Jumpserver高级使用（二）Centos7环境

jumpserver高级使用（Centos7环境）环境：一台可用的安装了Jumpserver系统的主机（堡垒机），一台或多台可用的Linux、Windows资产设备（Managedasset）角色IPjumpserver192.168.2.5server(资产机)192.168.2.61.系统设置配置qq邮箱SMTP服务下拉到此键作为登录密码。如果获取密钥后更改QQ密码，则密钥失效，需要重新获取。如果你已经开通了smtp服务，但是没有key，关闭再重新打开服务smtppassword，输入qq给你的字符串密码，测试连接。根据jumpserver版本修改系统设置后，需要手动重启jumpserver，返回终端运行./jmsrestartall，在./cocodrestart下返回cocod终端，涉及到的组件也会重启。2.创建用户。用户名为Jumpserver登录帐户。用户组用于资产授权。当某项资产授权给某个用户组后，该用户组下的所有用户都可以使用该资产。角色用于区分用户是管理员还是普通用户。①创建用户组。如果刚刚解决了无法发送邮件的问题，还没有收到重置密码的邮件，回到用户列表点击要发送的用户，在基本设置中选择发送重置密码邮件系统，当前站点的URL需要支持域名解析。比如内网实验，需要填写jumpserverip:8080，并手动重启jumpserver，否则无法跳转到jumpserver②生成用户密钥，返回jumpserver(py3)[root@localhost~]#ssh-keygen-trsa-C"441811842@qq.com"(py3)[root@localhost~]#cat.ssh/id_rsa.pubssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCjoNuvOLm+nTh1lm7m/KXjIRXdL+54sOUa+Z1QKX/x/g11PyQoitMh2XpalhimMKHEJ1IbpI64eOAM4mfDLIeKa06jrRR/i1eD8lWNO8E2dcz9d9z5ldRvimac8qoB3psCW75tR26nDuwqBqgiBId1Uu0c6bi9HwkiclRJLbk1KziUqjl6TRU0EfDUe0KjtCxTJVLDjtzKmvRheWWCNVdz1Pa5r44a8QsJET/yvTZaC/PQRcyYNl+IiVmMlTixYBGt2V5+yCT5iQDNKeH/pc/mu1pqdoInHCzdlSZ/uxZGSroimDbh1vtgOCW6H6mnhIBCD6TOrBSHEJS7r7iTb6ej441811842@qq.com复制到用户公钥处，提交③确保Coco存活，在终端可以查看2222端口是否存在使用命令行Testlogin,use2.6测试连接连接到192.168.2.6:22...已建立连接。要转义到本地shell，请按“Ctrl+Alt+]”。上次登录：2018年5月28日星期一18:10:15来自192.168.2.1[root@localhost~]#ssh-p2222wushuting@192.168.2.5T无法建立主机“[192.168.2.5]:2222([192.168.2.5]:2222)”的身份验证。RSA密钥指纹为77:a3:09:bc:58:61:d8:f2:7d:1a:f1:ba:67:79:ec:fc。您确定要继续连接吗（是/否）？yesWarning:永久添加'[192.168.2.5]:2222'(RSA)到已知主机列表。wushuting@192.168.2.5的密码：Opt>exitConnectionto192.168.2.5closed。测试成功，说明jumpserver与assetmachine用户的通信正常。root，或者一个拥有NOPASSWD:ALLsudo权限的用户，Jumpserver使用这个用户推送系统用户，获取资产硬件信息等。如果使用ssh私钥，需要先在资产上设置。这里举个例子供参考（本例以root登录资产为例）[root@localhost~]#cat.ssh/id_rsa.pub>>~/.ssh/authorized_keys[root@localhost~]#chmod400~/.ssh/authorized_keys[root@localhost~]#vim/etc/ssh/sshd_config...RSAAuthenticationyesPubkeyAuthenticationyesAuthorizedKeysFile.ssh/authorized_keys...[root@localhost~]#systemctlrestartsshd[root@localhost~]#ssh-copy-id192.168.2.5key和password都要填写，可以选择将asset机器的id_rsa复制到host机器上，如果使用root密码，即assetmachinerootpassword，选择4.创建系统用户系统用户是jumpserver跳转登录资产时使用的用户，可以理解为登录资产用户，如web,sa,dba(sshweb@some-host),而不是使用某个用户的用户名登录服务器(sshxiaoming@some-host);简单来说就是用户用自己的用户名登录Jumpserver，Jumpserver用系统用户登录资产系统用户的Sudo栏填写当前系统用户。没有sudo密码执行的程序路径，比如默认的/sbin/ifconfig，表示当前系统用户可以直接执行ifconfig命令或者sudoifconfig，不需要输入当前系统用户的密码，仍然需要输入密码才能执行其他命令。为了达到权限控制的目的，我这里自己创建了，点击返回更新后的界面，在正常界面会显示自动生成密钥。如果资产机没有该系统用户，这里选择自动生成密钥。如果用户存在，可以选择对应的密码5.创建资产后，返回资产列表，选择资产进行连接测试。如果无法正常连接资产，请检查管理用户的用户名和密钥是否正确，管理用户是否可以使用SSH从Jumpserver主机正确登录资产主机六、创建域创建网关（如果没有网关，可以跳过这一步）IP信息一般默认填写域资产的IP（如果用作域的资产有多个网卡和IP地址，随便选一个可以的IP即可）与jumpserer通信），用户名和密码可以在asset上创建或者使用jumpserver的push功能（需要手动输入密码），确认用户有权限执行ssh命令jumpserver：(py3)[root@localhost.ssh]#useraddgateway(py3)[root@localhost.ssh]#passwdgateway更改用户网关的密码新密码：无效密码：密码字典检查失败-过于简单/系统化重新输入新密码：passwd:AllauthtokensalreadySuccessfulupdate7.创建授权规则创建的授权规则必须和节点一致！！使用前必须先回到系统用户、管理用户、资产列表找到测试连接界面，测试所有连接，没有报错后继续下一步！！如有错误，访问官方FAQ：http://docs.jumpserver.org/zh...八、用户使用右上角授权资产注销用户，选择登录测试用户登录，选择web端双击进入asset，如果报错，参考官网FAQhttp://docs.jumpserver.org/zh...断开assets9.搭建和使用遇到的问题I遇到luna版本和coco版本不兼容的问题。可能是最近更新coco版本导致luna失败前端显示错误前的luna版本：进入前端Luna空白页不显示解决方法：进入jumpserver[root@localhostopt]#lscocojumpserver记录luna.tar.gznginx-1.14.0.tar.gzrhdist。tar.gzkeyslunanginx-1.14.0py3sessions(py3)[root@localhostjumpserver]#./jmsstop[root@localhostopt]#rm-rfluna删除旧版本的luna，去github下载最新Luna访问：https://github.com/jumpserver...复制下载链接使用下载wget到jumpserver，解压luna移动到/opt重启jumpserver、coco及各种组件，删除浏览器缓存，或者换浏览器继续尝试特别感谢jumpserver开源社区官方文档：http://文档.jumpserver。org/zh...错误常见问题解答：http://docs.jumpserver.org/zh...