名词解释

jiaxiangkong edited this page May 11, 2016 · 5 revisions

Web管理

用户管理:

  • 用户组

    多个用户可以组合成用户组,为了方便进行授权,可以将一个部门或几个用户组建成用户组,在授权中使用组授权,该组中的用户拥有所有授权的主机权限

  • 用户

    用户是授权和登陆的主体,将来为每个员工建立一个账户,用来登录跳板机,将资产授权给该用户,查看用户登陆记录命令历史等

设置:

  • 默认设置

    默认管理用户 设置包括用户密码密钥,默认信息为了方便添加资产而设计,添加资产时如果选择使用默认管理账号,则会使用这里设置的信息,端口是资产的SSH端口,添加资产时,默认会使用该端口

资产管理:

  • 资产组

    主机组 同用户组,是资产组成的集合,为了方便授权

  • 资产

    资产通常是我们的服务器、网络设备等,将资产授权给用户,用户则会有权限登录资产,执行命令等

  • 管理账号

    添加资产时需要添加一个管理账户,该账户是该资产上已有的有管理权限的用户,如root,或者有 NOPASSWD: ALL sudo权限的用户,该管理账户用来向资产推送系统用户,为系统用户添加sudo,获取资产的一些硬件信息

  • 机房

    又称IDC,不解释

授权管理:

  • Sudo

    这里的sudo其实是Linux中的sudo命令别名,一个sudo别名包含多个命令,系统用户关联sudo就代表该系统用户有权限sudo执行这些命令

  • 系统用户

    系统用户是服务器上建立的一些真实存在的可以ssh登陆的用户,如 dev,sa, dba等,系统用户可使用jumpserver推送到服务器上,也可以利用自己公司的工具进行推送,授权时将用户、资产、系统用户关联起来,则表明用户有权限登陆该资产的这个系统用户 如:用户 小明dev 系统用户登录 172.16.1.1资产,简单理解就是 将某个资产上的某个系统用户映射给这个用户登录

  • 推送系统用户

    添加完系统用户,需要推送,推送操作是使用ansible,把添加的系统用户和系统用户管理的sudo,推送到资产上,具体体现是在资产上useradd该系统用户,设置它的key,然后设置它的sudo,为了让用户可以登录它

  • 授权规则

    授权规则是将 资产 系统用户用户 关联起来,用来完成授权。这样用户就可以以某个系统用户账号登陆资产。大家对这好像不是很理解,其实也是对系统用户,用户这里没有搞清楚。我们可以把用户当做虚拟的用户,而系统用户是真实再服务器上存在的用户,系统用户可以使用jumpserver推送,也可以自己手动建立,但是推送的过程一定要有,哪怕是模拟推送(不选择秘钥和密码推送,如网络设备),因为添加授权规则会检查推送记录。为了简化理解,我们暂时 以 用户 资产 系统用户 来理解,暂时不考虑组,添加这样的规则意思是授权 用户 在这个资产上 以这个系统用户来登陆, 系统用户是一组具有通用性,具有sudo的用户,不同的用户授权不同的 系统用户,比如 dba可能有用数据库的sudo权限

  • 日志审计

    • 在线 查看当前在线的用户(非web在线),可以监控用户的命令执行,强制结束用户登录

    • 实时监控 实时监控用户的操作

    • 登录历史 查看以往用户的登录历史,可以查看用户登陆操作的命令,可以回放用户执行命令的录像

    • 命令记录 查看用户批量执行命令的历史,包含执行命令的主机,执行的命令,执行的结果

    • 上传下载 查看用户上传下载文件的记录

用户作用简述 :

登录web(使用用户)

登陆跳板机(使用用户)

跳转登陆Client端(使用系统用户)

系统用户 关联sudo(就是sudo授权),该系统用户就拥有sudo权限

推送系统用户(使用管理用户,管理用户是Client端上已有的用户并且有sudo权限)