概述 {#heading-1}
JumpServer 具有审计等功能。使用 JumpServer 之后管理者可能想限制用户仅允许从 JumpServer 登录并对纳管的资产进行操作。该限制可通过在纳管的资产进行网络限制解决。
场景分析 {#heading-2}
某些应用场景下,可能需要纳管的资产仅允许从某个 IP 登录 JumpServer 之后再进行操作,即有一个主机仅允许使用者从特定的网络环境中连接 JumpServer 之后进行操作。如上场景会有两个限制:一个是限制访问使用者的 IP,另一个限制资产仅允许从 JumpServer 登录。
此时需要注意,如果该 IP 为多人使用,以下场景不适用。即以下处理方式适用于该 IP 为个人使用的情况。
JumpServer 设置 {#heading-3}
创建一个 JumpServer 用户,ip-deny。
设置资产授权。
创建用户授权,仅允许 ip-deny 用户登录需要被限制的资产。
为特定用户创建登录规则。
创建黑名单,即该用户使用所有的 IP 在所有时间登录都拒绝,优先级为 100。
创建白名单,即该用户使用指定的 IP 在所有时间登录允许,优先级为 90;
按照设定的登录规则,此时该用户只能在周一~周五的早上七点到晚上八点登录 JumpServer 堡垒机。
为防止误操作将该资产授权给其他用户,进行如下操作:
在 "访问控制'→"资产登录"→"创建" 创建资产登录规则,包括 IP 限定,优先级,审批等。
创建所有的用户登录该资产都需要进行管理员进行复核。
设定登录复核审批人。
通过以上设定即可完成用户对资产登录限制。
登录堡垒机验证规则是否生效。