Jumpserver与Freeipa集成(以及其他配置)
背景:
Jumpserver和Freeipa是两种常用的开源运维工具,Jumpserver用于操作审计,而Freeipa用于用户和组的管理。本文将探讨如何将Freeipa与Jumpserver集成,以实现更高效的用户管理和操作审计。
注:安装的时候jumpserver版本为3.1.0,现在最新版本为3.1.1(重装了一下latest默认,现在版本为3.1.1)!小版本差别这里就忽略了!
Jumpserver与Freeipa集成
关于Freeipa 的用户用户组
在Freeipa与Jenkins的集成中,为创建了Jenkins-Develop、Jenkins-QA这样的分组。这里也创建一个Jumpserver-Develop、Jumpserver-QA这样的分组。其实分组应该搞成复用的。这里就先这样演示了,一切应该以自己实际的需求来进行组划分!
创建Jumpserver分组:
创建Jumpserver-Develop、Jumpserver-QA分组,将 Jumpserver-Develop、Jumpserver-QA组加入Jumpserver组
将用户加入Jumpserver对应组:
zhangpeng用户作为Jumpserver member managers用户
Jumpserver-Develop组用户如下:
Jumpserver-QA组用户如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R1zMkZwq-1681219839400)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/e3eb1f4a90ad469d90d3c3274ef6036a~tplv-k3u1fbpfcp-zoom-1.image)]
Freeipa同步用户到Jumpserver:
管理员登录Jumpserver 点击右上角系统设置:
点击认证设置-ldap:
参照: FreeIPA配置笔记,配置jumpserver与freeipa集成:
输入以下参数:
LDAP服务器:LDAP地址: ldap://xxx.xxxx.com:389
绑定 DN: uid=zhangpeng,cn=users,cn=accounts,dc=xxx,dc=com
密码: xxxx
LDAP用户:用户 OU: cn=users,cn=accounts,dc=xxx,dc=com
用户过滤器: (uid=%(user)s)
LDAP属性映射: {"username":"uid","name":"displayname","email":"mail"}
其他:启用 LDAP 认证: 勾选
测试连接:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Nc4DHg3L-1681219839401)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/d5b10f820e8647a396fd8b76ab4b1d1c~tplv-k3u1fbpfcp-zoom-1.image)]
用户导入,选择导入全部:
记得右下角的提交 ldap配置!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ofVhzLlL-1681219839401)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/175504ea10f940aaad13691ccf44cee6~tplv-k3u1fbpfcp-zoom-1.image)]
but用户组是空的,还是希望能把组同步过来,然后针对用户组做权限管理:
如何导入用户组呢?
Freeipa同步用户组到jumpserver:
用户属性这里mail后面加一个,然后添加“groups”:“memberOf”
提交,导入全部(当然了这里也可以测试以下配置是否成功!)
切换到控制台用户管理用户列表界面,用户的用户组栏有了相关组信息如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3ZVIf5O-1681219839402)(https://p3-juejin.byteimg.com/tos-cn
背景:
jumpserver的安装参照:jumpserver的简单安装使用,Freeipa的安装参照:Freeipa的简单搭建配置。准备将Freeipa与Jumpserver集成。其实Freeipa搭建后linux客户端如果安装了Freeipa client。也能完成用户的授权权限管理了,参照:利用Freeipa实现Liunx用户身份、权限的统一管理 | 企业安全拥抱开源 。但是还是不能很好的完成操作的审计等操作。且用jumpserver管理能更好完成用户的操作审计。但是freeipa创建的linux用户账户的密码修改同步推送也会有各种的问题?该怎么在账号管理中同步账户信息的变更?最后折衷了还是:freeipa只与jumpserver完成认证,同步用户,用户组。同一用户组使用相同账户(linux用户)管理。linux主机不与freeipa联动?后面看一下能否实现用freeipa用户ssh!
注:安装的时候jumpserver版本为3.1.0,现在最新版本为3.1.1(重装了一下latest默认,现在版本为3.1.1)!小版本差别这里就忽略了!
Jumpserver与Freeipa集成
关于Freeipa 的用户用户组
在freeipa 与jenkins的集成中为创建了jenkins jenkins-develop jenkins-qa这样的分组.这里也创建一个jumpserver jumpserver-develop jenkins-qa这样的分组。其实分组应该搞成复用的。这里就先这样演示了,一切应该以自己实际的需求来进行组划分!
