Jumpserver+LDAP双主+keepliveVIP集群
目录
Jumpserver介绍
一句话:统一的用户、主机、权限管理,安全的SSH密钥认证。
Jumpserver是一款开源的跳板机,他是由老广大牛编写的。
#建议使用google的浏览器查看文章。
一、ldapserver配置
1 LDAP安装
2 LDAP双主同步配置
3 Keeplive + VIP配置
二、配置LDAP-Client端
1 安装LDAP客户端
2 设置自动创建目录
3 备份原来authconfig,然后设置使用LDAP认证
4 测试在jumpserver上ssh
三、配置LDAP-sudo
1 配置ldap负责sudo
2 修改文件导入schema
3 重新生成配置文件,重启slapd
4 导入sudo.ldif到ldapserver
5 Client端配置设置sudo使用ldap
6 在jumpserver上测试
四、部署Jumpserver
1安装mysql数据库,创建库
2 下载最新Jumpserver项目
3安装依赖模块
4 修改Jumpserver配置文件
5 建立logs目录并修改权限
6 django sync db 到数据库
7 测试运行
9 安装node.js
10 设置跳板机
10 登录webjumpserver
五、使用jumpserver
六、测试
七、灾难测试
1、ldap主的MASTER直接挂掉
2、Jumpserver挂掉之后测试
安装配置
环境:
jumpserver 192.168.7.103192.168.7.104系统版本:Centos6.5迷你安装
ldpaserver 192.168.7.101 192.168.7.102 系统版本:Centos6.6安装
Client 192.168.7.105192.168.7.106 192.168.7.107 系统版本:Centos6.6安装
关闭:setlinuxiptables
集群目的:
1、保持ldap实时同步,并且启用keeplive+VIP保证高可用
2、jumpserver 备份并测试灾难性恢复(需要平时做好备份)
#注:第一次操作一定要按照老广,或者我的配置进行一步一步的操作。
一、ldapserver配置
1、LDAP安装
1.1、安装LDAP
192.168.7.101 192.168.7.102
yum install -y vim automake autoconf gcc xz ncurses-devel patch python-devel git python-pip gcc-c++# 安装基本环境,后面依赖
yum install -y openldap openldap-servers openldap-clients openldap-devel#安装openldap
1.2、 准备配置文件
# cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf ## 该文件是slapd的配置文件
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG ## 数据库的配置文件
1.3、修改配置文件
#vim /etc/openldap/slapd.conf
...
loglevel 1 #新增找地方添加就行
...
suffix "dc=jumpserver,dc=org"
rootdn "cn=admin,dc=jumpserver,dc=org"
rootpw secret234 #这行前面不能有空格
...
#说明:
loglevel:设置日志级别
suffix:其实就是BaseDN
rootdn:超级管理员的dn
rootpw:超级管理员的密码
1.4、 修改系统日志配置文件
# vim /etc/rsyslog.conf
local4.* /var/log/ldap.log
# local7.*下添加一行
# service rsyslog restart
1.5、启动slapd, 查看启动情况
# service slapd start# rm -rf /etc/openldap/slapd.d/*# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d # chown -R ldap:ldap /etc/openldap/slapd.d/# service slapd restart# netstat -tulnp | grep slapd#说明:第一次启动生会初始化ldap数据库,在/var/lib/ldap中,如果想删除ldap数据库就删除该目录,保留DB_CONFIG配置文件。新版的ldap使用的是/etc/openldap/slapd.d 下的配置文件,删除原来的配置文件,slaptest是重新生成新的配置文件
192.168.7.101192.168.7.102 同样的配置
2、LDAP双主同步配置
2.1、192.168.7.101 配置
#vim /etc/openldap/slapd.conf #修改: server1上的slapd.conf
======================================================
........................................
index entryCSN,entryUUID eq #新增
moduleload syncprov.la #把前面的注释去掉(启用模块)
modulepath /usr/lib/openldap #把前面的注释去掉(启用模块)
modulepath /usr/lib64/openldap #把前面的注释去掉(启用模块)
........................................
