堡垒机使用普通用户密钥方式登陆资产，然后新创建普通用户管理资产

0. 说明

资产服务器：需要被堡垒机管理的服务器
Jumpserver平台：部署有Jumpserver的服务器
管理用户：资产服务器上的已有用户
系统用户:资产服务器上有的或者没有的用户

1. 资产服务器操作

1. 使用root用户登陆上资产服务器，创建一个普通用户，授予sudo NOPASSWD权限，修改sshd_config文件，允许使用密钥文件登陆。
2. 切换到该普通用户，生成密钥文件，导入公钥文件到authorized_keys文件,修改该文件权限
3. 下载id_rsa私钥文件到本地

[root@bogon ~]# useradd sandu1

[root@bogon ~]# vim /etc/sudoers
# 增加如下一行内容
sandu1  ALL=(ALL)       NOPASSWD:ALL

[root@bogon ~]# vim /etc/ssh/sshd_config
# 如下这行文件取消注释
PubkeyAuthentication yes

[root@bogon ~]# systemctl restart sshd.service

[root@bogon ~]# su - sandu1
[sandu1@bogon ~]$ ssh-keygen
[sandu1@bogon ~]$ cd .ssh/
[sandu1@bogon .ssh]$ cat id_rsa.pub >> authorized_keys
[sandu1@bogon .ssh]$ chmod 600 authorized_keys 

下载id_rsa私钥文件到本地

2. Jumpserver平台操作

1. 资产管理，管理用户，创建管理用户
   名称：填写一个容易区分的
   用户名：填写资产服务器创建的那个普通用户，本例中填写sandu1
   密码：不填写
   ssh私钥：选择上一步下载到本地的id_rsa私钥文件

然后提交

2. 资产管理，资产列表，创建资产
   主机名：填写一个容易区分的
   IP：填写资产服务器IP
   系统平台：本例选择Linux
   认证，管理用户：选择上一步填写的管理用户
   节点：默认

其余的选项保持默认

然后提交

3. 测试资产服务器连接

在资产列表中点击主机名中刚才创建的主机，右边有个快速修改-测试可连接性，点击测试
若弹出框中出现ok,则表明，在Jumpserver平台可以使用普通用户+密钥的方式登录到资产服务器上

4. 资产管理，系统用户，创建系统用户
   名称：填写一个容易区分的
   登陆模式:自动登陆
   用户名：是指在资产上进行操作的用户名
   这个分如下两种情况：第一种是资产服务器上存在该用户，填写该用户的用户名，认证中不勾选自动生成密钥，填写该用户的密码或者上传该用户的密钥，也就是使用系统已有的用户。第二种是在资产服务器上新创建一个普通用户，自动生成密钥，自动推送等，在这里使用创建一个新普通用户的方式，本例中填写的是sandu11
   自动生成密钥:勾选
   自动推送：勾选

其他保持默认

然后提交

4. 权限管理，资产授权，创建授权规则

给上一步创建的系统用户配置要管理的资产服务器

名称：填写一个容易区分的
用户：Jumpserver平台创建的用户
用户组：Jumpserver平台创建的用户组
资产：选择添加的资产服务器
节点：默认或者手动选择新添加的
系统用户：选择上一步创建的系统用户

其他保持默认

然后提交

5. 测试系统用户连接
   在系统用户列表中名称列点击刚才创建的系统用户，点击立刻推送系统，表示使用管理用户登陆资产服务器，然后创建该系统用户账号

PLAY [推送系统用户到入资产: 测试系统用户] ******************************************************
TASK [Add user sandu11] ********************************************************
ok: [ceshi]
TASK [Check home dir exists] ***************************************************
ok: [ceshi]
TASK [Set home dir permission] *************************************************
ok: [ceshi]
TASK [Set sandu11 password] ****************************************************
ok: [ceshi]
TASK [Set sandu11 authorized key] **********************************************
ok: [ceshi]
TASK [Set sandu11 sudo setting] ************************************************
ok: [ceshi]
2019-08-19 12:08:30 任务结束