Jumpserver PAM FAQ
329 subscribers
79 photos
2 files
40 links
Это канал АФИ Дистрибьюшн о продукте Jumpserver (Редакции Community и Enterprise)
Вопросы можно задавать мне https://t.me/mapceaheh
Download Telegram
Автоматическое повышение привилегий при подключении по SSH

Обычно под УЗ root нельзя подключаться по SSH напрямую, поэтому после подключения для повышения привилегий обычно выполняется команда su и вводится пароль от УЗ root.

JumpServer позволяет автоматизировать этот процесс и запустить SSH сессию с автоматическим повышением прав до root без знания/раскрытия пароля.

Для этого нужно:

1. Зайти в System Settings - Platforms, в списке выбрать нужную платформу на базе Linux (или скопировать стандартную), открыть параметры и в поле Switch Account Method указать нужную команду, которая будет использоваться для переключения УЗ, например "su -"

2. Перейти в Console - Accounts, найти там привилегированную УЗ, например root, открыть для редактирования и в поле Switch from указать УЗ (в моем примере это УЗ serg), с которой будет осуществляться подключение изначально, сохранить изменения.

3. Теперь при подключении по SSH можно выбрать root, но сессия запуститься с УЗ serg и автоматически переключится на root после авторизации, при старте сессии вы увидите надпись "switched to root(root)"
Как писать API запросы с помощью Cursor AI?

Cursor AI - популярный инструмент и среда разработки, который может использовать языковые модели для написания скриптов.

Для лучшего результата нужна платная версия Cursor или API ключ от ChatGPT\DeepSeek, или других чат-ботов.

Чтобы Cursor получил документацию по JumpServer API, нужно:

1. Скачать файл swagger.json по адресу: https://PAM/api/swagger.json , где PAM - имя или IP вашего JumpServer

2. Создать новую директорию для работы Cursor, где будут сохраняться сгенерированные скрипты, и скопировать файл swagger.json в эту директорию

3. После этого попросить Cursor написать нужный вам скрипт на основе документации API в swagger.json
Запросы можно писать на русском языке в свободной форме, например "в отдельном файле создай мне скрипт с выводом всех пользователей, их ролей и названия их организации"
Корпоративный ИИ-ассистент MaxKB от создателей JumpServer

Решение позволяет превратить вашу кладезь документаци и заметок в интерактивную базу знаний, где ИИ-ассистент сможет отвечать на вопросы ваших коллег и клиентов, используя накопленную в компании информацию.

MaxKB используется в полумиллионе компаний, доступен в бесплатной редакции Community, а также в полнофункциональной редакции Enteprise. MaxKB доступен в облаке и для установки в локальную сеть.

Нам интересно узнать, как вы относитесь к подобного класса решениям - напишите ваши мысли и вопросы в тг @mapceaheh

Задачи, которые решает MaxKB:

- поиск и извлечение знаний из корпоративных данных;
- ответы на запросы сотрудников на основе внутренних документов;
- создание ИИ-ассистентов с доступом к специфичной информации;
- автоматизация бизнес-процессов через LLM и RAG;
- интеграция знаний с другими системами (через MCP).

Основные функции MaxKB:

RAG-пайплайн (Retrieval-Augmented Generation) с подключением собственных источников данных (PDF, HTML, базы знаний и т.д.)

MCP-интеграция для объединения с другими LLM-инструментами и API.

Создание ассистентов для HR, техподдержки, продаж и др. отделов.

Гибкая настройка рабочих пространств с множеством агентов, ролевая модель доступа.

Интерфейс для загрузки, разметки и валидации данных.
Channel name was changed to «Jumpserver PAM FAQ»
Как подключаться к доменным активам с единой доменной УЗ?

В предыдущих версиях JumpServer была строгая привязка УЗ к конкретному активу, то есть не было возможности подключаться с одной и той же доменной УЗ к разным активам без дублирования этой УЗ.

