堡垒跳板机实现——整体架构http://www.yunyo ub ar.c o m/邮件群发
背景介绍
最近笔者接手公司的一项任务建造服务器的堡垒跳板机。
关于跳板机的实现其实简单版本网上一大堆甚至更有开源堡垒机Jumpserver可供选择方案很多。接下来会就我的实现方案整理出几篇文章来做概要描述。覆盖功能
正所谓兵马未动粮草先行在设计之前先整理出我们一期中堡垒机要覆盖的基本功能点
服务器统一账号权限管理包括哪些用户可以对哪些服务器进行login哪
些用户有sudo权限;
用户行为记录可在必要时回看审查;
用户登录校验审查;
现在初期的目标是将所有的l inux服务器通过堡垒机进行管理把控将来扩展下同样可以通过ssh协议对交换机、路由器、甚至是Windo ws进行管理(目前windows已经可以实现通过ssh登录不过这种方式就没有图形界面了且只能通过powers he ll来进行管理)。
架构设计
基于以上几点功能点设计架构如下
下面对这个架构图做下说明
整体分为三层总体来说
第一层校验用户是否有登录堡垒机的权限;
第二层真正为用户分配权限 同时判断经过第一层的用户是否有对目标机器操作的权限;
第三层则是真正登录/操作服务器的方式在这里我将服务器的auth+sudo权限通过ldap来进行分布式动态管理稍后会有专门的说明;
第一层
登录入口凡是有堡垒机使用权限的均可以由此入口处登录成功。
涉及主要服务 user login shell。
服务主要功能
读取用户信息判断是否有登录权限;
调用动态Toke n服务验证用户pa sswd;
调用动态toke n服务实现二维码扫码快速登录;
调用第二层中的授权服务ap i获取&判断用户的lo gin权限;
记录用户操作日志;
关联服务
动态Token服务类似于google auth每个人的动态码均不一样每分钟update一次 以此做登录堡垒机的校验 当然如果想简单单独分配一个静
态密码也可以;
第二层
授权服务管理获取登录用户当前的权限ip列表判断用户的操作是否符合预授权。
涉及主要服务授权管理服务
服务主要功能
设置用户/te a m的权限列表;
将权限数据下发至第三层的ldap集群;
提供ap i获取用户的权限list;
关联服务
C MDB 以c mdb中的服务树为基本单位做授权 同时在c mdb中判断授权的服务器对象是否有效;
OA 以oa中的用户组为基本单位做权限授予 同时基于oa来判断用户是否有效;
第三层
登录实体服务器&执行命令;
将所有目标服务器的ssh登录体系对接ldap集群通过在ldap中设置用户的pub lickey&sudo等信息来统一控制用户的登录权限&sudo权限。
目标规模使用两台服务器做ldap主从集群所有实体服务器对接此集群从而统一进行aut h验证。
未完待续
整体的架构说明就简单这样接下来对就每一层的具体实现在分别和大家分享。
搬瓦工和Vultr哪个好?搬瓦工和Vultr都是非常火爆的国外VPS,可以说是国内网友买的最多的两家,那么搬瓦工和Vultr哪个好?如果要选择VPS,首先我们要考虑成本、服务器质量以及产品的售后服务。老玩家都知道目前在国内最受欢迎的国外VPS服务商vultr和搬瓦工口碑都很不错。搬瓦工和Vultr哪个稳定?搬瓦工和Vultr哪个速度快?为了回答这些问题,本文从线路、速度、功能、售后等多方面对比这两...
近日华纳云商家正式上线了美国服务器产品,这次美国机房上线的产品包括美国云服务器、美国独立服务器、美国高防御服务器以及美国高防云服务器等产品,新产品上线华纳云推出了史上优惠力度最高的特价优惠活动,美国云服务器低至3折,1核心1G内存5Mbps带宽低至24元/月,20G ddos高防御服务器低至688元/月,年付周期再送2个月、两年送4个月、三年送6个月,终身续费同价,有需要的朋友可以关注一下。华纳云...
2022年春节假期陆续结束,根据惯例在春节之后各大云服务商会继续开始一年的促销活动。今年二月中旬会开启新春采购季的活动,我们已经看到腾讯云商家在春节期间已经有预告活动。当时已经看到有抢先优惠促销活动,目前我们企业和个人可以领取腾讯云代金券满减活动,以及企业用户可以领取域名优惠低至.COM域名1元。 直达链接 - 腾讯云新春采购活动抢先看活动时间:2022年1月20日至2022年2月15日我们可以在...