2023年5月22日,JumpServer开源堡垒机正式发布v3.3.0版本。在这一版本中,资产连接令牌支持在有效期内不限次数地复用;用户登录方式(包含钉钉、飞书、企业微信扫码登录)支持当不存在的用户扫码登录后,自动创建新用户。同时,账号改密功能支持特权账号密码的自修改;账号列表导出功能支持对导出的文件进行加密保护;账号模版新增“切换自”字段,在创建账号时支持自动关联所选的“切换自”账号。
另外,Web终端页面左侧的用户授权树新增“类型树”视图,Web终端页面连接Windows资产时支持键盘布局的选择。
X-Pack增强包方面,这一版本的JumpServer新增Video-Worker组件,该组件支持将Razor组件和Lion组件产生的会话录像自动转换为MP4格式,让会话录像审计更自由、更流畅、更节省。
新增功能
1. 支持将Razor组件和Lion组件产生的会话录像自动转换为MP4格式(X-Pack增强包内)
在JumpServer v3.3.0版本中,新增Video-Worker组件。该组件专门处理Razor组件和Lion组件产生录像的格式转换工作,将产生的会话录像转化为MP4格式。
▲图1 会话录像支持转换为MP4格式(X-Pack增强包内)
将“会话录像转换为MP4格式”的新增功能将给用户带来以下收益:
■ 更自由:JumpServer v3.3.0之前的版本,录像必须使用专属播放器才能播放。经过转换格式后,用户可以选择任意支持MP4格式的播放器进行播放;
■ 更流畅:录像文件转换为MP4格式后,支持瞬时快进、快退、倍速播放,录像审计更加便捷;
■ 更节省:针对Razor组件产生的录像文件太大,占用过多存储空间,Video-Worker组件的诞生有效解决了这一问题。
测试 |
视频时长 |
原格式文件大小 |
MP4格式文件大小 |
占用空间降低比例 |
测试1 |
8小时 |
4.1GB |
0.80GB |
80.5% |
测试2 |
1小时 |
2.4GB |
0.37GB |
84.6% |
▲附表 Video-Worker组件转换后录像文件所占存储空间测试
此外,JumpServer v3.3.0 版本中,Web页面的录像回放同样支持MP4格式播放。
2. 资产连接令牌有效期内不限制复用次数
在JumpServer v3.3.0版本中,用户使用资产连接令牌时,可在令牌未过期前不限制次数地使用相同的令牌来连接资产。需要在配置文件中增加参数:CONNECTION_TOKEN_REUSABLE=true。
▲图2 资产连接令牌有效期内不限制复用次数
3. 用户登录方式(包含钉钉、飞书、企业微信扫码登录)支持不存在的用户扫码登录后,自动创建新用户
在JumpServer v3.3.0版本中,当用户使用钉钉、飞书、企业微信中的任意一种登录方式扫码登录JumpServer时,对于不存在的用户,JumpServer会自动创建一个普通用户,并且将此第三方认证与该新账号绑定。
对于新创建的用户,无法在个人界面解绑对应的认证方式,如果第三方账号和JumpServer本地账号绑定错误,有以下两种解决方式:
■ 联系管理员将此账号删除,用户重新登录待绑定的本地账号,手动绑定第三方账号;
■ 联系管理员将此账号的“来源”配置项更新为“数据库”,并设置密码,此时用户方可自行解绑第三方账号。
▲图3 管理员手动更新用户“来源”配置项,并设置密码
4. 账号改密功能支持自修改特权账号
在之前的v3.2.0版本中,JumpServer新增支持了对特权用户的改密操作,但是只支持特权用户A来修改特权用户B的密码。而在v3.3.0版本中,JumpServer支持特权账号的自改密操作,特权用户可以自己修改自己的密码。
5. 账号列表导出功能支持对导出的文件进行加密保护
在JumpServer v3.3.0版本中,我们对资产账号的导出操作进行了安全加固,支持对导出的账号列表文件进行加密保护,解压文件的加密密码为在“个人信息”页面中“文件加密密码”处所设置的密码。
6. 账号模版新增“切换自”字段,创建账号时支持自动关联所选的“切换自”账号
在JumpServer v3.3.0版本中,账号模版新增“切换自”功能字段,充分利用了账号模板的抽象功能,从而快速实现对资产账号的批量操作。