В последних версиях JumpServer добавили такую возможность:

1. Перейдите в Console - Assets - Directory service и создайте актив, указав параметры домена.
(см. скриншот №1)

Примечание: если у вас нет вкладки Directory Service, обновите JumpServer до последней версии

2. Добавьте необходимые доменные УЗ к этому активу

3. В разделе System Settings - Platforms выберите платформу, которая будет использоваться для доменных активов, например Windows2016, и включите в ней опцию DS Enabled

Примечание: если платформа является основной, ее редактирование заблокировано, просто создайте ее дубликат.

4. В Console - Assets выберите нужный актив и откройте для редактирования. Внизу должен появиться параметр Directory service, укажите имя вашего DS актива, созданного на первом шаге (см. скриншот)

5. Теперь доменные УЗ будут отображаться у каждого доменного актива, и их можно будет использовать для подключения.
👍3
Описание всех методов подключений к целевым системам

В новой статье в КБ описали все возможные варианты подключений к целевым системам, скорее всего вы не про все эти методы знаете.

Ставьте лайки, подписывайтесь на канал :)
2
Инструкция по настройке и использованию JumpServer Client

JumpServer Client не обязателен для установки, но может упростить подключение к целевым системам, особенно актуально для подключений к СУБД.
JumpServer Client можно установить на Windows,MacOS и Linux.

Инструкция доступна в новой статье КБ
2
Вышла новая версия JumpServer 4.10.2

Что нового:

- Добавлена поддержка подключения к базам данных MongoDB в с помощью локальных клиентов. (только в JumpServer Enterprise Edition)
- Поддержка настойки языка каждым пользователем.
- Полностью переработан функционал пакетного выполнения команд в нижней части Web-терминала.
- Поддержка автоматической смены пароля после успешного входа на ресурс. (только в JumpServer EE)

Улучшения:

- Chat AI теперь поддерживает интеллектуальные ответы и вставку команд в зависимости от контекста символьных сессий (SSH, Telnet).
- Единый вход (SSO) теперь поддерживает многофакторную аутентификацию (MFA). (только в JumpServer EE)
- Интерфейс Chrome RemoteApp теперь может автоматически переключать язык отображения в соответствии с языком пользователя.
- Добавлена поддержка регулярной очистки просроченных токенов подключения и временных токенов.
- Поддержка массового удаления наборов слабых паролей.
- Количество Celery-воркеров теперь можно задавать через переменную CELERY_WORKER_COUNT.
- При включенном безопасном режиме (SAFE_MODE=true) команда Adhoc будет скрывать подсказки с именем учетной записи.

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.2 доступен по этой ссылке.
Дистрибутив JumpServer Community версии 4.10.2 доступен по этой ссылке.
Вышла новая версия JumpServer 4.10.3

Исправления и улучшения:

- Исправлено некорректное отображение количества записей команд после настройки Elasticsearch для хранения команд.
- Улучшена поддержка прерывания команд с помощью “Ctrl + C” при подключении к Kubernetes.
- Исправлена работа функции “Запомнить пароль” при подключении к ресурсам.
- Устранена проблема, при которой в сессии KoKo отображалось предупреждение об отключении WebSocket.

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.3 доступен по этой ссылке.
1
Не забывайте обновлять JumpServer Client

JumpServer Client — это необязательный агент для рабочей станции, но он значительно упрощает подключение к целевым системам в один клик, что особенно удобно при работе с СУБД и SSH-сессиями.

Например, в последней версии v3.0.5 была добавлена поддержка MongoDB Compass — теперь можно подключаться к MongoDB через прокси с помощью локального клиента.

Поддерживаемые клиенты в JumpServer Client для Windows:

🔐 SSH / Telnet:
- PuTTY
- XShell
- SecureCRT
- MobaXterm

📂 SFTP:
- SecureFX
- WinSCP
- Xftp

🖥 RDP:
- Microsoft Remote Desktop Client (для Windows)

🗄 СУБД:
- Navicat Premium Lite 17
- PL/SQL Developer
- DBeaver Community
- SQL Server Management Studio
- Redis Desktop Manager
- Another Redis Desktop Manager
- Toad for Oracle
- MongoDB Compass

Рекомендуем регулярно обновлять клиент до последней версии, чтобы получать доступ к новым возможностям и улучшениям.
Дашборд Grafana для JumpServer

Базовые средства отчетности и мониторинга JumpServer можно расширить внешними инструментами Metabase, Grafana или Apache Superset.

