堡垒机在一个公司当中，地位不可小觑，它是协助运维人员管理以及分发服务器权限的一大利器，，公司目前使用的是阿里云上的堡垒机系统，，目前是将近两千块钱一个月，其优点当然最明显的就是直接与线上阿里云服务器进行对接更新，管理起来非常方便。但是一些开源的工具，也是非常犀利好用的，诸如有 jumpserver，CrazyEye 等，今天来说说 jumpserver。

之前搭建过 0.4 版本的，昨天又重新搭建，发现已经更新到 1.2 版本，而且很多东西也都逐渐完善起来。

事实上部署文档已经没必要写，因为个人根据官方文档进行搭建，基本上没有卡住的地方，可以说是非常良心的官方文档了。

在此附上链接：

官网：http://www.jumpserver.org/

Github：https://github.com/jumpserver/jumpserver

安装文档：http://docs.jumpserver.org/zh/docs/step_by_step.html

既然如此详细了，那么我就补充一些在使用时遇到的一些小情况。

1， 邮箱设置问题。

个人使用的 163 邮箱，首先登陆自己的 163 邮箱，开启 smtp 以及客户端授权码。

然后所填写信息大概如下：密码就是客户端授权密码。可以测试连接，成功之后会往邮箱当中发出邮件。

2， 关于管理用户与系统用户

很多操作都是基于这两个用户里进行的，但是呢，好像这两个又很不容易理解。

先来看下官方怎么解释的吧。

管理用户是服务器的 root，或拥有 NOPASSWD: ALL sudo 权限的用户，Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。

系统用户是 Jumpserver 跳转登录资产时使用的用户，可以理解为登录资产用户，如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器（ssh xiaoming@some-host）; 简单来说是 用户使用自己的用户名登录 Jumpserver, Jumpserver 使用系统用户登录资产。系统用户创建时，如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中，如果资产（交换机、Windows）不支持 Ansible, 请手动填写账号密码。Linux 系统协议项务必选择 ssh 。如果用户在系统中已存在，请去掉自动生成密钥、自动推送勾选。

首先来说一些系统用户，这个也是我暂时理解了的，即用于登陆服务器的用户。这个是没有毛病的，但是操作上以及显示上都有一些不给力。

1，创建用户

根据工作中实际需求创建出对应的用户，并将私钥导入，随后也要将公钥导入到所要登陆的服务器的用户家目录下。

2，使用用户

这个地方的使用，是指将你希望某个组或者某个用户用某个用户登陆的用户（有点绕了，我来解释一下吧，这个地方是授权的，首先是自己创建的可供登录的用户，其次是登录堡垒机的用户，那么，第一个说的用户是登录堡垒机的用户，第二个用户是从堡垒机登录服务器的用户）。所以这里的使用应该是在授权管理当中，设置系统用户是谁，那么到时候用户登陆的时候就是使用这个用户登陆的。

至于所谓的管理用户，暂时在我看来，好像所承载的意义不是特别的大。

借此疑问，我在官方的 qq 群里边问了这个问题。

有哪位可以说明下这里的管理用户和系统用户的作用与区别吗？

[广东]-新手涛说：

管理用户就是有权限登录设备并在设备上创建用户的已有账号
系统用户就是jumpsever在linux上自动创建的用户

[杭州]-三木说：

管理用户一般最高权限
管理用户一般最高权限
管理用户就是可以创建系统用户的，比如你建个系统用户，自动推送的话，他所有的节点的机器上自动会批量创建该用户

成都-小白说：

比如你用linux的root用户作为管理用户，linux的其他用户作为登录的系统用户，当然管理用户也可以是系统用户，对windows而言没有推送功能，系统用户就是管理用户

我最后说：

系统用户是登陆系统用的，一般设置成普通用户，然后授权给公司其他人使用，这个理解了
那么就是说，管理用户不设置，或者说不要也是可以的么，，直接使用系统用户进行连接，，

3， 关于网域

因为这个网域的存在，让跨云或者跨网络管理变得更加简单方便。首先是要创建一个网域，事实上就是一台可以让 jumpserver 服务器登陆，而且还能够连通其他网络的一台主机，直接添加进去。

然后创建相应网络的服务器的时候，将这个网域选中，那么连通这个网络的主机就没问题了。

说白了，就是一个网关跳转的问题。