一、远程应用介绍
JumpServer 2.* 版本中 Remote APP 远程应用作为一种应用类别,仅仅作为 JumpServer 的一种能力存在。在资产上安装应用,然后通过托管程序拉起、这种使用方式比较基础,开发和复用起来十分麻烦。面对不同的使用场景,需要在每个客户端中进行重新配置,不便于我们进行扩展和定制开发,无法满足很多企业用户的需求,部署交付比较消耗人力。因此在 JumpServer v3.0 版本中,JumpServer 项目组对远程应用进行了重新设计。
远程应用是 JumpServer 未来扩展的核心,也是 JumpServer v3.0 版本重构中非常重要的部分。我们的研发团队很重视远程应用的重新设计,在 JumpServer v3.0 版本中做了重大的更新。
在 JumpServer v3.0 版本中,RemoteApp 的改变包括:
RemoteApp 远程应用将作为一种连接方式存在,主要用于连接资产,而不再是一种应用类型;
RemoteApp 的主机池由 JumpServer 进行统一维护,并且能定时上报状态;
用户提供 Windows 资产并安装基础组件之后,JumpServer 会在应用发布机上代理执行自动化的工作,这样一来,RemoteApp 主机就可以自动部署、自动维护;
密码代填功能使用 Python 框架完成,而不再使用 AutoHotKey,准确性更强;
添加 RemoteApp 类型后,需要声明支持的协议。
新版本的 JumpServer 共有三种连接方式,分别是基于原始协议级实现的本地客户端连接方式、基于 Web 实现的 Web 连接方式,以及基于 RemoteApp 实现代理的远程应用连接方式。当用户连接资产的时候,可以根据该资产已有协议来选择连接方式,系统将会提供多种连接方式供用户选择。
二、远程应用安装准备
JumpServer V3 版本重构了远程应用模块,需要重新部署远程应用。V3 版本需要使用 Windows Server 2016 以上系统(远程应用需要安装 python 3.10 版本,JumpServer 自动化部署安装 python 3.10 版本,用户不用手动安装)。
Windows 服务器要求:
Windows Server 2016 以及以上版本;
该 Windows 尽量保持干净状态即全新状态的 Windows,同时不需要安装 Chrome,初始化应用发布机使会自动安装,如手动安装可能会导致 Chrome 版本冲突,其它服务软件同理;
该 Windows 需要安装 OpenSSH 协议。该 Windows 机器不需要加域,除安装 OpenSSH 之外不需要做任何更改;
建议规格:2C4G(个人测试使用)、4C8G(正式环境使用)。
JumpServer 提供了一键部署版,下载地址位于:Web 终端→帮助→下载→Windows 远程应用发布服务器工具。
进入下载页面后,直接选择下载 openSSH 应用程序进行下载。
下载文件后,上传该文件到远程应用发布机中点击安装即可完成 OpenSSH 的配置。
三、远程应用发布机部署
Web 资产、VMware-vSphere 资产以及数据库连接工具都需要远程应用发布机作为底层服务器提供服务。应用发布机是用来运行 Web 资产或者远程数据库的连接程序的主体。
1、创建远程应用发布机
远程应用的设置在 V3 版本调整到了系统设置中。创建一个新的远程发布机的按钮顺序为:系统设置→远程应用→应用发布机→创建。
完成应用发布机信息的填写,完成应用程序发布机的创建工作。
设置 RDS 最大断开时间。
详细参数说明:
参数 | 说明 |
|---|---|
名称 | 远程应用发布机的名称,识别信息。 |
IP/主机 | 远程应用发布机的 IP 信息。 |
协议组 | 远程应用发布机支持的协议组以及协议组的端口。 |
账号列表 | 远程应用发布机的连接账号信息。 |
API 服务 | 远程应用发布机的 agent 与 JumpServer 堡垒机 core 服务的通信地址。 |
RDS 许可证 | RDS 许可证启用选项。需用户自己提供,JumpServer负责推送。JumpServer不提供RDS许可证。 |
RDS 许可服务器 | RDS 许可服务器信息。 |
RDS 授权模式 | 选择“设备”或“用户”设置授权模式。
|
RDS 单用户单会话 | 选择“禁用”或“启用”设置单用户单会话模式。
|
RDS 最大断开时间 | 如果某个会话连接达到了此最大时间,连接即断开。 |
RDS 远程应用注销时间限制 | 远程应用会话断开后的注销时间。 |
提交即完成远程应用发布机的创建!
2、初始化远程应用发布机
创建应用发布机后需手动执行应用发布机部署,安装 Python、Chrome、DBeaver 或自定义远程拥有。点击<应用发布机名称>按钮进入应用发布机详情页中,选择发布机部署页签,点击快速更新模块的<初始化部署>按钮,初始化应用发布机。
输出日志中没有报错即初始化应用发布机完成。目前版本【V3.0.3】初始化部署应用发布机,堡垒机会自动进行应用的部署安装(目前会安装 Chrome 浏览器】,DBeaver,JumpServer Tinker【堡垒机安装启动软件】)。
四、Web 资产创建
Web 资产与 VMware-Sphere 资产创建方式相同,以下示例以 Web 资产为例。
1、Web 资产创建
首先创建资产树将 Web 资产分为单独的节点树。右击资产管理中 <Default 节点>,选择 <创建节点>,为 Web 资产创建单独节点树。
创建 Web 资产的按钮顺序为:资产管理→资产列表→Web→创建。
提交即完成 Web 资产的创建。
2、基础代填获取
以 JumpSerevr 访问页面为例:
右击登录页面,选择检查进入元素检查页面,如下所示:
获取用户名代填模块:
在页面中寻找 username 元素信息。
获取密码代填模块:
在页面中寻找 password 元素信息。
获取按钮代填模块:
复制 XPath 完成按键功能的自动化功能。
根据提示信息填入相应代填内容,进阶代填请期待后续文章。
3、Web 资产授权
创建 Web 资产应用授权的按钮顺序如下:权限管理→资产授权→创建。
在资产列表里查看资产信息。
在权限管理里为资产进行授权。
完成资产授权规则填写。
完成权限管理。
提交即授权成功!
以上图片示例的含义为:将测试 Web 资产授权给 Admin 用户使用资产上的所有账户进行登录,Admin 在此 Web 资产上拥有全部动作权限。此处的账号指密码代填的账号,并非为登录 Windows 的账号。登录 Windows 的账号为随机账号,在初始化部署应用发布机时会创建100个以 jms 开头的随机账号,登录时随机使用账号登录Windows 应用发布机。
4、Web 资产访问
以上操作完成后即可访问 Web 资产并完成代填。
