JumpServer各种用户的关联与管理

Posted 2022-04-03 quietguoguo

Jumpserver是一款非常强大的堡垒机，但是新手一般会被他的各种用户和权限搞晕。经过一段时间的使用，我整理了一下，做个记录，也希望能给遇到同样问题的同学一些启发。

1、用户管理

这里的用户指的就是登录到jumpserver的人所使用的的账号。

用户组，就是把相同类型的操作人聚合在一起的组。

在系统初始阶段会有一个admin用户作为系统管理员账号，其他账号可以通过一般情况用户可以手动创建普通用户，也可以通过LDAP同步。

2、资产管理-系统用户

在资产管理中还有一个系统用户。系统用户还分为两种

普通用户和特权用户

其实在JumpServer给的说明里已经很详细了，系统用户（包含普通用户、特权用户）是指服务器上的账号。

在使用中，我个人的建议是先在各个服务器（资产）上创建好特权用户（一般来说root就是一个典型的特权账户，但是直接用root并不安全，可以手动创建一个可以sudo的账号），然后JumpServer中创建​特权用户。

​至于普通用户，可以在JumpServer里直接创建，在其中也会有一些细化的配置，比如sudo，密码等。

系统用户要与资产（服务器）进行绑定，JumpServer上的绑定只是逻辑上的绑定，如果要实现具体功能还是要将账号推送到资产上。

特权用户的推送，基本上是需要服务器管理员提前在服务器上配置好才能实现的。

普通用户的推送，则需要服务器上已经存在特权用户，或者服务器上已经存在该用户。

注意，推送成功，并不代表该账号可以直接使用，也要检查服务器上sshd服务是否有限制。

3、权限管理-资产授权

JumpServer通过资产授权对服务器、用户（JumpServer用户、用户组）、系统用户进行绑定，

通过创建资产授权，我们可以看到，可绑定的内容有 用户/用户组 资产 系统用户

可能会有疑惑，在系统用户中也可以绑定资产，为何这里还要继续绑定资产，其实这个处于管理的一个考虑。绑定后，实际能使用的其实是一个交际，就是资产授权所绑定的资产，与系统用户所绑定资产的交集。

4、总结举例

Jumpserver用户guoguo，归属于运维用户组。

系统用户普通用户devsys绑定了服务器web01 web02 web03

资产授权 dev绑定了运维用户组 普通用户devsys 资产 web02 web03 web04

那么用户guoguo在登录jumpserver后能ssh访问的服务为web02 web03 web04，但由于web04没有与系统用户普通用户devsys绑定，所以访问会失败。

就酱。