ssh公私钥认证在互联网公司非常普遍,因此,很多公司要求将私钥存在用户自己的运维PC上,这就给堡垒机带来了一个难题,因为堡垒机相当于一个ssh 中间人,很多堡垒机系统都不支持ssh私钥转发功能
下面就以麒麟堡垒机为例对设置ssh私钥转发进行描述,麒麟堡垒机支持公私钥透传功能,当linux服务器使用公私钥认证时,可以将私钥存在运维终端上(不需要上传到堡垒机),可以保证安全性
公私钥透传方式如下:
- 管理员设置:admin用户,在资源管理-设备管理,找到需要透传的设备用户,将ssh认证方式修改为私钥透传,点击确认按钮(也可以在批量帐号修改中,批量修改所有或部分帐号为公私钥透传)
2. 终端PC操作操作:
需要打开登录工具的 ssh agent forwarding,只要打开这个才允许私钥透传
Securecrt中,找到sessions,右点属性,在advance菜单勾上ssh agent forward,并且将私钥设置为透传的私钥SecureCRT中操作如下:
SecureCRT在sessions属性中将会话 设置为ssh agent forwarding截图如下:
Securecrt中将会话私钥指定为指定私钥截图如下:
Xshell在会话属性中,勾上Xagnet 自动启动,并且指定公私钥,Xshell设置方法如下:
Session会话属性中将Xagent勾选:
在Xshell中指定私钥位置
指定后,需要将方法修改回password方式
3.终端用户登录时,需要输入堡垒机web登录口令进行认证,然后自动进行私钥透传到目标机进行认证