JumpServer 常見問題處理

1 概述

本篇文章主要說明使用JumpServer堡壘機時遇到的各種小問題，這些可能是操作不當、系統(tǒng)環(huán)境、資產(chǎn)環(huán)境等各類原因導致的。本文劃分了幾個篇章，對常見問題進行整理總結，希望能對使用者快速定位、處理問題提供幫助。

(相關資料圖)

2 前端頁面

2.1 登陸堡壘機

2.1.1 設置你的瀏覽器支持cookie

問題現(xiàn)象：

登陸堡壘機時頁面提示“設置你的瀏覽器支持cookie”。

問題原因：

頁面緩存問題。

解決方案：

清空緩存，重新打開瀏覽器，地址欄只填域名不加后綴，重新進入頁面再次填寫賬號&Password即可。

2.1.2 IP已被鎖定

問題現(xiàn)象：

登陸堡壘機時頁面提示“IP已被鎖定”。

問題原因：

系統(tǒng)管理員設置了登陸黑名單，由于某些原因你的IP屬于黑名單里的，一般通過互聯(lián)網(wǎng)登陸時會出現(xiàn)這種問題。

解決方案：

聯(lián)系系統(tǒng)管理員打開<系統(tǒng)設置><安全設置><登錄限制>，將你的IP添加進。

2.1.3 server error occur，contact administrator

問題現(xiàn)象：

登陸堡壘機時頁面提示“server error occur，contact administrator”。

問題原因：

一般啟用了外部的身份認證系統(tǒng)時會出現(xiàn)該報錯，如 LDAP、OpenID等。可能的原因有，LDAP 服務連接失敗，OpenID 認證連接失敗。也可能跟數(shù)據(jù)庫有關。

解決方案：

后臺查看 jumpserver.log 根據(jù)報錯原因進行處理。

常見報錯有無法連接到認證端，該用戶的郵箱與其他用戶相同。

2.1.4 虛擬 MFA 驗證碼錯誤

問題現(xiàn)象：

登陸堡壘機時頁面提示“虛擬 MFA 驗證碼錯誤，或者服務器端時間不對，您還可以嘗試 6 次（賬號將被臨時鎖定 30 分鐘）”。

問題原因：

一般是驗證碼輸入錯誤，或者JumpServer服務器時間不對導致的。

解決方案：

確認驗證碼輸入正確，去后臺檢查系統(tǒng)時間，使用 ntpdate -u ntp.api.bz 重新同步時間，或者用 date -s “20140225 20:16:00” 直接改成正確的時間。

2.2 日常使用

2.2.1 連接WebSocket失敗

問題現(xiàn)象：

頁面提示“連接WebSocket失敗”。

問題原因：

這個問題有兩種情況，如果不影響使用，資產(chǎn)連接也正常，重啟服務就可以。如果資產(chǎn)連接時也報類似的錯誤那就是 lb 沒有支持 websocket 長連接，或者防火墻設備攔截導致的。打開 F12 檢查 ws:// 開頭的請求，這是 WebSocket 相關的，它的狀態(tài)碼正常是101，其他狀態(tài)碼會導致該問題。

解決方案：

不影響使用，重啟服務就可以恢復。

資產(chǎn)連接受到影響，檢查 lb 參考“??https://docs.jumpserver.org/zh/master/admin-guide/proxy/#2-nginx”，如果有負載設備測試繞過該設備看登陸看是否正常，使用4層負載不會出現(xiàn)該問題，如果有類似??WAF 的防火墻設備，檢查是否出現(xiàn)了攔截，或者關閉 WAF 看是否會正常。

2.2.2 Request failed with status code 502

問題現(xiàn)象：

頁面提示“Request failed with status code 502”。

問題原因：

這種報錯一般是 core 組件異常導致的，常見的原因是磁盤空間滿。

解決方案：

去后臺查看 jumpserver.log 有具體的報錯原因，處理異常點后需重啟 JumpServer。

2.2.3 此操作需要驗證您的 MFA

問題現(xiàn)象：

執(zhí)行查看或導出Password 操作時，頁面提示“此操作需要驗證您的MFA”。

問題原因：

出于安全考慮，執(zhí)行涉及查看系統(tǒng)用戶Password 的操作時要驗證 MFA，如果該用戶沒有配置多因子認證就會出現(xiàn)這個提示。

解決方案：

右上角點擊<個人信息>進入賬號信息頁面,設置多因子認證。如果覺得麻煩還可以修改 config.txt 文件，添加下面參數(shù)，重啟生效，但不建議這樣。

#查看或導出Password 時認證 MFA，true 需要，false不需要

SECURITY_VIEW_AUTH_NEED_MFA=false

2.2.4 站內信提示組件異常

問題現(xiàn)象：

對于管理員，看到站內信里提醒“終端健康狀況檢查警告”或“終端離線”。

問題原因：

這些說明堡壘機的組件出現(xiàn)異常，甚至會影響使用。當組件的資源（CPU、內存、磁盤空間）使用率過高時會有健康狀況警告，這是系統(tǒng)資源不夠用的表現(xiàn)。如果是終端離線，則是組件出現(xiàn)異常或連接不到core容器。

解決方案：

說明：社區(qū)版有 Celery、Core、KoKo、Lion 和 Magnus 共5個組件，企業(yè)版另外增加 OmniDB 和 Razor 兩個組件。

去<系統(tǒng)設置><終端設置><終端管理>檢查組件狀態(tài)，如果 CPU、內存和磁盤使用率高則需要擴容。如果組件狀態(tài)為離線，則將離線的組件刪除，然后檢查數(shù)量是否正確，如果少了就去后臺重啟該組件，命令：docker restart 容器名。

