首先感謝
http://www.jumpserver.org/
提供的優秀跳板機系統。
我們把跳板機系統經過二次開發主要是
- 棄用
角色功能使用ldap自動登錄。 - 添加
登錄后臨時認證。 上傳下載我們自己在監控機上實現了sftp-server-client功能。- 細節與性能的調整。
大體流程差不多如下圖:
- ①用戶user進行ssh登錄jumpserver機器。
- ②jumpserver向ldap服務器發起請求獲取用戶曾經上傳到ldap服務器的公鑰。
- ③ldap響應請求,返回用戶公鑰,然后openssh認證,如果通過,則調用jumpserver的
connect.py。 - ④jumpserver的
connect.py做出判定該用戶是否有權限登錄Server機器。如果有權限則使用用戶曾經上傳到jumpserver的私鑰去發起登錄請求。 - ⑤Server向ldap服務器發起請求獲取用戶曾經上傳到ldap服務器的公鑰。
- ⑥ldap響應請求,返回用戶公鑰,然后openssh認證,如果通過,則用戶登錄服務器成功。
- 用戶通過jumpser與openldap登錄遠程服務器成功。
- 注:假設jumpserver出現問題則OPS直接通過第④步驟進行調試。