JumpServer es un software open source que nos puede venir de maravilla en un departamento de IT, nos permitirá crear nuestro punto central de conexiones al resto de servidores, que nos conectaremos por web (HTML5) a RDP, SSH, MariaDB, VNC…
Un servicio web, al que se validará quien quiera conectarse a los servidores de la infraestructura, tipo un equipo de salto, un servidor bastión, JumpServer es la pera. Como administraremos decidiremos quién se puede conectar a qué equipos. Todo el acceso será vía web y será la propia máquina quien haga la conexión RDP o SSH, así que desde cualquier red podremos acceder a las máquinas remotas. (usando RDP sobre HTML5, SSH sobre HTML5…) y lo más importante, sin agentes ni software adicional.
Entre otras maravillas permite usar 2FA para autenticarnos, uso de CAPTCHA, se integra con LDAP… o por ejemplo grabará en video todas las sesiones que hagamos los administradores,
¿Empezamos? ¡¡¡Empezamos!!!
Lo desplegaremos con Docker en un minuto, os dejo los comandos para bajarnos las imágenes y arrancar los contenedores:
git clone --depth=1 https://github.com/jumpserver/Dockerfile.git cd Dockerfile cp config_example.conf .env docker-compose -f docker-compose-network.yml -f docker-compose-redis.yml -f docker-compose-mariadb.yml -f docker-compose-init-db.yml up -d docker exec -i jms_core bash -c './jms upgrade_db' docker-compose -f docker-compose-network.yml -f docker-compose-redis.yml -f docker-compose-mariadb.yml -f docker-compose.yml up -d
Abrimos un navegador, por defecto y si no decimos nada, podremos conectar por el puerto 80tcp, nos validamos con los credenciales predeterminados: admin / admin
Nos pedirá cambiar los credenciales,
Este sería el panel Dashboard que veríamos como administradores, un resumen del uso, la verdad que la herramienta tiene muchísimas opciones y en este post veremos lo básico.
En los Settings podremos, entre otras, usar una conexión LDAP para que podamos usar los usuarios del Directorio Activo para loguearnos, hablo como ejemplo los administradores de IT, técnicos…
Dandole a «Bulk import» podremos seleccionar los usuarios que nos interese importar,
Desde la sección de «Assets» es donde daremos de alta los equipos a los que permitiremos las conexiones,
Si pulsamos en «Create», vemos que tenemos un montón de opciones para gestionar, desde VNC, RDP para Windows, SSH, BBDD de MongoDB, VMware vSphere, ChatGPO, accesos a web, Kubernetes…
Ejemplo de dar de alta un equipo al que nos conectaremos por RDP. Podremos desde aquí añadir una Account o cuenta de acceso, o sea, con qué usuario se entrará en este equipo, o no definir nada, vaya, según necesitemos.
Luego, desde Permissions, a los usuarios les daremos accesos a las máquinas y si queremos a las distintas Cuentas de acceso, donde quizá usemos cuentas genéricas, así mismo podremos permitir si nos interesase que puedan manualmente escribir sus credenciales, o, incluso la propia con la que se loguearon en JumpServer, la propia del AD.
Y esta será la ventana que vean nuestros técnicos tras loguearse en JumpServer. A la izquierda los equipos a los que tenga accesos, y al pulsar sobre uno de ellos pues se tendrán que validar, con lo que les hayamos dejado, su propio usuario, uno genérico preestablecido o que se tenga que escribir manualmente cada vez,
Este sería un pantallazo de una conexión a una máquina por RDP,
Lo dicho, luego los administradores, podrán si quieren revisar alguna grabación de cualquier sesión…
Y este un pantallazo de la grabación de video 🙂
Bueno, pues con esto me despido, espero que os haya resultado interesante, una manera elegante de gestionar los accesos corporativos, seguros, todo a través de esta máquina… Y no os digo si le cambiáis un poquito el tema y lo hacéis corporativo, con los logos, colores…
Un abrazo, que tengáis una buenísima semana! El jueves nos volvemos a ver que viene otro post calentito! Cuidaros!