2.2.5 無法提交或刪除配置

問題現(xiàn)象：配置好某些資源后點提交沒有反映，或無法刪除某些配置信息。問題原因：這種情況是被 WAF 之類的防火墻設備攔截了。解決方案：打開 F12 檢查 API 相關的請求是否異常，尤其是沒有返回狀態(tài)碼的，大概率是被攔截了，聯(lián)系負責網(wǎng)絡或安全的同事進行排查處理。

2.2.6 點擊郵件內的鏈接訪問不到堡壘機

問題現(xiàn)象：

忘記Password 或申請工單時 JumpServer 會給相關人發(fā)送郵件，點開郵件鏈接登陸的地址不是 JumpServer 的地址而是http://localhost:8080。

問題原因：

沒有修改<基本設置>里當前站點的 URL 導致的。

解決方案：

聯(lián)系管理，打開<系統(tǒng)設置><基本信息>將<當前站點URL> 改為登陸 JumpServer 的實際地址并提交。完成后需重新發(fā)送郵件。

2.3 資產(chǎn)維護

2.3.1 測試資產(chǎn)連接性報錯

問題現(xiàn)象1：

問題現(xiàn)象2：

問題原因：

現(xiàn)象1的原因是沒有給該資產(chǎn)配特權用戶，或者雖然配了特權用戶，但創(chuàng)建特權用戶時忘記配Password 。

現(xiàn)象2的原因是特權用戶的Password 不對。

解決方案：

在資產(chǎn)詳情檢查是否配置了特權用戶，如果沒有則點更新添加后再重試。進入koko容器（命令：docker exec -it jms_koko bash）使用 ssh 命令測試是否可以正常登陸到該資產(chǎn)。如果正常，在賬號列表找到特權用戶查看Password 是否正確，不正確可以在本頁<更多><更新>Password 。

2.3.2 測試資產(chǎn)連接性報錯-資產(chǎn)沒有ssh協(xié)議

問題現(xiàn)象：

問題原因：

這個提示資產(chǎn)的<協(xié)議組>沒有配置 ssh 的協(xié)議，經(jīng)常出現(xiàn)在 Windows 的系統(tǒng)上。

解決方案：

更新資產(chǎn)在<協(xié)議組>添加 ssh 的協(xié)議。

2.3.3 測試資產(chǎn)連接性報錯-無法創(chuàng)建 ~/.ansible 目錄

問題現(xiàn)象：

問題原因：

這個提示要創(chuàng)建 ~/.ansible/tmp/ansible-tmp-*** 目錄。有兩種可能，一是沒有這個目錄的權限或者磁盤空間滿導致創(chuàng)建不出來，第二種這是個 Windows 資產(chǎn)但是系統(tǒng)平臺寫的是 Linux。這里要說明下，Linux 平臺用的是 python 而 Windows 平臺用的是 PowerShell 做的連接性測試。

解決方案：

Linux 資產(chǎn)需檢查該目錄是否有權限或磁盤空間，可根據(jù)提示通過手動創(chuàng)建測試。Windows 資產(chǎn)檢查系統(tǒng)平臺是否正確。

2.3.4 定時任務不執(zhí)行

問題現(xiàn)象：配置的定時改密、定時同步資產(chǎn)等定時任務不執(zhí)行。問題原因：定時任務是由 celery 組件執(zhí)行的，如果任務不執(zhí)行是由于該組件異常導致。解決方案：登陸堡壘機后臺，執(zhí)行 docker exec -it jms_celery ps -ef 命令檢查是否存在僵尸進程，如果有則重啟該組件，命令 docker restart jms_celery。

3 Web 終端

3.1 連接資產(chǎn)

3.1.1 復用連接并提示改密

問題現(xiàn)象：

連接資產(chǎn)時提示“復用SSH連接”，并且Password 沒有到期也提示改密。

問題原因：

復用了之前連接這個資產(chǎn)的連接，出現(xiàn)了異常。

解決方案：

修改 config.txt 文件，添加下面參數(shù)，不復用 SSH 連接，重啟生效。

#是否復用同一用戶的 SSH 連接，true 復用，false 不復用

REUSE_CONNECTION=false

3.1.2 沒有系統(tǒng)用戶

問題現(xiàn)象：

連接資產(chǎn)時提示“沒有系統(tǒng)用戶”。

問題原因：

這是有資產(chǎn)授權，但是沒有系統(tǒng)用戶，或系統(tǒng)用戶和資產(chǎn)不匹配。

解決方案：

檢查資產(chǎn)授權規(guī)則里，資產(chǎn)和系統(tǒng)用戶的協(xié)議是否一致。

3.1.3 504 Gateway Time-out

問題現(xiàn)象：

Web 終端連接資產(chǎn)時報錯“504 Gateway Time-out”。

問題原因：

504狀態(tài)碼是網(wǎng)關超時，這說明后臺組件出異常了。

解決方案：

登陸堡壘機后臺，重啟組件，命令：docker restart 容器名。或者整體重啟，命令：jmsctl restart。

3.2 文件管理

3.2.1.無法上傳

問題現(xiàn)象：

文件管理，上傳文件時報錯“無法上傳”。

問題原因：

常見的原因是磁盤空間滿，或者系統(tǒng)用戶沒有該目錄的權限。

解決方案：

系統(tǒng)用戶點<更新>能看到的配置。登陸資產(chǎn)，檢查該系統(tǒng)用戶對這個路徑是否有權限，同時檢查磁盤空間是否滿。