#下面的配置添加到配置文件末尾新增
serverID 1
overlay syncprov
syncrepl rid=001
provider=ldap://192.168.7.102:389
type=refreshAndPersist
searchbase="dc=jumpserver,dc=org"
schemachecking=on
bindmethod=simple
binddn="cn=admin,dc=jumpserver,dc=org"
credentials=secret234
retry="60 +"
mirrormode on
======================================================
#解释
======================================================
syncrepl rid=001 #和192.168.7.102 服务器保持一致,告诉openldap2 现在和你是同一组。
provider=ldap://192.168.7.102:389 #192.168.7.102服务器LDAP的IP及端口
type=refreshAndPersist #设置为持续同步
searchbase="dc=jumpserver,dc=org" #从192.168.7.102服务器同步dc=jumpserver,dc=org
schemachecking=on #schema验证开启
bindmethod=simple #密码验证为简单模式(即明文,此处你可以改为加密)
binddn="cn=admin,dc=jumpserver,dc=org" #使用cn=admin,dc=jumpserver,dc=org用户进行读取(192.168.7.102服务器上必须有该用户)
credentials=secret234 #密码为secret234
retry="60 +" #重试为60秒,60和“+”之间必须有空格
#以上几个都是syncrepl的参数,可以考虑在一行里完成,我这里在最前面用一个TAB做了换行。
mirrormode on #开启镜像模式
======================================================
2.2、192.168.7.102 配置
#vim /etc/openldap/slapd.conf #修改: 192.168.7.102上的slapd.conf
#注意备份配置文件:
======================================================
........................................
index entryCSN,entryUUID eq #新增
moduleload syncprov.la #把前面的注释去掉(启用模块)
modulepath /usr/lib/openldap #把前面的注释去掉(启用模块)
modulepath /usr/lib64/openldap #把前面的注释去掉(启用模块)
........................................
#下面的配置添加到配置文件末尾新增
serverID 2
overlay syncprov
syncrepl rid=001
provider=ldap://192.168.7.101:389
type=refreshAndPersist
searchbase="dc=jumpserver,dc=org"
schemachecking=on
bindmethod=simple
binddn="cn=admin,dc=jumpserver,dc=org"
credentials=secret234
retry="60 +"
mirrormode on
======================================================
2.3、修改完之后重新加载配置文件
# rm -rf /etc/openldap/slapd.d/*# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d # chown -R ldap:ldap /etc/openldap/slapd.d/# service slapd restart
测试:随便在那台机器上添加用户
2.4、导入ldif数据库框架和测试用户,可以使用migrationtools导出框架,也可以用“老广”的.
base.ldif,group.ldif,passwd.ldif 将其中的dc=jumpserver,dc=org替换成你的baseDN,然后导入,密码是rootpw设置的 secret234这些文件百度云中下载http://pan.baidu.com/s/1i3kne6p# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f base.ldif# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f group.ldif# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f passwd.ldif
#说明:测试用户是testuser 密码是testuser123
#这个测试用户可以根据实际情况修改留下“当作一个超级账号”留下, 虽然有风险但是,我这里测试的时候出现过jumpserver挂掉之后,jumpserver是不会告诉你密码的这样非常安全。但是你把普通密码密码用户禁用了,又没有jumpserver上添加用户的ldap密码。jumpserver挂掉之后怎么办。给自己留个后门,当jumpserver挂掉之后可以临时使用。
#添加完成后:登录到另一台查看
#ldapsearch -x -D "cn=admin,dc=jumpserver,dc=org" -w secret234 -b "dc=jumpserver,dc=org" #如果刚才添加的用户信息都在就OK
3、Keeplive + VIP配置
1、编写脚本
#vim install.sh#复制下面内容即可
==========================================
#!/bin/bash
yum install ipvsadm -y
modprobe ip_vs
#配置环境
yum -y install libnl* popt*
wget http://www.keepalived.org/software/keepalived-1.2.8.tar.gz
tar -xvf keepalived-1.2.8.tar.gz
chown -R root.root keepalived-1.2.8*
cd keepalived-1.2.8
./configure --prefix=/etc/keepalived
make
make install
