一、概述
本文章主要介绍在 JumpServer V3 版本如何设置资产登陆审批。
二、使用场景
在某些场景下,需要设置当某个用户使用指定的用户登陆资产时,需要向审批人申请登陆权限。
三、设置方式
JumpServer 有访问控制功能,可以设置当特定堡垒机用户使用指定的账号信息登陆资产时,向审批人申请。审批人通过后时,堡垒机用户才能登陆指定资产。依据安全策略,系统可以针对 JumpServer 登录用户、资产信息、账号信息、匹配规则四个维度对资产的登录设置动作限制,当设置二次复核动作时,审批人审批资产登录。JumpServer 登录用户、资产信息、账号信息、规则信息、动作五种限制可以组合使用。
1、在控制台页面,点击权限管理按钮,选择资产登录页签。
2、选择创建按钮,创建资产登录规则。
在资产登录创建页面中,用户可以对用户,资产,账号和 IP 地址等进行分类创建不同的登录规则。
登录规则创建中的参数说明:
参数 | 说明 |
|---|---|
名称 | 资产登录规则的名称。唯一标识。 |
优先级 | 资产登录规则的优先级,优先级可选范围为1~100,数值越小规则匹配越优先,默认为50。 |
用户 | 当使用该用户登录 JumpServer 堡垒机并连接下面选项的资产时匹配该资产登录规则。
|
资产 | 当连接该资产时匹配该资产登录规则。
|
账号 | 当 JumpServer 使用该账号登陆资产时匹配该资产登陆规则。
|
规则-登录 IP | 当匹配到上述 JumpServer 用户、资产、账户时,匹配 JumpServer用户的登陆 IP。 |
规则-时段 | 当匹配到上述 JumpServer 用户、资产、账户时,匹配 JumpServer 用户的登陆时间段。 |
动作 | 匹配到该资产登录规则时做出的动作。
|
四、验证
规则一:规定时间内不允许登录
规则设置如下所示:设置除周一至周五的上班时间外,其余时间均不允许 admin 用户使用任何账号登陆jumpserver-V2 资产。
时间设定方法如下:
此时在设置的规定时间内登录该资产会显示如下信息:
规则二:规定时间内登录需审批
规则设置如下所示:设置除周一至周五的上班时间外,其余时间 admin 用户使用任何账号登陆 jumpserver-V3 资产均需要审批用户进行审批。
时间设定选择如下:
此时在预设的登录规则控制下,如果在规定时间内登录该资产管理侧和用户侧会分别显示如下信息:
用户登录侧显示相关提示信息:
提示用户在登录规则限制下,用户需要等待审批人审批后才可以正常登录相应资产。
审批人侧收到审批信息提示,提示有用户申请登录资产:
管理员进入信息详情,查看信息内容后,完成审批工作流程。
待审批流程完成后,申请人即可正常进行资产连接,同时登录资产。