Сегодня наткнулся на готовый дашборд для Grafana — делюсь находкой:
jumpserver-grafana-dashboard

Что делает скрипт:

1. Автоматически устанавливает Grafana в отдельном контейнере на сервер с JumpServer, делает её доступной по http://JS_IP:3000

2. Подключается к базе данных JumpServer и импортирует дашборд

Ниже - несколько скриншотов готового дашборда
👍6
Надёжных партнёров, к кому можно обращаться за интеграцией JumpServer, становится всё больше!

ИБ-интегратор «Айти Таск» расширил портфель PAM-решением JumpServer и уже показал свою эффективность на практике в пилотных проектах:

https://www.cnews.ru/news/line/2025-07-23_ajti_task_rasshiril_portfel
🔥4👍2👏1
Вышла новая версия JumpServer 4.10.4

Улучшения

- Добавлена информация о размере файла записи сессий.
- Добавлена нечеткий поиск по командам в Elasticsearch.
- Оптимизирован журнал операций при скачивании логов FTP.
- Оптимизирован журнал операций при просмотре записей сессий.
- Улучшена страница деталей пользовательских сессий.
- Добавлен аудит операций в системе заявок. (JumpServer EE)
- Добавлена возможность включения или отключения TLS-шифрования для SQL Server 2008. (JumpServer EE)
- Задания синхронизации с облаком теперь поддерживают автоматическое обновления информации о хостах. (JumpServer EE)

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.4 доступен по этой ссылке.
1
Интеграция JumpServer PAM с KeyCloak на примере MFASOFT

Интеграция JumpServer PAM с Keycloak и двухфакторной аутентификацией (2FA) повышает уровень безопасности доступа к привилегированным учетным записям, снижая риск компрометации при утечке паролей — нарушителю понадобится получить доступ к ещё одному фактору для того, чтобы воспользоваться украденным паролем.

С коллегами из MFASOFT протестировали интеграцию JumpServer PAM с KeyCloak через OpenID Connect, при этом решение от MFASOFT дополнило KeyCloak модулем двухфакторной аутентификации с помощью различных методов (TOTP, Telegram, VKmessenger и пр.)

Инструкция со снимками экрана доступна по ссылке на нашу базу знаний

Видео работы JumpServer PAM c ПК SAS MFASOFT размещено на RuTube
🔥7👍2👏1
Полезные параметры в конфиг-файле JumpServer PAM

Часть функций и настроек JumpServer включается только с помощью параметров в конфиг-файле, который можно отредактировать следующей командой:
nano /opt/jumpserver/config/config.txt



Включение возможности автоматической смены пароля после завершения сессии (появится опция "Secret rotation" в политике Asset connect ACL):
CHANGE_SECRET_AFTER_SESSION_END=true



Отключение записи введенных паролей (и остального ввода, полученного в ответ на запрос в консоли) в журнал команд:
DISABLE_INPUT_AS_COMMAND=true



Включение возможности менять пароль от используемой УЗ (по умолчанию для смены пароля от УЗ необходима другая привилегированная УЗ):
CHANGE_AUTH_PLAN_SECURE_MODE_ENABLED=false



Возможность повторного использования параметров подключения (токенов "SSH Guide" или "DB Guide"):
# включение повторного использования параметров авторизации

CONNECTION_TOKEN_REUSABLE=true

# период, в который параметры авторизации могут быть переиспользованы, в секундах

CONNECTION_TOKEN_REUSABLE_EXPIRATION=86400



Ограничение размера сохраняемых копий переданных файлов. Если размер файла превышает указанный размер, файл будет передан, в журнале появится запись об этом, но копия файла сохранена не будет. Чтобы никогда не сохранять копии, установите 0.
# ограничение размера копии в мегабайтах

FTP_FILE_MAX_STORE=100