cp /etc/keepalived/etc/keepalived/keepalived.conf /etc/keepalived/
cp/etc/keepalived/etc/sysconfig/keepalived /etc/sysconfig/
cp/etc/keepalived/etc/rc.d/init.d/keepalived/etc/init.d/
cp/etc/keepalived/sbin/keepalived/bin/
/etc/init.d/keepalived restart
chkconfig--add keepalived
chkconfigkeepalived on
cat>/etc/keepalived/keepalived.conf<<"EOF"
! Configuration File for keepalived
#master
global_defs {
notification_email {
luo_tianshuai@163.com
}
notification_email_from health@ptmind.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_236
}
vrrp_script check_ldap {
script "/etc/openldap/ldap.sh"
interval 10
weight -20
}
vrrp_instance VI_215 {
state MASTER
interfaceeth0
lvs_sync_daemon_inteface eth0
virtual_router_id 234
priority 200
advert_int 1
authentication {
auth_type PASS
auth_pass 131532
}
track_script {
check_ldap
}
virtual_ipaddress {
192.168.1.100
}
}
EOF
=============================================================
解释:
notification_email:收件人
notification_email :发件人,这个可以随意定,因为发件人可以伪装
smtp_connect_timeout 30 :连接超时时间;
router_id LVS_DEVE :路由器的标示
state MASTER:初始状态;vrrp初始状态都是backup,选举产生后主的才能成为MASTER,
interface eth0 :所有的通告选举要通过那个接口进行
virtual_router_id :虚拟ID
priority :初始优先级
advert_int :通告几个
authentication ; 认证机制
virtual_ipaddress:虚拟地址
=============================================================
我改成每30秒执行一次,失败权重-20
主的权重是200
备份是199
当主的执行失败之后200-20 就比备份的199小了虚拟VIP就会漂移到192.168.7.102上了
原理是这样的,但是测试他不漂移,所以我改成如果失败kill掉keeplive,这样就会自动漂移
=============================================================
#在192.168.7.101执行完之后在192.168.7.102上执行安装脚本
然后编辑备节点上的配置:
#vim /etc/keepalived/keepalived.conf
修改:改优先级、state
stae改为BACKUP,优先级priority改为比MASTER小 199
2、添加监控脚本,根据不同的业务修改脚本内容(两边都要添加)
#vim /etc/openldap/ldap.sh
!#/bin/bash
str=$(netstat -nlp|grep -o 389)
if [ -n "$str" ] ; then
exit 0
else
/etc/init.d/keepalived stop &&/usr/bin/killall -9 keepalived
fi
添加脚本执行权限:chmod 755 /etc/openldap/ldap.sh
#重启服务
/etc/init.d/keepalived restart
3、检查测试
#ping 192.168.7.100 通OK
#ip a
inet 192.168.7.100/32 scope global eth0
在192.168.7.101master上关闭sldap 查看vip是否能自动切换至192.168.7.102backup上。
当MASTER的恢复之后需要手动启动keeplive
二、配置LDAP-Client端
配置:192.168.7.105192.168.7.106 192.168.7.107
1 安装LDAP客户端
# yum -y install openldap openldap-clients nss-pam-ldapd pam_ldap
2 设置自动创建目录
# echo "session required pam_mkhomedir.so skel=/etc/skel umask=0077" >> /etc/pam.d/system-auth
3 备份原来authconfig,然后设置使用LDAP认证
# authconfig --savebackup=auth.bak# authconfig --enableldap --enableldapauth --enablemkhomedir --enableforcelegacy --disablesssd --disablesssdauth --ldapserver=192.168.7.100 --ldapbasedn="dc=jumpserver,dc=org" --update
#注:这里在引用ldapserver-IP的时候要配置“VIP”的地址
4 测试在jumpserver上ssh
#使用:ssh testuser@192.168.7.105 密码是:testuser123 如果链接成功就继续
#这里通过之后就说明keeplive-VIP正常并且能正常认证。
三、配置LDAP-sudo
192.168.7.101 192.168.7.102 上配置
1 配置ldap负责sudo
拷贝sudo schema,centos版本不一样,可能sudo的版本不是1.8.6,其他的也可以
# cp /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP /etc/openldap/schema/sudo.schema
2 修改文件导入schema
# vim /etc/openldap/slapd.conf
...................
include /etc/openldap/schema/sudo.schema
...................
