背景：

jumpserver的装置参照：jumpserver的简略装置运用，Freeipa的装置参照：Freeipa的简略建立装备。预备将Freeipa与Jumpserver集成。其实Freeipa建立后linux客户端假如装置了Freeipa client。也能完结用户的授权权限办理了，参照：利用Freeipa完结Liunx用户身份、权限的统一办理 | 企业安全拥抱开源 。可是仍是不能很好的完结操作的审计等操作。且用jumpserver办理能更好完结用户的操作审计。可是freeipa创立的linux用户账户的暗码修正同步推送也会有各种的问题？该怎么在账号办理中同步账户信息的变更？终究折衷了仍是：freeipa只与jumpserver完结认证，同步用户，用户组。同一用户组运用相同账户（linux用户）办理。linux主机不与freeipa联动?后边看一下能否完结用freeipa用户ssh!

注：装置的时分jumpserver版本为3.1.0,现在最新版本为3.1.1（重装了一下latest默许，现在版本为3.1.1）！小版本不同这儿就疏忽了！

Jumpserver与Freeipa集成

关于Freeipa 的用户用户组

在freeipa 与jenkins的集成中为创立了jenkins jenkins-develop jenkins-qa这样的分组.这儿也创立一个jumpserver jumpserver-develop jenkins-qa这样的分组。其实分组应该搞成复用的。这儿就先这样演示了，悉数应该以自己实际的需求来进行组划分！

创立jumpserver分组：

创立jumpserver jumpserver-develop jumpserver-qa分组，将 jumpserver-develop jumpserver-qa组参加jumpserver组

将用户参加jumpserver对应组

zhangpeng用户作为jumpserver member managers用户

jumpserver-develop组用户如下：

jumpserver-qa组用户如下：

Freeipa同步用户到Jumpserver：

办理员登陆jumpserver 点击右上角体系设置：

点击认证设置-ldap:

参照： FreeIPA装备笔记，装备jumpserver与freeipa集成：

输入以下参数：

LDAP服务器:
  LDAP地址:			ldap://xxx.xxxx.com:389
  绑定 DN:			uid=zhangpeng,cn=users,cn=accounts,dc=xxx,dc=com
  暗码:				xxxx
LDAP用户:
  用户 OU:			cn=users,cn=accounts,dc=xxx,dc=com
  用户过滤器:		  (uid=%(user)s)
  LDAP特点映射:		   {"username":"uid","name":"displayname","email":"mail"}
其他:
  启用 LDAP 认证:		勾选

测验衔接：

用户导入，挑选导入悉数：

记得右下角的提交 ldap装备！

but用户组是空的,仍是期望能把组同步过来，然后针对用户组做权限办理：

怎么导入用户组呢？

Freeipa同步用户组到jumpserver:

用户特点这儿mail后边加一个,然后增加“groups”:”memberOf”

提交，导入悉数（其时了这儿也能够测验以下装备是否成功！）

切换到控制台用户办理用户列表界面，用户的用户组栏有了相关组信息如下：

点击用户组:这儿有些纠结，不想同步过来那么多组，不知道又没有大佬点拨一二？

后边修正了一下认证设置LDAP装备这儿的用户过滤器为**(&(uid=%(user)s)(!(nsaccountlock=*))(objectclass=organizationalperson))**（前提先删去用户办理中LDAP用户and用户组）

切换到控制台用户办理页面：总算没有称号为空的用户了！

用户组界面也总算清凉了以，这还能承受：

memberof详细的仍是不会玩，这样好歹看的舒服多了先这样！

Jumpserver Freeipa简略运用：

关于财物列表，财物树这儿根节点的Default无法修正，就先疏忽了！财物树节点默许以下装备：

当然了腾讯云下还能够加一个地域的节点？这儿疏忽了。单地域演示！Develop QA Master三个环境！

Develop财物办理的设置：

Develop环境下Jumpserver装备

Develop环境下预备增加一台CVM: 创立挑选平台-主机 -linux:

这个当地有个很不喜爱的。为点击了左边财物树的Develop 节点这儿不能默许跟从….还要主动挑选一下？输入相关信息：

增加账户这儿输入称号默许下面用户名会跟上面相同，记得修正用户名！暗码类型这儿依照个人实际情况来。我这儿用了一下ssh-key的方法：

返回财物列表，看到创立的develop资源在列表中展示：

针对财物授权： 左边控制台边栏：权限办理-财物授权-创立：

输入规矩称号，用户组，财物，节点挑选账号等相关信息，提交：

财物挑选develop承认：

终究点击提交：

终究财物授权这儿如下：

权限验证：

打开火狐浏览器登陆jumpserver-develop组用户，以huozhonghao用户为例，点击工作台左边边栏-web终端-找到develop财物，衔接：

承认正常登陆develop财物并操作：

创立财物的时分看到了创立同名账户的选项？

突然决定freeipa client的方法能够测验一下？Qa为例：

Qa财物办理设置：

freeipa-client 装备：

qa 财物IP 10.0.2.28 修正hostname

qa-client.xxxxx.com

装置ipa-client包：

yum install -y ipa-client

修正dnsserver 为 ipaserver ip

[root@qa-client ~]#  cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.0.4.52
nameserver 183.60.82.98
nameserver 183.60.83.19

