一种通过堡垒机免托管主机账户运维的方法与流程

1.本发明涉及网络服务技术领域，尤其涉及一种通过堡垒机免托管主机账户运维的方法。


背景技术：

2.随着互联网的飞速发展，基于网络的应用服务器已经是生活中不可或缺的一部分，同时提供网络服务的公司的服务器也在不断的增加，这些服务器可能部署在某个域中，也可能云上部署，为了更好的管理服务器，并且记录运维人员在服务器上的使用情况，很多企业引入堡垒机产品，管理员需要现在堡垒机上配置服务器和登录服务器的凭据，运维人员需要先进行用户身份识别登录堡垒机，再进行主机的认证。传统堡垒机纳管服务器，需要先在堡垒机添加服务器，然后再把服务器的登录凭据托管给堡垒机，再设置运维用户和服务器账户之间的授权关系，但是这种方式存在以下问题：
3.1、服务器的登录凭据托管给堡垒机时，如果堡垒机的数据库被攻破，则所有服务器的凭据都会被暴露；2、当服务器的登录凭据发生变动时，管理员需要手动在堡垒机上更新不同服务器的凭据；3、如果采用不在堡垒机上托管凭据，运维员运维服务器器更加的繁琐，需要手动输入凭据，如果凭据是私钥的格式，现有的技术不能手动输入私钥；4、在域应用场景下，每个运维员和其管理的服务器都有不通过的账户密码，将这些授权关系一一对应配置，对于堡垒机管理员是非常大的工作量。


技术实现要素：

4.本发明的目的在于克服现有技术的缺点，提供了一种通过堡垒机免托管主机账户运维的方法，解决了传统堡垒机服务器登录是存在的问题。
5.本发明的目的通过以下技术方案来实现：一种通过堡垒机免托管主机账户运维的方法，所述方法包括：
6.s1、用户登录堡垒机，堡垒机对用户登录凭据验证登录的用户名和密码或密钥是否正确，如果正确，则通过认证登录堡垒机；
7.s2、成功登录堡垒机后根据用户的权限从能够查询到的主机列表中，运维选择需要访问的主机运维登录；
8.s3、判断服务器的密码是否托管给堡垒机，如果没有托管给堡垒机，则运维手动输入账户密码，如果托管给堡垒机，则将数据库中存储的密码代填到服务器进行认证，实现免输入密码登录。
9.所述方法还包括用户选择主机的self账户登录，在用户选择主机的self账户登录时堡垒机将堡垒机用户的登录凭据自动填入服务器，无需从数据库中读取服务器凭据。
10.所述用户选择主机的self账户登录具体包括：
11.堡垒机用户登录堡垒机后，在资产列表中选择某个目标资产的self账户，系统从堡垒机数据库中读取当前堡垒机用户的登录账户和凭据；
12.将该登录凭据生成一个临时的token，将登录凭据带入token到服务器上进行认证，token带入服务器时，自动识别登录名和凭据并将配置自动填入对应服务器进行认证，当登录堡垒机用户和凭据与资产的登录名和凭据一致时，则认证通过。
13.所述用户选择主机的self账户登录还包括：当管理员将堡垒机用户的账户和密码进行修改后，不会同步修改堡垒机上托管的主机密码，用户每次通过堡垒机运维服务器时，都会生成临时的token进行认证，同步更新认证的主机登录凭据，减少管理员的维护成本。
14.所述方法还包括堡垒机通过self账户同步更新登录凭据的步骤，其具体包括：
15.用户使用self特殊账户时，在域服务中修改登录凭据后，用户在下一次登录堡垒机时，选择self登录服务器，则重新生成token，使用新的凭据登录服务器，无需管理员在堡垒机上手动修改服务器的登录凭据，使用新的凭据登录成功后，用户可配置将该凭据保存到堡垒机，自动生成一条规则，下次用户可以选择生成的该账户登录。
16.本发明具有以下优点：一种通过堡垒机免托管主机账户运维的方法，能够有效的解决用户通过堡垒机运维服务器不便捷的操作，自动化程度更高，可以减少用户运维登录的时间，使生成分配的人力更合理分配，不将服务器登录凭据托管给堡垒机，而是每次登录进行临时认证，降低了凭据泄露的风险。
附图说明
17.图1为本发明的流程示意图；
18.图2为堡垒机用户通过self账户运维服务器的流程示意图；
19.图3为堡垒机通过self账户同步更新登录凭据的流程示意图。
具体实施方式
20.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下结合附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的保护范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。下面结合附图对本发明做进一步的描述。
21.如图1所示，本发明具体涉及一种通过堡垒机免托管主机账户运维的方法，整个流程分为：用户在堡垒机上进行认证、堡垒机使用用户密码在服务器上进行登录认证的两个认证流程，认证通过后，用户才可运维服务器，以下将详细介绍用户是如何通过堡垒机跳转登录服务器。
22.进一步地，堡垒机用户通过堡垒机运维服务器整个过程包括:
23.s1、用户登录堡垒机，堡垒机会对用户登录凭据进行验证，登录的用户名和密码或密钥正确则认证通过，认证通过后即可成功登录堡垒机；
24.s2、成功登录堡垒机后，该用户会看到可运维的主机列表，这个主机列表是有管理员在管理页面进行授权设置的，该用户能看的主机列表，表示该用户可运维访问这些主机；
25.s3、运维选择需要的主机运维登录，管理员没有将服务器的密码托管给堡垒机，则
需要运维手动输入账户密码；如果管理托管密码，则会将数据库中存储的密码代填至服务器认证，实现免输入密码登录；除此之外，用户还可以选择主机的self账户登录时，堡垒机会将堡垒机用户的登录凭据自动填入服务器，无需从数据库中读取服务器凭据。
26.如图2所示，通过self账户在服务器上进行认证登录包括：
27.堡垒机用户登录堡垒机后，在资产列表选择某个目标资产的self账户，系统会从堡垒机数据库中读取当前堡垒机用户的登录账户和凭据，将该登录凭据生成一个临时的token，将登录凭据带入token去服务器上进行认证，该token包括登录名和凭据，token带入服务器时，会自定识别登录名和凭据并将该配置自动填入对应服务器进行认证，当登录堡垒机用户和凭据与资产的登录名和凭据一致时，则认证通过。
28.当it管理员将堡垒机用户的账户和密码进行修改后，可以无休同步修改堡垒机上托管的主机密码，用户每次通过堡垒机运维服务器时，都会生成临时的token进行认证，同步更新认证的主机登录凭据，减少it管理员的维护成本。
29.如图3所示，步更新，如果采用托管主机账户凭据的方式，堡垒机管理员需要在堡垒机上逐一更新服务器的凭据。
30.用户使用self特殊账户时，在域服务中修改登录凭据后，用户在下一次登录堡垒机后，选择self登录服务器，会重新生成token，使用新的凭据登录服务器，无需管理员在堡垒机上手动修改服务器的登录凭据，使用新的凭据登录成功后，用户可配置将该凭据保存到堡垒机，自动生成一条规则，下次用户可以选择生成的该账户登录。
31.以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。