关于jumpserver:Jumpserver与Freeipa集成以及其他配置

背景：

jumpserver 的装置参照：jumpserver 的简略装置应用，Freeipa 的装置参照：Freeipa 的简略搭建配置。筹备将 Freeipa 与 Jumpserver 集成。其实 Freeipa 搭建后 linux 客户端如果装置了 Freeipa client。也能实现用户的受权权限治理了，参照：利用 Freeipa 实现 Liunx 用户身份、权限的对立治理 | 企业平安拥抱开源。然而还是不能很好的实现操作的审计等操作。且用 jumpserver 治理能更好实现用户的操作审计。然而 freeipa 创立的 linux 用户账户的明码批改同步推送也会有各种的问题？该怎么在账号治理中同步账户信息的变更？最初折衷了还是：freeipa 只与 jumpserver 实现认证，同步用户，用户组。同一用户组应用雷同账户（linux 用户）治理。linux 主机不与 freeipa 联动? 前面看一下是否实现用 freeipa 用户 ssh!

注：装置的时候 jumpserver 版本为 3.1.0, 当初最新版本为 3.1.1（重装了一下 latest 默认，当初版本为 3.1.1）！小版本差异这里就疏忽了！

Jumpserver 与 Freeipa 集成

对于 Freeipa 的用户用户组

在 freeipa 与 jenkins 的集成中为创立了 jenkins jenkins-develop jenkins-qa 这样的分组. 这里也创立一个 jumpserver jumpserver-develop jenkins-qa 这样的分组。其实分组应该搞成复用的。这里就先这样演示了，所有应该以本人理论的需要来进行组划分！

创立 jumpserver 分组：

创立 jumpserver jumpserver-develop jumpserver-qa 分组，将 jumpserver-develop jumpserver-qa 组退出 jumpserver 组

将用户退出 jumpserver 对应组

zhangpeng用户作为 jumpserver member managers 用户

jumpserver-develop 组用户如下：

jumpserver-qa 组用户如下：

Freeipa 同步用户到 Jumpserver：

管理员登陆 jumpserver 点击右上角零碎设置：

点击认证设置 -ldap:

参照：FreeIPA 配置笔记，配置 jumpserver 与 freeipa 集成：

输出以下参数：

LDAP 服务器:
  LDAP 地址:            ldap://xxx.xxxx.com:389
  绑定 DN:            uid=zhangpeng,cn=users,cn=accounts,dc=xxx,dc=com
  明码:                xxxx
LDAP 用户:
  用户 OU:            cn=users,cn=accounts,dc=xxx,dc=com
  用户过滤器:          (uid=%(user)s)
  LDAP 属性映射:           {"username":"uid","name":"displayname","email":"mail"}
其余:
  启用 LDAP 认证:        勾选

测试连贯：

用户导入，抉择导入全副：

记得右下角的提交 ldap 配置！

but 用户组是空的, 还是心愿能把组同步过去，而后针对用户组做权限治理：

如何导入用户组呢？

Freeipa 同步用户组到 jumpserver:

用户属性这里 mail 前面加一个, 而后增加“groups”:”memberOf”

提交，导入全副（过后了这里也能够测试以下配置是否胜利！）

切换到控制台用户治理用户列表界面，用户的用户组栏有了相干组信息如下：

点击用户组: 这里有些纠结，不想同步过去那么多组，不晓得又没有大佬指导一二？

前面批改了一下认证设置 LDAP 配置这里的用户过滤器为(&(uid=%(user)s)(!(nsaccountlock=*))(objectclass=organizationalperson))（前提先删除用户治理中 LDAP 用户 and 用户组）

切换到控制台用户治理页面：总算没有名称为空的用户了！

用户组界面也总算清凉了以，这还能承受：

memberof 具体的还是不会玩，这样好歹看的难受多了先这样！

Jumpserver Freeipa 简略应用：

对于资产列表，资产树这里根节点的 Default 无奈批改，就先疏忽了！资产树节点默认以下配置：

当然了腾讯云下还能够加一个地区的节点？这里疏忽了。单地区演示！Develop QA Master 三个环境！

Develop 资产治理的设置：

Develop 环境下 Jumpserver 配置

Develop 环境下筹备增加一台 CVM:
创立抉择平台 - 主机 -linux:

这个中央有个很不喜爱的。为点击了左侧资产树的 Develop 节点这里不能默认追随 …. 还要主动抉择一下？输出相干信息：

增加账户这里输出名称默认上面用户名会跟下面一样，记得批改用户名！明码类型这里依照集体理论状况来。我这里用了一下 ssh-key 的形式：

返回资产列表，看到创立的 develop 资源在列表中展示：

针对资产受权：
左侧控制台边栏：权限治理 - 资产受权 - 创立：

输出规定名称，用户组，资产，节点抉择账号等相干信息，提交：

资产抉择 develop 确认：

最初点击提交：

最终资产受权这里如下：

权限验证：

关上火狐浏览器登陆 jumpserver-develop 组用户，以 huozhonghao 用户为例，点击工作台左侧边栏 -web 终端 - 找到 develop 资产，连贯：

确认失常登陆 develop 资产并操作：

创立资产的时候看到了创立同名账户的选项？

忽然决定 freeipa client 的形式能够尝试一下？Qa 为例：

Qa 资产治理设置：

freeipa-client 配置：

qa 资产 IP 10.0.2.28
批改 hostname

qa-client.xxxxx.com

装置 ipa-client 包：

yum install -y ipa-client

批改 dnsserver 为 ipaserver ip

[root@qa-client ~]#  cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.0.4.52
nameserver 183.60.82.98
nameserver 183.60.83.19