▲图4 账号模版新增“切换自”字段,创建账号时支持自动关联所选的“切换自”账号
7. Web终端页面左侧用户授权树新增“类型树”视图
在JumpServer v3.3.0版本中,为了方便资产数量庞大的用户,对于Web终端的操作台页面,我们新增了“类型树”视图,方便用户根据资产的类型快速定位到所需要连接的资产。
▲图5 Web终端页面左侧用户授权树新增“类型树”视图
8. Web终端页面连接Windows资产时,支持键盘布局的选择
在JumpServer v3.3.0版本中,当用户连接Windows资产时,可以选择键盘布局。在Web Terminal界面中,选择“设置”→“图形化”,即可进行配置。
▲图6 Web终端页面连接Windows资产时,支持键盘布局的选择
功能优化
■ “查看账号”页面支持直接修改账号密码;
■ 页面切换时顶部进度条颜色根据系统主题颜色变化;
■ “忘记密码”操作的URL设置不自动增加“http://”前缀;
■ 优化资产、网关列表页面显示Labels信息不全的问题;
■ 资产平台协议增加公共协议字段(如果为公共协议,则进行资产连接时会显示在连接窗口中);
■ 创建数据库资产时,默认数据库为必填项;
■ 任务执行日志页面支持显示任务的元数据(例如ID、任务名称、执行日期等);
■ “快捷命令”账号选择输入框的下拉列表支持根据所选资产进行智能推荐、固定排序和关键字搜索;
■ 优化组织管理员无法更新、删除系统管理员的问题;
■ 修改账号模版密码时,支持同步修改关联的账号密码(只对未单独修改过的账号生效);
■ 使用RDP文件连接Windows资产时,支持Console模式;
■ 用户工作台资产列表显示更多的信息字段;
■ 账号执行Ansible任务时,支持提权操作(需要配置“切换自”账号,密码可以不用填写,提权时使用当前账号的密码);
■ 组织下拉列表按照名称进行排序;
■ 平台列表的导出不包含自动化字段;
■ 优化创建Redis资产账号时用户名的提示信息(如果没有用户名可以设置为null);
■ 用户使用远程应用连接资产时,发布机和账号优先使用上次使用过的账号;
■ 远程应用支持默认使用同名账号进行连接(账号名称以“js_”作为前缀,由JumpServer的用户名拼接而成);
■ 命令记录列表支持快捷查看近半年或一年的数据;
■ 优化Web终端左侧用户授权树中交换机资产的图标信息;
■ Lion组件相关环境变量配置Bool类型时忽略大小写;
■ Tinker组件增加定时同步发布机的账号(固定每30分钟同步一次) ;
■ 优化升级JumpServer V3版本时,迁移Redis数据库默认设置为Redis平台(之前默认设置为Redis6+平台)。
Bug修复
■ 修复删除组织时,组织下资产根节点未被删除的问题;
■ 修复Web SFTP相关的国际化问题;
■ 修复连接MySQL、MariaDB类型的数据库资产时,显示高级选项的问题;
■ 修复在“快捷命令”中搜索“运行用户”后,资产执行任务报错的问题;
■ 修复资产类型树循环显示的问题;
■ 修复/api/v1/prometheus/metrics/接口调用500报错的问题;
■ 修复更新资产时,其他资产的协议可能会丢失的问题;
■ 修复更新端点规则时,IP字段不显示的问题;
■ 修复安全设置中,登录限制黑白名单参数不显示的问题;
■ 修复组织切换可能引起的路由错误的问题 ;
■ 修复Web终端页面设置分辨率不生效的问题;
■ 修复升级V3版本时,迁移Redis资产账号可能丢失的问题(系统用户的用户名为空字符串) ;
■ 修复升级V3版本时,迁移应用时没有设置节点的问题(组织下只有一个资产根节点);
■ 修复不能创建云账号LAN的问题(X-Pack增强包内);
■ 修复Oracle数据库资产测试可连接性偶尔失败的问题(X-Pack增强包内);
■ 修复Razor组件连接Linux的XRDP服务时,由于声音传输错误造成的会话退出问题(X-Pack增强包内);
■ 修复第三方用户认证失败时循环跳转的问题(例如CAS、OIDC、SAML2.0、OAuth2等)(X-Pack增强包内)。