V3 - JumpServer 资产如何设置登录复核


飞致云 发布于 2023-09-19 / 364 阅读 / 0 评论 /

一、概述

本文章主要介绍在 JumpServer V3 版本如何设置资产登陆审批。

二、使用场景

在某些场景下,需要设置当某个用户使用指定的用户登陆资产时,需要向审批人申请登陆权限。

三、设置方式

JumpServer 有访问控制功能,可以设置当特定堡垒机用户使用指定的账号信息登陆资产时,向审批人申请。审批人通过后时,堡垒机用户才能登陆指定资产。依据安全策略,系统可以针对 JumpServer 登录用户、资产信息、账号信息、匹配规则四个维度对资产的登录设置动作限制,当设置二次复核动作时,审批人审批资产登录。JumpServer 登录用户、资产信息、账号信息、规则信息、动作五种限制可以组合使用。

1、在控制台页面,点击权限管理按钮,选择资产登录页签。

2、选择创建按钮,创建资产登录规则。

在资产登录创建页面中,用户可以对用户,资产,账号和 IP 地址等进行分类创建不同的登录规则。

登录规则创建中的参数说明:

参数

说明

名称

资产登录规则的名称。唯一标识。

优先级

资产登录规则的优先级,优先级可选范围为1~100,数值越小规则匹配越优先,默认为50。

用户

当使用该用户登录 JumpServer 堡垒机并连接下面选项的资产时匹配该资产登录规则。

  • 所有用户:所有用户均匹配该资产登录规则;

  • 指定用户:指定某些用户匹配该资产登录规则;

  • 属性筛选:创建属性筛选规则,匹配筛选规则的用户匹配该资产登录规则;

资产

当连接该资产时匹配该资产登录规则。

  • 所有资产:连接所有资产时匹配该资产登录规则;

  • 指定资产:连接指定资产时匹配该资产登录规则;

  • 属性筛选:创建属性筛选规则,匹配筛选规则的资产匹配该资产登录规则;

账号

当 JumpServer 使用该账号登陆资产时匹配该资产登陆规则。

  • 所有账户:匹配到的资产使用任何账号登陆都匹配该资产登陆规则;

  • 执行账户:匹配到的资产使用指定账号登陆都匹配该资产登陆规则;

规则-登录 IP

当匹配到上述 JumpServer 用户、资产、账户时,匹配 JumpServer用户的登陆 IP。

规则-时段

当匹配到上述 JumpServer 用户、资产、账户时,匹配 JumpServer 用户的登陆时间段。

动作

匹配到该资产登录规则时做出的动作。

  • “拒绝”:拒绝登录资产;

  • “接受”:允许登录资产;

  • “审批”:经过设置的审批人审批允许或者拒绝登录。该方式生成的会话信息,工单审批人可以在工单中对会话进行控制,例如暂停,恢复,终端,监控。

四、验证

规则一:规定时间内不允许登录

规则设置如下所示:设置除周一至周五的上班时间外,其余时间均不允许 admin 用户使用任何账号登陆jumpserver-V2 资产。

时间设定方法如下:

此时在设置的规定时间内登录该资产会显示如下信息:

规则二:规定时间内登录需审批

规则设置如下所示:设置除周一至周五的上班时间外,其余时间 admin 用户使用任何账号登陆 jumpserver-V3 资产均需要审批用户进行审批。

时间设定选择如下:

此时在预设的登录规则控制下,如果在规定时间内登录该资产管理侧和用户侧会分别显示如下信息:

用户登录侧显示相关提示信息:

提示用户在登录规则限制下,用户需要等待审批人审批后才可以正常登录相应资产。

审批人侧收到审批信息提示,提示有用户申请登录资产:

管理员进入信息详情,查看信息内容后,完成审批工作流程。

待审批流程完成后,申请人即可正常进行资产连接,同时登录资产。



是否对你有帮助?