概述

JumpServer 具有审计等功能。使用 JumpServer 之后管理者可能想限制用户仅允许从 JumpServer 登录并对纳管的资产进行操作。该限制可通过在纳管的资产进行网络限制解决。

场景分析

某些应用场景下，可能需要纳管的资产仅允许从某个 IP 登录 JumpServer 之后再进行操作，即有一个主机仅允许使用者从特定的网络环境中连接 JumpServer 之后进行操作。如上场景会有两个限制：一个是限制访问使用者的 IP，另一个限制资产仅允许从 JumpServer 登录。
此时需要注意，如果该 IP 为多人使用，以下场景不适用。即以下处理方式适用于该 IP 为个人使用的情况。

JumpServer 设置

创建一个 JumpServer 用户，ip-deny。

设置资产授权。
创建用户授权，仅允许 ip-deny 用户登录需要被限制的资产。
为特定用户创建登录规则。

创建黑名单，即该用户使用所有的 IP 在所有时间登录都拒绝，优先级为 100。

创建白名单，即该用户使用指定的 IP 在所有时间登录允许，优先级为 90；

按照设定的登录规则，此时该用户只能在周一~周五的早上七点到晚上八点登录 JumpServer 堡垒机。

为防止误操作将该资产授权给其他用户，进行如下操作：
在 “访问控制‘→”资产登录“→”创建“ 创建资产登录规则，包括 IP 限定，优先级，审批等。
创建所有的用户登录该资产都需要进行管理员进行复核。

设定登录复核审批人。

通过以上设定即可完成用户对资产登录限制。

登录堡垒机验证规则是否生效。