关于jumpserver:Jumpserver与Freeipa集成以及其他配置

37次阅读

共计 4821 个字符,预计需要花费 13 分钟才能阅读完成。

背景:

jumpserver 的装置参照:jumpserver 的简略装置应用,Freeipa 的装置参照:Freeipa 的简略搭建配置。筹备将 Freeipa 与 Jumpserver 集成。其实 Freeipa 搭建后 linux 客户端如果装置了 Freeipa client。也能实现用户的受权权限治理了,参照:利用 Freeipa 实现 Liunx 用户身份、权限的对立治理 | 企业平安拥抱开源。然而还是不能很好的实现操作的审计等操作。且用 jumpserver 治理能更好实现用户的操作审计。然而 freeipa 创立的 linux 用户账户的明码批改同步推送也会有各种的问题?该怎么在账号治理中同步账户信息的变更?最初折衷了还是:freeipa 只与 jumpserver 实现认证,同步用户,用户组。同一用户组应用雷同账户(linux 用户)治理。linux 主机不与 freeipa 联动? 前面看一下是否实现用 freeipa 用户 ssh!

注:装置的时候 jumpserver 版本为 3.1.0, 当初最新版本为 3.1.1(重装了一下 latest 默认,当初版本为 3.1.1)!小版本差异这里就疏忽了!

Jumpserver 与 Freeipa 集成

对于 Freeipa 的用户用户组

在 freeipa 与 jenkins 的集成中为创立了 jenkins jenkins-develop jenkins-qa 这样的分组. 这里也创立一个 jumpserver jumpserver-develop jenkins-qa 这样的分组。其实分组应该搞成复用的。这里就先这样演示了,所有应该以本人理论的需要来进行组划分!

创立 jumpserver 分组:

创立 jumpserver jumpserver-develop jumpserver-qa 分组,将 jumpserver-develop jumpserver-qa 组退出 jumpserver 组

将用户退出 jumpserver 对应组

zhangpeng用户作为 jumpserver member managers 用户

jumpserver-develop 组用户如下:

jumpserver-qa 组用户如下:

Freeipa 同步用户到 Jumpserver:

管理员登陆 jumpserver 点击右上角零碎设置:

点击认证设置 -ldap:

参照:FreeIPA 配置笔记,配置 jumpserver 与 freeipa 集成:

输出以下参数:

LDAP 服务器:
  LDAP 地址:            ldap://xxx.xxxx.com:389
  绑定 DN:            uid=zhangpeng,cn=users,cn=accounts,dc=xxx,dc=com
  明码:                xxxx
LDAP 用户:
  用户 OU:            cn=users,cn=accounts,dc=xxx,dc=com
  用户过滤器:          (uid=%(user)s)
  LDAP 属性映射:           {"username":"uid","name":"displayname","email":"mail"}
其余:
  启用 LDAP 认证:        勾选

测试连贯:

用户导入,抉择导入全副:

记得右下角的提交 ldap 配置!

but 用户组是空的, 还是心愿能把组同步过去,而后针对用户组做权限治理:

如何导入用户组呢?

Freeipa 同步用户组到 jumpserver:

用户属性这里 mail 前面加一个, 而后增加“groups”:”memberOf”

提交,导入全副(过后了这里也能够测试以下配置是否胜利!)

切换到控制台用户治理用户列表界面,用户的用户组栏有了相干组信息如下:

点击用户组: 这里有些纠结,不想同步过去那么多组,不晓得又没有大佬指导一二?

前面批改了一下认证设置 LDAP 配置这里的用户过滤器为(&(uid=%(user)s)(!(nsaccountlock=*))(objectclass=organizationalperson))(前提先删除用户治理中 LDAP 用户 and 用户组)

切换到控制台用户治理页面:总算没有名称为空的用户了!

用户组界面也总算清凉了以,这还能承受:

memberof 具体的还是不会玩,这样好歹看的难受多了先这样!

Jumpserver Freeipa 简略应用:

对于资产列表,资产树这里根节点的 Default 无奈批改,就先疏忽了!资产树节点默认以下配置:

当然了腾讯云下还能够加一个地区的节点?这里疏忽了。单地区演示!Develop QA Master 三个环境!

Develop 资产治理的设置:

Develop 环境下 Jumpserver 配置

Develop 环境下筹备增加一台 CVM:
创立抉择平台 - 主机 -linux:

这个中央有个很不喜爱的。为点击了左侧资产树的 Develop 节点这里不能默认追随 …. 还要主动抉择一下?输出相干信息:

增加账户这里输出名称默认上面用户名会跟下面一样,记得批改用户名!明码类型这里依照集体理论状况来。我这里用了一下 ssh-key 的形式:

返回资产列表,看到创立的 develop 资源在列表中展示:

针对资产受权:
左侧控制台边栏:权限治理 - 资产受权 - 创立:

输出规定名称,用户组,资产,节点抉择账号等相干信息,提交:

资产抉择 develop 确认:

最初点击提交:

最终资产受权这里如下:

权限验证:

关上火狐浏览器登陆 jumpserver-develop 组用户,以 huozhonghao 用户为例,点击工作台左侧边栏 -web 终端 - 找到 develop 资产,连贯:

确认失常登陆 develop 资产并操作:

创立资产的时候看到了创立同名账户的选项?