创建jumpserver分组:
创建jumpserver jumpserver-develop jumpserver-qa分组,将 jumpserver-develop jumpserver-qa组加入jumpserver组
将用户加入jumpserver对应组
zhangpeng用户作为jumpserver member managers用户
jumpserver-develop组用户如下:
jumpserver-qa组用户如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R1zMkZwq-1681219839400)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/e3eb1f4a90ad469d90d3c3274ef6036a~tplv-k3u1fbpfcp-zoom-1.image)]
Freeipa同步用户到Jumpserver:
管理员登陆jumpserver 点击右上角系统设置:
点击认证设置-ldap:
参照: FreeIPA配置笔记,配置jumpserver与freeipa集成:
输入以下参数:
LDAP服务器:LDAP地址: ldap://xxx.xxxx.com:389绑定 DN: uid=zhangpeng,cn=users,cn=accounts,dc=xxx,dc=com密码: xxxx
LDAP用户:用户 OU: cn=users,cn=accounts,dc=xxx,dc=com用户过滤器: (uid=%(user)s)LDAP属性映射: {"username":"uid","name":"displayname","email":"mail"}
其他:启用 LDAP 认证: 勾选
测试连接:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Nc4DHg3L-1681219839401)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/d5b10f820e8647a396fd8b76ab4b1d1c~tplv-k3u1fbpfcp-zoom-1.image)]
用户导入,选择导入全部:
记得右下角的提交 ldap配置!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ofVhzLlL-1681219839401)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/175504ea10f940aaad13691ccf44cee6~tplv-k3u1fbpfcp-zoom-1.image)]
but用户组是空的,还是希望能把组同步过来,然后针对用户组做权限管理:
如何导入用户组呢?
Freeipa同步用户组到jumpserver:
用户属性这里mail后面加一个,然后添加“groups”:“memberOf”
提交,导入全部(当时了这里也可以测试以下配置是否成功!)
切换到控制台用户管理用户列表界面,用户的用户组栏有了相关组信息如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3ZVIf5O-1681219839402)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/ec781358fb2b41daa77ddce6fc1db061~tplv-k3u1fbpfcp-zoom-1.image)]
点击用户组:这里有些纠结,不想同步过来那么多组,不知道又没有大佬指点一二?
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BcYN0fJN-1681219839402)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/aa7899920880422f97f674abe612fa1d~tplv-k3u1fbpfcp-zoom-1.image)]
后面修改了一下认证设置LDAP配置这里的用户过滤器为(&(uid=%(user)s)(!(nsaccountlock=*))(objectclass=organizationalperson))(前提先删除用户管理中LDAP用户and用户组)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jfvoFMQE-1681219839402)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/aa3b65067b9f4aae93792923fc929e3a~tplv-k3u1fbpfcp-zoom-1.image)]
切换到控制台用户管理页面:总算没有名称为空的用户了!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vfI8SocQ-1681219839403)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/8c1e080b9fac4d559704cf6a5a433d86~tplv-k3u1fbpfcp-zoom-1.image)]
用户组界面也总算清凉了以,这还能接受:
memberof具体的还是不会玩,这样好歹看的舒服多了先这样!
Jumpserver Freeipa简单使用:
关于资产列表,资产树这里根节点的Default无法修改,就先忽略了!资产树节点默认以下配置:
当然了腾讯云下还可以加一个地域的节点?这里忽略了。单地域演示!Develop QA Master三个环境!
Develop资产管理的设置:
Develop环境下Jumpserver配置
Develop环境下准备添加一台CVM:
创建选择平台-主机 -linux:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sXrbeVkt-1681219839403)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/166ad7da1bc74c408caf37c46f92fbf0~tplv-k3u1fbpfcp-zoom-1.image)]
这个地方有个很不喜欢的。为点击了左侧资产树的Develop 节点这里不能默认跟随…还要自动选择一下?输入相关信息:
添加账户这里输入名称默认下面用户名会跟上面一样,记得修改用户名!密码类型这里按照个人实际情况来。我这里用了一下ssh-key的方式:
返回资产列表,看到创建的develop资源在列表中展现:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-trq7VxQ8-1681219839404)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1167110047934b34b2d0807d531f7dd4~tplv-k3u1fbpfcp-zoom-1.image)]
针对资产授权:
左侧控制台边栏:权限管理-资产授权-创建:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ytt2WydS-1681219839404)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/455cd90571d4491aa5aeb6e7fe9b332d~tplv-k3u1fbpfcp-zoom-1.image)]
输入规则名称,用户组,资产,节点选择账号等相关信息,提交:
资产选择develop确认:
