Администрирование системы


Настройка блокировки команд SSH и запросов СУБД

1. Перейдите в раздел "Console - Permissions - Command Acl", откройте вкладку "Command Group".

2. Нажмите кнопку "Create", введите название списка, например "Common high-risk commands" и заполните список нужных команд или регулярных выражений (см. скриншот) и сохраните, нажав кнопку "Submit".

изображение.png

3. Перейдите во вкладку "Command filter", нажмите "Create" для создания фильтра.

4. Настройка фильтра включает следующие параметры:

- Priority: приоритет фильтра, всегда выполняется действие того фильтра, чей приоритет будет выше.
- User: пользователи JumpServer, для которых будет работать фильтр
- Asset: целевые системы, подключение к которым будет контролироваться фильтром
- Account: учетные записи на целевых системах, которые будут контролироваться фильтром
- Command Group: группы команд, которые будут блокироваться
- Action: действие фильтра: Reject - заблокировать команду, Accept - выполнить команду, Review - отправить команду на согласование указанному сотруднику, Warning - предупредить о выполнении команды указанного сотрудника.

изображение.png

5. Нажмите "Submit" для сохранения настроек.

Настройка подключения к целевым системам по HTTP(веб-интерфейсы приложений)

Для подключения к целевым системам по HTTP вам необходимо:
Настроить публикацию браузера через Panda (сервер публикации приложений на базе Linux)
или 
Настроить публикацию браузера через RDS(RemoteApp).

Создание устройства типа "Вебсайт"
  1. Зайдите в раздел "Console - Assets" , нажмите кнопку "Create" и выберите тип целевой системы - Website

    e3a09a3c646b1a2bb96ca241d41bac8f-1.png

    2. В разделе "Selector" нужно указать параметры полей формы, которые JumpServer заполнит автоматически при открытии сессии.
    На пример:

    bc0c4c73807704341a1e35cae8cdd3b9.png

    При таких настройках, имя пользователя будет введено в HTML элемент с name="email", пароль будет введет в HTML элемент с name="password" и затем будет нажата кнопка с Xpath=/html/body/div/div/div[2]/form/input

    Вы можете посмотреть элементы веб-формы входа в браузере, нажав правую кнопку мышки на поле ввода и выбрав пункт "Исследовать" ( для Firefox) или "Просмотреть код" (для Chrome).
    Также можно использовать дополнительные настройки и параметры элементов формы входа, для этого переключитесь в режим Script:

    e649d5ff057446d082dfc15b647bcd56.png

    3. в разделе Account list нужно добавить учетную запись и пароль, которая будет использоваться при авторизации, аналогично как это делается при других типах подключения.
    4. Сохранить настройки, нажав кнопку "Submit".
Подключение к веб-интерфейсам через веб-терминал

Если все настроено верно, при выборе нужного устройства в веб-терминале, вы увидите вариант запуска сессии:

9ce264fb5c561e5cc3456f98a7a93a0b.png

Как подключаться к доменным активам с единой доменной УЗ?

В предыдущих версиях JumpServer была строгая привязка УЗ к конкретному активу, то есть не было возможности подключаться с одной и той же доменной УЗ к разным активам без дублирования этой УЗ. 

В последних версиях JumpServer добавили такую возможность:

1. Перейдите в Console - Assets - Directory service и создайте актив, указав параметры домена.
(см. скриншот №1)

изображение.png

Примечание: если у вас нет вкладки Directory Service, обновите JumpServer до последней версии

2. Добавьте необходимые доменные УЗ к этому активу

3. В разделе System Settings - Platforms выберите платформу, которая будет использоваться для доменных активов, например Windows2016, и включите в ней опцию DS Enabled

Примечание: если платформа является основной, ее редактирование заблокировано, просто создайте ее дубликат.

4. В Console - Assets выберите нужный актив и откройте для редактирования. Внизу должен появиться параметр Directory service, укажите имя вашего DS актива, созданного на первом шаге (см. скриншот)

изображение.png

5. Теперь доменные УЗ будут отображаться у каждого доменного актива, и их можно будет использовать для подключения.

Автоматическое повышение привилегий при подключении по SSH

Обычно под УЗ root нельзя подключаться по SSH напрямую,  поэтому после подключения для повышения привилегий обычно выполняется команда su и вводится пароль от УЗ root.

JumpServer позволяет автоматизировать этот процесс и запустить SSH сессию с автоматическим повышением прав до root без знания/раскрытия пароля.

Для этого нужно:

1. Зайти в System Settings - Platforms, в списке выбрать нужную платформу на базе Linux (или скопировать стандартную), открыть параметры и в поле Switch Account Method указать нужную команду, которая будет использоваться для переключения УЗ, например "su -"

изображение.png

2. Перейти в Console - Accounts, найти там привилегированную УЗ, например root, открыть для редактирования и в поле Switch from указать УЗ (в моем примере это УЗ serg), с которой будет осуществляться подключение изначально, сохранить изменения.

изображение.png


3. Теперь при подключении по SSH можно выбрать root, но сессия запуститься с УЗ serg и автоматически переключится на root после авторизации, при старте сессии вы увидите надпись "switched to root(root)"

изображение.png