这儿有坑，后边会讲！ 能够用下面指令使client 衔接到server:

ipa-client-install --domain=xxxx.com --no-ntp --realm=xxxx.com --mkhomedir

or

ipa-client-install --mkhomedir

Freeipa web ui装备：

登陆freeipa server web UI 承认主机注册成功：

战略这儿，删去原有的两个规矩，创立HBAC规矩-qa：

编辑规矩如下：

Sudo 增加role role简略命名为sudo:

装备参照下图：只指定了组与主机 ，其他都是any

Jumpserver相关装备

创立10.0.2.28的 qa财物，账户列表这儿设置为空，暂时不增加：

权限办理-授权，特别注明账户这儿挑选同名账号：

权限验证：

登陆jumpserver-qa用户huozhonghao: 左边工作台为的财物能够发现qa and develop财物：

衔接qa财物-同名账号。输入用户暗码（与登陆jumpserver同一暗码！）

目测第一次登陆ssh会让修正暗码，如下,会需要重置暗码（这儿就保留原暗码了！）：

从头登陆如下：，无法sudo是其时没有装备好freeipa权限疏忽：

sudo -i 能够切换到root用户：

测验创立zhangpeng3用户参加到jumpserver-qa组

开其他浏览器or切用户为zhangpeng3,点击左边边栏web终端。操作qa财物树下qa财物重置暗码（第一次登陆步骤）：

sudo -i验证权限：

测验freeipa web控制台修正暗码：

jumpserver 从头衔接qa财物暗码会显现认证失败，需要从头输入暗码才干衔接对应财物控制台（jumpserver Web假如未退出）！

测验修正暗码能够在财物终端操作passwd操作测验：

退出jumpserver，从头登陆，现已显现过去记载的暗码过错，输入修正后的暗码进入控制台：

衔接财物web终端，从头输入passwd更改的新暗码：

passwd如不能修正暗码请参照freeipa控制台暗码战略：

演示以两个环境演示就能够了，master环境没有必要再操作一遍了！

jumpserver的其他相关装备

主要是关于体系设置的这些部分：

从邮件设置开始：

点击邮件设置，点击右侧邮件服务器装备邮件服务器相关装备：

以qq邮箱为例：

记载下生成的授权码:

SMTP主机: smtp.qq.com
SMTP端口： 465
SMTP账户： xxxxx@qq.com
SMTP暗码：xxxxxx(生成的授权码)

安全设置运用SSL开启，提交装备：

给自己邮箱发一封测验邮件测验：

方针收件人收到测验邮件就表示装备成功。终究邮件设置这儿邮件发送，主体前缀设置为:jumpserver。其他的坚持原有装备保存提交！

消息订阅

消息订阅这儿能够开启邮箱的订阅方法，而且修正消息承受人（这儿疏忽了。这儿好多用户邮箱是假的）！

终端设置：

终端设置的相关装备有很多，这儿只着重装备一下录像存储 and 指令存储：

录像存储：

录像存储以腾讯cos为例： 创立一个存储桶：

留意这儿挑选了私有读写桶，彻底没有必要公有读把？依据权限最小化原则，创立了 一个用户，然后绑定桶：

jumpserver的相关装备： 这儿主要强调端点这儿：cos.ap-shanghai.myqcloud.com（依据自己区域补充中心的regin区域）

留意：我第一次设置成了jumpserver-xxxxxx.cos.ap-shanghai.myqcloud.com。默许的途径会变成这样的

测验设置为cos存储为默许：

but操作了一下 看到cos桶并未生生存储文件，重启一下jumpserver?

测验后依然未收效！docs.jumpserver.org/zh/v3/guide…

操作指令退出后现已生成录像存储:

指令存储

指令存储能够接入elasticsearch,以elasticsearch为例:

简略装备一下，日期索引依据需求承认是否开启，提交：

继续更新终端设置：

提交：

普通用户登陆jumpserver操作几条简略指令：

登陆elasticsearch kibana控制台 索引办理能够看到 相关索引现已创立：

其他的问题

dns问题

1. client nameserver增加了ipa server ip

ping ipa server没有问题，but ping 其他 三级域名呈现问题 ：

ping: www.xxx.com: Name or service not known

怎么搞呢？这样的问题？我用的也是为实际存在的domain域名？呈现这样的无法解析的问题也是用户不想看到的。解决的方法个人理解应该有两种： 1 . 整一个压根不存在的域名？或者根本不运用无影响的域名如就用example.com？ example.tech。等等相似 ? 2. 偷闲测验了一下 不装备resolv.conf ? /etc/hosts绑定ipa server and client:

这样能够不呈现此情况,解析都没有问题：

也不需要跟其他domain下域名通信， 只做用户认证，这样做也是能够的。

单节点反常

节点其实也是正常的，可是web ui登陆admin呈现了反常，普通用户都能够登陆web UI,也能够登陆其他应用。不知道置疑什么问题要，重启日志也没有什么输出,想置疑一下随机数生成器？装置了一下依照一下文档：

后边没有怎么呈现这问题，可是仍是有不可用因素，预备后续将freeipa ha 部署为高可用！rngd可能会无法发动 将： ConditionVirtualization=！container中 ！去掉可正常发动：

systemctl daemon-reload
systemctl restart rngd