3 重新生成配置文件,重启slapd
# rm -rf /etc/openldap/slapd.d/*# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d# chown -R ldap:ldap /etc/openldap/slapd.d/* # service slapd restart
4 导入sudo.ldif到ldapserver
# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f sudo.ldif #在其中一台上添加即可会自动同步
#说明:后期自己做的时候将sudo.ldif中的dc=jumpserver,dc=org换作你的baseDN #sudo.ldif 这个文件在老广的百度云网盘下载
192.168.7.105 192.168.7.106 192.168.7.107 配置
5 Client端配置设置sudo使用ldap
说明: centos6上sudo-1.7.4p5的使用的ldap配置文件是 /etc/sudo-ldap.conf,sudo版本不同使用的配置文件可能也有所不同,sudo -V | grep 'ldap.conf' 查看# sudo -V | grep 'ldap.conf'
# echo -e "uri ldap://192.168.7.100\nSudoers_base ou=Sudoers,dc=jumpserver,dc=org" > /etc/sudo-ldap.conf #IP不要弄混
# echo "Sudoers: files ldap" >>/etc/nsswitch.conf
#做这两步的时候不要大意如果这里写错了容易造成sudo权限不可用报错提示你输入密码。
6 在jumpserver上测试
# ssh testuser@192.168.7.105或其他的机器
# sudo su
#说明:密码是testuser123,sudo su如果不提示输入密码,则成功。
# 如果错误,逐步检查sudo的配置。
四、部署Jumpserver
目前Jumpserver还没有相关的负载均衡方案,所以我采用的是冷备份模式。
主要备份:数据库(主要存储的是、用户信息、密码信息、机组信息等)、日志
Jumpserver 192.168.7.103 配置,这里先配置一台。
#Centos6.5mini安装
# rpm -ivh http://dl.fedoraproject.org/pub/ ... ease-6-8.noarch.rpm#安装epel源
# yum install -y vim automake autoconf gcc xz ncurses-devel patch python-devel git python-pip gcc-c++ #配置环境
# yum install -yopenldap-devel #安装ldap jumpserver上要调用模块
1安装mysql数据库,创建库
# yum -y install mysql mysql-server mysql-devel# service mysqld start# mysql
mysql> create database jumpserver charset='utf8';
mysql> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'mysql234'; #密码信息可以根据自己需求更改
2 下载最新Jumpserver项目
# cd /opt# git clone https://github.com/ibuler/jumpserver.git # cd jumpserver
3安装依赖模块
# cd /opt/jumpserver/docs
# rm -rf /usr/lib64/python2.6/site-packages/Crypto #如果Jumpserver不是6.5mini安装需要执行次步,如果mini安装跳过。
# pip install -r requirements.txt -i http://pypi.douban.com/simple#说明:如果报错请手动安装每个模块
# 提示什么装什么:pin install "提示模块名“
4 修改Jumpserver配置文件
# cd ..
# vim jumpserver.conf
# cd ..
# vim jumpserver.conf
#coding: utf8
ip = 192.168.7.103
port = 80
key = 88aaaf7ffe3c6c04
host = 127.0.0.1
port = 3306
user = jumpserver
password = mysql234
database = jumpserver
ldap_enable = 1
host_url = ldap://192.168.7.100:389
base_dn = dc=jumpserver, dc=org
root_dn = cn=admin,dc=jumpserver,dc=org
root_pw = secret234
web_socket_host = 192.168.7.103:3000
email_host = smtp.163.com
email_port = 25
email_host_user = you're_mail@163.com
email_host_password = jumpserver123
email_use_tls = False
# 说明:
# ip, port是访问web的ip和端口号, key是用来加密的随机字符串,如果更改请确保是16位
# 里是数据库的设置,相信你看一眼就知道了
# ldap_enable启用ldap, host_url是ldapserver的地址, base_dn root_dn root_pw与前面配置的ldapserver保持一致
# websocket的地址,是允许node index.js程序的服务器地址,通常和web运行在一起,端口号默认是 3000
# 配置mail服务器,用来发送邮件,本版本添加用户会自动发邮件给用户的email
5 建立logs目录并修改权限
# cd /opt/jumpserver/# mkdir logs; chmod 777 logs
6 django sync db 到数据库
# python manage.py syncdb
Would you like to create one now?(yes/no):no
7 测试运行
分别打开两个Xshell窗口或CRT窗口执行:
# python manage.py runserver 0.0.0.0:80 # cd /opt/jumpserver/# python log_handler.py
8 初始化jumpserver浏览器打开
打开IE输入:http://192.168.7.103/install/
提示:成功继续
9 安装node.js
为了实现实时监控,使用了node.js来完成websocket
# yum -y install nodejs npm# 好多依赖啊# cd websocket
# npm install #说明:可能下载需要几分钟,也可以使用”老广“下载好的模块,将node_modules.tar.bz2 移动websocket目录解压即可。从百度网盘下载
# tar xvf node_modules.tar.bz2 # 如果运行上面的install可以不解压提供的模块
测试启动websocket
cd /opt/jumpserver/websocket
node index.js
10 设置跳板机
用户登录到jumpserver之后运行,connect跳转界面
cd /opt/jumpserver/docs
# vim zzjumpserver.sh
...
if[$USER=='luotianshuai'];then #这个用户是在登录JumpSserver后推出不会直接退出回话,会登录到jumpserver服务器上。
...
