概要

社区版,特权用户,仅可添加 SSH,不支持 RDP(企业版支持)。

实测下来 RDP特权用户 对已加域的计算机,作用不大。
对于未加域的计算机,需要先在电脑中创建用户,然后回到 JumpServer 中配置计算机账户,并将计算机资产及计算机账户授权给用户。

当使用 SSH特权用户时,可比较方便的管理基本不会加域的 Linux 计算机。在创建计算机普通用户时,记得勾选自动推送,那么当用户登录时,会自动在 Linux 计算机上创建对应用户。
当配置 sudo 免密授权对象为用户组时,只需要在打开自动推送后,在下方将用户加入 sudo 免密用户组,则新用户创建后,则能拥有 sudo 免密权限。

JumpServer 更新速度很快(几天更新一次),似乎验证做的并不是很好,从开始下载到测试部分功能,大约 2 个月不到,就更新了 N 多小版本,两个次版本),根据更新记录概来看,有新增功能,也有很多 Bug 修复。
所以,如果当前版本在使用上没有问题时,不建议经常升级!除非真的有新功能需求。同时不建议暴露在公网!!!

创建、同步用户

系统设置->认证设置->LDAP(记得启用 LDAP 认证)
配置后,搜索并勾选用户,选择导入即可。

创建资产

视图:控制台
资产管理->资产列表,点击创建即可。

由于 IP 使用最多,资产名称建议以 IP 命名。
同时可在 IP 后添加 -win -linux,来增加感官上的识别度。
加域计算机需将 Domain Users 加入到 Remote Desktop Users 或 Administrators 组。至于加哪个组,根据业务要求。
例如:192.168.1.1-win

创建系统用户

视图:控制台
资产管理->系统用户->普通用户,创建 SSH 或 RDP 之类的,根据实际选择。

系统用户计算机(Winodws,Linux)中实际存在的用户。需要在此处单独创建,以便后续跟用户关联。
命名方式:帐号 + 协议(rdp、ssh等) + dyn(动态用户名)
命名上未对密码进行感官上的区分,个人感觉没有意义。并且,认证方式(密码),加域计算机建议选择手动输入。
例如:shanks-rdp

建议至少创建两个通用动态用户:dyn-rdp,dyn-ssh。用户名(动态输入),认证方式(手动输入)。
当然还可在 dyn-rdp 后面继续加 -部门标识,来做感官上的区分。

资产授权

资产授权是将 JumpServer用户,计算机资产,计算机系统用户三者关联起来的操作。

以 Windows 资产为例,连起来说就是,授权 JumpServer平台的用户A 使用 Windows资产B中的系统用户C 且 以某种协议D 登陆 Windows资产B。
其中的条件都必须匹配,错一个都不行。如果出现授权后,无法访问,请逐一检查。

视图:控制台
权限管理->资产授权

命名方式:资产名称 + _ + 系统用户名称
例如:192.168.1.1-win_shanks-rdp

操作审计(视频、命令[按键输入]、上传下载记录)

视频审计:支持 SSH 与 RDP
对 Windows RDP 与 Linux SSH 均有效,所有的操作均会被录制,并且会同时记录操作命令(键盘的按键输入)。

其 Windows 下的视频录制大小大约为 3M 每分(注意,此处为日常操作,较少命令的情况下测试)。
当用户播放视频,则录像大小会激增,与视频质量有直接关系!出现 1分钟 50M 或以上也正常。
从测试结果来看,不建议具有视频工作需求的服务器上用此应用。(对硬盘读写压力太大)

文件传输审计:只会记录文件名,不会保存原始文件。

在线会话:实时审计用户操作,屏幕监控。

历史会话:录像回放审计,记录可下载,可使用指定软件进行回放。

视频审计的文件可通过网页回放(不可拖动或按键快进,可点击选择时间点(系统自己快进),播放时不好操作,暂停时好操作),或下载。
播放软件下载地址:https://github.com/jumpserver/VideoPlayer

最后修改:2022 年 09 月 16 日 06 : 02 PM
如果觉得文章帮助了您,您可以随意赞赏。