排坑实录：解决 JumpServer DOMAINS 配置异常问题

一、问题背景

从 JumpServer v3.6 版本开始，为了提升系统安全性，官方 强制要求配置可信任域名（DOMAINS）。
如果未正确配置该字段，将在访问 Web 页面时出现以下错误：

• 错误码 400 或 403

• 无法正常打开登录页面或控制台

---

二、DOMAINS 的作用

DOMAINS 用于指定允许访问 JumpServer 的 可信任域名或 IP 地址。
只有在该字段中定义的域名或 IP，才能通过浏览器访问 JumpServer 服务。

这一机制的主要目的是防止：

• 非授权域名访问后台；

• HTTPS 证书域名与访问域名不匹配；

• 跨站攻击（CSRF）等安全隐患。

---

三、无需修改的情况

如果你是通过 官方一键安装包 部署的 JumpServer，并且：

• 在旧版本中已经开启了 HTTPS 访问；

• 升级到 v3.6 后访问依然正常；

那么你 无需修改任何配置，系统会自动继承原有可信任域名配置。

---

四、需要修改的情况

如果你是：

• 使用 IP 地址 访问 JumpServer；

• 或者修改了主机 IP / 域名；

• 或者是手动部署的新环境；

则需要在配置文件中显式指定 DOMAINS。

---

五、修改 DOMAINS 配置

1️⃣ 打开配置文件

vim /opt/jumpserver/config/config.txt

2️⃣ 编辑 DOMAINS 字段

根据你的访问方式（域名 / 内网 IP / 公网 IP）选择配置：

# 使用域名访问 JumpServer
DOMAINS="demo.jumpserver.org"

# 使用 IP 地址访问 JumpServer（如内网）
DOMAINS="172.17.200.191"

# 同时允许域名和 IP 访问
DOMAINS="demo.jumpserver.org,172.17.200.191"

⚠️ 注意：

• 多个域名或 IP 用英文逗号 , 分隔；

• 如果公网访问，请填写公网 IP 或绑定的域名。

---

六、保存并重启服务

修改完成后，执行以下命令使配置生效：

jmsctl restart

系统会自动重新加载配置文件。

---

七、验证是否生效

1. 使用配置中指定的域名或 IP 打开 JumpServer 页面。

2. 如果能正常访问登录页，说明配置成功。

3. 若仍提示 400/403 错误，请检查：

   • 是否存在空格、中文符号；

   • 是否忘记加引号；

   • 是否域名与访问方式不匹配（http/https）。

---

八、常见问题排查

---

九、总结

---

✅ 结论：
自 JumpServer v3.6 起，DOMAINS 配置为强制项，是确保访问安全与合法性的关键配置项。
只需在 /opt/jumpserver/config/config.txt 中正确填写可信域名或 IP，并重启服务，即可恢复正常访问。