# cp zzjumpserver.sh /etc/profile.d/ #复制到用户环境变量里,登录到jumpserver之后自动执行。
设置jumpserver服务自启动:
# cd /opt/jumpserver/
#chmod 755 service.sh
#echo "/opt/jumpserver/service.sh start " >> /etc/rc.local
可以通过:/opt/jumpserver/service.sh start |stop来开启关闭jumpserver
10 登录webjumpserver
http://192.168.7.103/ 用户名:admin密码:admin
五、使用jumpserver
6.1 登陆 账号密码: admin admin6.2 新建部门6.3 新建用户6.4 新建IDC6.5 添加主机6.6 建立用户组6.7 建立主机组6.8 将主机组授权给用户组6.9 授权sudo6.10 新建部门管理员6.11 授权主机给部门6.12 部门管理员登陆6.13 部门管理员添加用户和授权6.14 查看监控6.15 查看统计6.16 普通用户登录
最后关闭:普通用户密码登录即可
# vim /etc/sshd/sshd_config
...
PasswordAuthentication no
...
# service sshd restart
部署完成后去 看使用说明文档:
六、测试
相关的jumpserver上的组用户管理登录jumpserver-web进行管理我的测试如下:
1、添加资产192.168.7.105 192.168.7.106 192.168.7.107
2、添加主机组 www=192.168.7.105 portal=192.168.7.106 db=192.168.7.107
3、添加部门运维管理 包含=运维小组
4、添加小组运维小组测试小组 #运维小组由sudo权限,运维小组没有权限。
5、添加用户:tianshuaidongexiaotianxiaopei
6、用户收到邮件之后通过下载ssh_key证书认证登录(邮件里包含,登录用户名,登录web密码,导入KEY密码)
正常的授权机组:
测试sudo:OK 没问题
七、灾难测试
1、ldap主的MASTER直接挂掉
直接挂掉192.168.7.101后登录测试正常,并且非常流畅。VIP可以正常漂移到192.168.7.102上。
#建议每几个月之后物理备份下ldap用户信息
2、Jumpserver挂掉之后测试
2.1 编写脚本定期备份 (这个是在主的jumpserver挂掉之前做的),挂掉之后没备份就哭吧!
#vim /etc/openldap/jumpserver_back.sh
=======================================
#!/bin/bash
#
#
#the scirpt will to back jumpserver 192.168.7.101 to 192.168.7.102
#
#
DATE=`date +%Y%m%d`
AGO_3=$(date --date "3 day ago" +%Y%m%d)
DISTIP="192.168.7.104"
LOGDR="/opt/jumpserver/logs"
BACKUPPATH="/opt/backjumpserver"
PWORD="nihao123!"
#备份日志文件
cd /var/lib/mysql
mysqldump jumpserver >jumpserver-${DATE}.sql
tar -cvf log-${DATE}.tar $LOGDR
/usr/bin/expect <<-EOF
set time 30
spawn scp jumpserver-${DATE}.sql ${DISTIP}:${BACKUPPATH}
spawn scp log-${DATE}.tar ${DISTIP}:${BACKUPPATH}
expect {
"*yes/no" { send "yes\r"; exp_continue }
"*password:" { send "$PWORD\r" }
}
interact
expect eof
EOF
rm -r log-${AGO_3}.tar
rm -f jumpserver-${AGO_3}.sql
echo "$DATA back done"
=================================================
添加到例行命令:
echo "30 23 * * * /usr/sbin/ntpdate 192.168.15.253 > /dev/null 2>&1" >> /etc/crontab
2.2 安装jumpserver
=========================================================================================================
Jumpserver 192.168.7.104 配置这台留作备份,先搭建好.