这里有坑，前面会讲！
能够用上面命令使 client 连贯到 server:

ipa-client-install --domain=xxxx.com --no-ntp --realm=xxxx.com --mkhomedir

or

ipa-client-install --mkhomedir

Freeipa web ui 配置：

登陆 freeipa server web UI 确认主机注册胜利：

策略这里，删除原有的两个规定，创立 HBAC 规定 -qa：

编辑规定如下：

Sudo 增加 role role 简略命名为 sudo:

配置参照下图：只指定了组与主机，其余都是 any

Jumpserver 相干配置

创立 10.0.2.28 的 qa 资产，账户列表这里设置为空，临时不增加：

权限治理 - 受权，特地注明账户这里抉择同名账号：

权限验证：

登陆 jumpserver-qa 用户 huozhonghao:
左侧工作台为的资产能够发现 qa and develop 资产：

连贯 qa 资产 - 同名账号。输出用户明码（与登陆 jumpserver 同一明码！）

目测第一次登陆 ssh 会让批改明码，如下, 会须要重置明码（这里就保留原明码了！）：

从新登陆如下：，无奈 sudo 是过后没有配置好 freeipa 权限疏忽：

sudo -i 能够切换到 root 用户：

尝试创立 zhangpeng3 用户退出到 jumpserver-qa 组

开其余浏览器 or 切用户为 zhangpeng3, 点击左侧边栏 web 终端。操作 qa 资产树下 qa 资产重置明码（第一次登陆步骤）：

sudo - i 验证权限：

尝试 freeipa web 控制台批改明码：

jumpserver 从新连贯 qa 资产明码会显示认证失败，须要从新输出明码能力连贯对应资产控制台（jumpserver Web 如果未退出）！

尝试批改明码能够在资产终端操作 passwd 操作尝试：

退出 jumpserver，从新登陆，曾经显示过来记录的明码谬误，输出批改后的明码进入控制台：

连贯资产 web 终端，从新输出 passwd 更改的新密码：

passwd 如不能批改明码请参照 freeipa 控制台明码策略：

演示以两个环境演示就能够了，master 环境没有必要再操作一遍了！

jumpserver 的其余相干配置

次要是对于零碎设置的这些局部：

从邮件设置开始：

点击邮件设置，点击右侧邮件服务器配置邮件服务器相干配置：

以 qq 邮箱为例：

记录下生成的受权码:

SMTP 主机: smtp.qq.com
SMTP 端口：465
SMTP 账户：xxxxx@qq.com
SMTP 明码：xxxxxx(生成的受权码)

平安设置应用 SSL 开启，提交配置：

给本人邮箱发一封测试邮件尝试：

指标收件人收到测试邮件就示意配置胜利。最终邮件设置这里邮件发送，主体前缀设置为:jumpserver。其余的放弃原有配置保留提交！

音讯订阅

音讯订阅这里能够开启邮箱的订阅形式，并且批改音讯承受人（这里疏忽了。这里好多用户邮箱是假的）！

终端设置：

终端设置的相干配置有很多，这里只着重配置一下 录像存储 and 命令存储：

录像存储：

录像存储以腾讯 cos 为例：
创立一个存储桶：

留神这里抉择了公有读写桶，齐全没有必要私有读把？依据权限最小化准则，创立了 一个用户，而后绑定桶：

jumpserver 的相干配置：
这里次要强调端点这里：https://cos.ap-shanghai.myqcloud.com（依据本人区域补充两头的 regin 区域）

留神：我第一次设置成了 https://jumpserver-xxxxxx.cos.ap-shanghai.myqcloud.com。默认的门路会变成这样的

测试设置为 cos 存储为默认：

but 操作了一下 看到 cos 桶并未生生存储文件，重启一下 jumpserver?

尝试后仍然未失效！https://docs.jumpserver.org/zh/v3/guide/storages/#13

操作命令退出后曾经生成录像存储:

命令存储

命令存储能够接入 elasticsearch, 以 elasticsearch 为例:

简略配置一下，日期索引依据需要确认是否开启，提交：

持续更新终端设置：

提交：

普通用户登陆 jumpserver 操作几条简略命令：

登陆 elasticsearch kibana 控制台 索引治理能够看到 相干索引曾经创立：

其余的问题

dns 问题

1. client nameserver 增加了 ipa server ip

ping ipa server 没有问题，but ping 其余 三级域名呈现问题：

ping: www.xxx.com: Name or service not known

怎么搞呢？这样的问题？我用的也是为理论存在的 domain 域名？呈现这样的无奈解析的问题也是用户不想看到的。解决的形式集体了解应该有两种：
1 . 整一个压根不存在的域名？或者基本不应用无影响的域名如就用 example.com？example.tech。等等相似 ?

2. 偷懒尝试了一下 不配置 resolv.conf ?
   /etc/hosts 绑定 ipa server and client:

   这样能够不呈现此情况, 解析都没有问题：

   也不须要跟其余 domain 下域名通信，只做用户认证，这样做也是能够的。

   单节点异样

   节点其实也是失常的，然而 web ui 登陆 admin 呈现了异样，普通用户都能够登陆 web UI, 也能够登陆其余利用。不晓得狐疑什么问题要，重启日志也没有什么输入, 想狐疑一下随机数生成器？装置了一下依照一下文档：

   前面没有怎么呈现这问题，然而还是有不可用因素，筹备后续将 freeipa ha 部署为高可用！rngd 可能会无奈启动
   将：ConditionVirtualization=！container 中！去掉可失常启动：

   systemctl daemon-reload
   systemctl restart rngd