ssh公私鑰認證在互聯網公司非常普遍,因此,很多公司要求將私鑰存在用戶自己的運維PC上,這就給堡壘機帶來了一個難題,因為堡壘機相當於一個ssh 中間人,很多堡壘機系統都不支持ssh私鑰轉發功能
下面就以麒麟堡壘機為例對設置ssh私鑰轉發進行描述,麒麟堡壘機支持公私鑰透傳功能,當linux服務器使用公私鑰認證時,可以將私鑰存在運維終端上(不需要上傳到堡壘機),可以保證安全性
公私鑰透傳方式如下:
- 管理員設置:admin用戶,在資源管理-設備管理,找到需要透傳的設備用戶,將ssh認證方式修改為私鑰透傳,點擊確認按鈕(也可以在批量帳號修改中,批量修改所有或部分帳號為公私鑰透傳)
2. 終端PC操作操作:
需要打開登錄工具的 ssh agent forwarding,只要打開這個才允許私鑰透傳
Securecrt中,找到sessions,右點屬性,在advance菜單勾上ssh agent forward,並且將私鑰設置為透傳的私鑰SecureCRT中操作如下:
SecureCRT在sessions屬性中將會話 設置為ssh agent forwarding截圖如下:
Securecrt中將會話私鑰指定為指定私鑰截圖如下:
Xshell在會話屬性中,勾上Xagnet 自動啟動,並且指定公私鑰,Xshell設置方法如下:
Session會話屬性中將Xagent勾選:
在Xshell中指定私鑰位置
指定后,需要將方法修改回password方式
3.終端用戶登錄時,需要輸入堡壘機web登錄口令進行認證,然后自動進行私鑰透傳到目標機進行認證