录像存储以腾讯cos为例:
创建一个存储桶:
注意这里选择了私有读写桶,完全没有必要公有读把?根据权限最小化原则,创建了 一个用户,然后绑定桶:
jumpserver的相关配置:
这里主要强调端点这里:https://cos.ap-shanghai.myqcloud.com(根据自己区域补充中间的regin区域)
注意:我第一次设置成了https://jumpserver-xxxxxx.cos.ap-shanghai.myqcloud.com。默认的路径会变成这样的
测试设置为cos存储为默认:
but操作了一下 看到cos桶并未生生存储文件,重启一下jumpserver?
尝试后依然未生效!https://docs.jumpserver.org/zh/v3/guide/storages/#13
操作命令退出后已经生成录像存储:
命令存储
命令存储可以接入elasticsearch,以elasticsearch为例:
简单配置一下,日期索引根据需求确认是否开启,提交:
继续更新终端设置:
提交:
普通用户登陆jumpserver操作几条简单命令:
登陆elasticsearch kibana控制台 索引管理可以看到 相关索引已经创建:
其他的问题
dns问题
- client nameserver添加了ipa server ip
ping ipa server没有问题,but ping 其他 三级域名出现问题 :
ping: www.xxx.com: Name or service not known
怎么搞呢?这样的问题?我用的也是为实际存在的domain域名?出现这样的无法解析的问题也是用户不想看到的。解决的方式个人理解应该有两种:
1 . 整一个压根不存在的域名?或者根本不使用无影响的域名如就用example.com? example.tech。等等类似 ?
2. 偷懒尝试了一下 不配置resolv.conf ?
/etc/hosts绑定ipa server and client:
这样可以不出现此状况,解析都没有问题:
也不需要跟其他domain下域名通信, 只做用户认证,这样做也是可以的。
单节点异常
节点其实也是正常的,但是web ui登陆admin出现了异常,普通用户都可以登陆web UI,也可以登陆其他应用。不知道怀疑什么问题要,重启日志也没有什么输出,想怀疑一下随机数生成器?安装了一下按照一下文档:
后面没有怎么出现这问题,但是还是有不可用因素,准备后续将freeipa ha 部署为高可用!rngd可能会无法启动
将: ConditionVirtualization=!container中 !去掉可正常启动:
systemctl daemon-reloadsystemctl restart rngd
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。