JumpServer各种用户的关联与管理

不操千曲而后晓声,观千剑而后识器。这篇文章主要讲述JumpServer各种用户的关联与管理相关的知识,希望能为你提供帮助。
Jumpserver是一款非常强大的堡垒机,但是新手一般会被他的各种用户和权限搞晕。经过一段时间的使用,我整理了一下,做个记录,也希望能给遇到同样问题的同学一些启发。
1、用户管理
这里的用户指的就是登录到jumpserver的人所使用的的账号。
用户组,就是把相同类型的操作人聚合在一起的组。
在系统初始阶段会有一个admin用户作为系统管理员账号,其他账号可以通过一般情况用户可以手动创建普通用户,也可以通过LDAP同步。
2、资产管理-系统用户
在资产管理中还有一个系统用户。系统用户还分为两种
普通用户和特权用户
其实在JumpServer给的说明里已经很详细了,系统用户(包含普通用户、特权用户)是指服务器上的账号。
在使用中,我个人的建议是先在各个服务器(资产)上创建好特权用户(一般来说root就是一个典型的特权账户,但是直接用root并不安全,可以手动创建一个可以sudo的账号),然后JumpServer中创建?特权用户。
?至于普通用户,可以在JumpServer里直接创建,在其中也会有一些细化的配置,比如sudo,密码等。
系统用户要与资产(服务器)进行绑定,JumpServer上的绑定只是逻辑上的绑定,如果要实现具体功能还是要将账号推送到资产上。
特权用户的推送,基本上是需要服务器管理员提前在服务器上配置好才能实现的。
普通用户的推送,则需要服务器上已经存在特权用户,或者服务器上已经存在该用户。
注意,推送成功,并不代表该账号可以直接使用,也要检查服务器上sshd服务是否有限制。


3、权限管理-资产授权
JumpServer通过资产授权对服务器、用户(JumpServer用户、用户组)、系统用户进行绑定,
通过创建资产授权,我们可以看到,可绑定的内容有 用户/用户组 资产 系统用户


可能会有疑惑,在系统用户中也可以绑定资产,为何这里还要继续绑定资产,其实这个处于管理的一个考虑。绑定后,实际能使用的其实是一个交际,就是资产授权所绑定的资产,与系统用户所绑定资产的交集。

4、总结举例Jumpserver用户guoguo,归属于运维用户组。
系统用户普通用户devsys绑定了服务器web01 web02 web03
资产授权 dev绑定了运维用户组 普通用户devsys 资产 web02 web03 web04
那么用户guoguo在登录jumpserver后能ssh访问的服务为web02 web03 web04,但由于web04没有与系统用户普通用户devsys绑定,所以访问会失败。
【JumpServer各种用户的关联与管理】就酱。

    推荐阅读