忽然决定 freeipa client 的形式能够尝试一下?Qa 为例:

Qa 资产治理设置:

freeipa-client 配置:

qa 资产 IP 10.0.2.28
批改 hostname

qa-client.xxxxx.com

装置 ipa-client 包:

yum install -y ipa-client

批改 dnsserver 为 ipaserver ip

[root@qa-client ~]#  cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.0.4.52
nameserver 183.60.82.98
nameserver 183.60.83.19

这里有坑,前面会讲!
能够用上面命令使 client 连贯到 server:

ipa-client-install --domain=xxxx.com --no-ntp --realm=xxxx.com --mkhomedir

or

ipa-client-install --mkhomedir

Freeipa web ui 配置:

登陆 freeipa server web UI 确认主机注册胜利:

策略这里,删除原有的两个规定,创立 HBAC 规定 -qa:

编辑规定如下:

Sudo 增加 role role 简略命名为 sudo:

配置参照下图:只指定了组与主机,其余都是 any

Jumpserver 相干配置

创立 10.0.2.28 的 qa 资产,账户列表这里设置为空,临时不增加:

权限治理 - 受权,特地注明账户这里抉择同名账号:

权限验证:

登陆 jumpserver-qa 用户 huozhonghao:
左侧工作台为的资产能够发现 qa and develop 资产:

连贯 qa 资产 - 同名账号。输出用户明码(与登陆 jumpserver 同一明码!)

目测第一次登陆 ssh 会让批改明码,如下, 会须要重置明码(这里就保留原明码了!):

从新登陆如下:,无奈 sudo 是过后没有配置好 freeipa 权限疏忽:

sudo -i 能够切换到 root 用户:

尝试创立 zhangpeng3 用户退出到 jumpserver-qa 组

开其余浏览器 or 切用户为 zhangpeng3, 点击左侧边栏 web 终端。操作 qa 资产树下 qa 资产重置明码(第一次登陆步骤):

sudo - i 验证权限:

尝试 freeipa web 控制台批改明码:

jumpserver 从新连贯 qa 资产明码会显示认证失败,须要从新输出明码能力连贯对应资产控制台(jumpserver Web 如果未退出)!

尝试批改明码能够在资产终端操作 passwd 操作尝试:

退出 jumpserver,从新登陆,曾经显示过来记录的明码谬误,输出批改后的明码进入控制台:

连贯资产 web 终端,从新输出 passwd 更改的新密码:

passwd 如不能批改明码请参照 freeipa 控制台明码策略:

演示以两个环境演示就能够了,master 环境没有必要再操作一遍了!

jumpserver 的其余相干配置

次要是对于零碎设置的这些局部:

从邮件设置开始:

点击邮件设置,点击右侧邮件服务器配置邮件服务器相干配置:

以 qq 邮箱为例:

记录下生成的受权码:

SMTP 主机: smtp.qq.com
SMTP 端口:465
SMTP 账户:xxxxx@qq.com
SMTP 明码:xxxxxx(生成的受权码)

平安设置应用 SSL 开启,提交配置:

给本人邮箱发一封测试邮件尝试:

指标收件人收到测试邮件就示意配置胜利。最终邮件设置这里邮件发送,主体前缀设置为:jumpserver。其余的放弃原有配置保留提交!

音讯订阅

音讯订阅这里能够开启邮箱的订阅形式,并且批改音讯承受人(这里疏忽了。这里好多用户邮箱是假的)!

终端设置:

终端设置的相干配置有很多,这里只着重配置一下 录像存储 and 命令存储

录像存储:

录像存储以腾讯 cos 为例:
创立一个存储桶:

留神这里抉择了公有读写桶,齐全没有必要私有读把?依据权限最小化准则,创立了 一个用户,而后绑定桶:

jumpserver 的相干配置:
这里次要强调端点这里:https://cos.ap-shanghai.myqcloud.com(依据本人区域补充两头的 regin 区域)

留神:我第一次设置成了 https://jumpserver-xxxxxx.cos.ap-shanghai.myqcloud.com。默认的门路会变成这样的

测试设置为 cos 存储为默认:

but 操作了一下 看到 cos 桶并未生生存储文件,重启一下 jumpserver?

尝试后仍然未失效!https://docs.jumpserver.org/zh/v3/guide/storages/#13

操作命令退出后曾经生成录像存储:

命令存储

命令存储能够接入 elasticsearch, 以 elasticsearch 为例:

简略配置一下,日期索引依据需要确认是否开启,提交:

持续更新终端设置:

提交:

普通用户登陆 jumpserver 操作几条简略命令:

登陆 elasticsearch kibana 控制台 索引治理能够看到 相干索引曾经创立:

其余的问题

dns 问题

  1. client nameserver 增加了 ipa server ip

ping ipa server 没有问题,but ping 其余 三级域名呈现问题:

ping: www.xxx.com: Name or service not known

怎么搞呢?这样的问题?我用的也是为理论存在的 domain 域名?呈现这样的无奈解析的问题也是用户不想看到的。解决的形式集体了解应该有两种:
1 . 整一个压根不存在的域名?或者基本不应用无影响的域名如就用 example.com?example.tech。等等相似 ?

  1. 偷懒尝试了一下 不配置 resolv.conf ?
    /etc/hosts 绑定 ipa server and client:

    这样能够不呈现此情况, 解析都没有问题:

    也不须要跟其余 domain 下域名通信,只做用户认证,这样做也是能够的。

    单节点异样

    节点其实也是失常的,然而 web ui 登陆 admin 呈现了异样,普通用户都能够登陆 web UI, 也能够登陆其余利用。不晓得狐疑什么问题要,重启日志也没有什么输入, 想狐疑一下随机数生成器?装置了一下依照一下文档:

    前面没有怎么呈现这问题,然而还是有不可用因素,筹备后续将 freeipa ha 部署为高可用!rngd 可能会无奈启动
    将:ConditionVirtualization=!container 中!去掉可失常启动:

    systemctl daemon-reload
    systemctl restart rngd

正文完
 0