首先感谢
http://www.jumpserver.org/
提供的优秀跳板机系统。
我们把跳板机系统经过二次开发主要是
- 弃用
角色功能使用ldap自动登录。 - 添加
登录后临时认证。 上传下载我们自己在监控机上实现了sftp-server-client功能。- 细节与性能的调整。
大体流程差不多如下图:
- ①用户user进行ssh登录jumpserver机器。
- ②jumpserver向ldap服务器发起请求获取用户曾经上传到ldap服务器的公钥。
- ③ldap响应请求,返回用户公钥,然后openssh认证,如果通过,则调用jumpserver的
connect.py。 - ④jumpserver的
connect.py做出判定该用户是否有权限登录Server机器。如果有权限则使用用户曾经上传到jumpserver的私钥去发起登录请求。 - ⑤Server向ldap服务器发起请求获取用户曾经上传到ldap服务器的公钥。
- ⑥ldap响应请求,返回用户公钥,然后openssh认证,如果通过,则用户登录服务器成功。
- 用户通过jumpser与openldap登录远程服务器成功。
- 注:假设jumpserver出现问题则OPS直接通过第④步骤进行调试。