在192.168.7.103jumpserver上添加用户、主机、相关部门和组之后,用我的脚本备份。
#Centos6.5mini安装
# rpm -ivh http://dl.fedoraproject.org/pub/ ... ease-6-8.noarch.rpm#安装epel源
# yum install -y vim automake autoconf gcc xz ncurses-devel patch python-devel git python-pip gcc-c++ #配置环境
# yum install -yopenldap-devel #安装ldap jumpserver上要调用模块
1安装mysql数据库,创建库
# yum -y install mysql mysql-server mysql-devel# service mysqld start# mysql
mysql> create database jumpserver charset='utf8';
mysql> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'mysql234'; #密码信息可以根据自己需求更改
2 下载最新Jumpserver项目
# cd /opt# git clone https://github.com/ibuler/jumpserver.git # cd jumpserver
3安装依赖模块
# cd /opt/jumpserver/docs
# rm -rf /usr/lib64/python2.6/site-packages/Crypto #如果Jumpserver不是6.5mini安装需要执行次步,如果mini安装跳过。
# pip install -r requirements.txt -i http://pypi.douban.com/simple#说明:如果报错请手动安装每个模块
# 提示什么装什么:pin install "提示模块名“
4 修改Jumpserver配置文件
# cd ..
# vim jumpserver.conf
# cd ..
# vim jumpserver.conf
#coding: utf8
ip = 192.168.7.104
port = 80
key = 88aaaf7ffe3c6c04
host = 127.0.0.1
port = 3306
user = jumpserver
password = mysql234
database = jumpserver
ldap_enable = 1
host_url = ldap://192.168.7.100:389
base_dn = dc=jumpserver, dc=org
root_dn = cn=admin,dc=jumpserver,dc=org
root_pw = secret234
web_socket_host = 192.168.7.104:3000
email_host = smtp.163.com
email_port = 25
email_host_user = you're_mail@163.com
email_host_password = jumpserver123
email_use_tls = False
# 说明:
# ip, port是访问web的ip和端口号, key是用来加密的随机字符串,如果更改请确保是16位
# 里是数据库的设置,相信你看一眼就知道了
# ldap_enable启用ldap, host_url是ldapserver的地址, base_dn root_dn root_pw与前面配置的ldapserver保持一致
# websocket的地址,是允许node index.js程序的服务器地址,通常和web运行在一起,端口号默认是 3000
# 配置mail服务器,用来发送邮件,本版本添加用户会自动发邮件给用户的email
5 恢复数据库和日志
5.1 数据库还原
#cd /opt/backjumpserver
找到最新的数据库
#cp jumpserver-20150925.sql /var/lib/mysql/
# cd /var/lib/mysql/
#mysql jumpserver < jumpserver-20150925.sql
5.2 日志还原
日志解压后放到/opt/jumpserver/logs/ #目录名称为:connect
6 测试运行
分别执行下面的命令没有报错即可:
# cd /opt/jumpserver/
# python manage.py runserver 0.0.0.0:80
#python log_handler.py
7 安装node.js
为了实现实时监控,使用了node.js来完成websocket
# yum -y install nodejs npm# 好多依赖啊# cd websocket
# npm install #说明:可能下载需要几分钟,也可以使用”老广“下载好的模块,将node_modules.tar.bz2 移动websocket目录解压即可。从百度网盘下载
# tar xvf node_modules.tar.bz2 # 如果运行上面的install可以不解压提供的模块
测试启动websocket
cd /opt/jumpserver/websocket
node index.js
8 设置跳板机
用户登录到jumpserver之后运行,connect跳转界面
cd /opt/jumpserver/docs
# vim zzjumpserver.sh
...
if[$USER=='luotianshuai'];then #这个用户是在登录JumpSserver后推出不会直接退出回话,会登录到jumpserver服务器上。
...
# cp zzjumpserver.sh /etc/profile.d/ #复制到用户环境变量里,登录到jumpserver之后自动执行。
设置jumpserver服务自启动:
# cd /opt/jumpserver/
#chmod 755 service.sh
#echo "/opt/jumpserver/service.sh start " >> /etc/rc.local
可以通过:/opt/jumpserver/service.sh start |stop来开启关闭jumpserver
10 登录webjumpserver
http://192.168.7.103/ 用户名:admin密码:admin
#至此还原完毕
11、还原后问题,
用户在使用旧密钥登录的时候报错:”所选用户密钥未在远程主机上注册。请在试一次“
解决办法:重新修改 Jumpserver 使用的SSH密钥的密码,重新生成密钥,让用户自己重新使用。其实我可以备份这个密钥。从192.168.7.103上,但是没意义所以就没有备份。
至此还原完毕。
页:
[1]