CN113810415A - 一种通过堡垒机免托管主机账户运维的方法 - Google Patents

一种通过堡垒机免托管主机账户运维的方法 Download PDF

Info

Publication number
CN113810415A
CN113810415A CN202111093307.7A CN202111093307A CN113810415A CN 113810415 A CN113810415 A CN 113810415A CN 202111093307 A CN202111093307 A CN 202111093307A CN 113810415 A CN113810415 A CN 113810415A
Authority
CN
China
Prior art keywords
bastion machine
user
login
account
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111093307.7A
Other languages
English (en)
Other versions
CN113810415B (zh
Inventor
张李瑶
王志国
王云静
谭欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Hi Tech Vision Digital Technology Co ltd
Original Assignee
Chengdu Hi Tech Vision Digital Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Hi Tech Vision Digital Technology Co ltd filed Critical Chengdu Hi Tech Vision Digital Technology Co ltd
Priority to CN202111093307.7A priority Critical patent/CN113810415B/zh
Publication of CN113810415A publication Critical patent/CN113810415A/zh
Application granted granted Critical
Publication of CN113810415B publication Critical patent/CN113810415B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种通过堡垒机免托管主机账户运维的方法,包括:S1、用户登录堡垒机,堡垒机对用户登录凭据验证登录的用户名和密码或密钥是否正确,如果正确,则通过认证登录堡垒机;S2、成功登录堡垒机后根据用户的权限从能够查询到的主机列表中,运维选择需要访问的主机运维登录;S3、判断服务器的密码是否托管给堡垒机,如果没有托管给堡垒机,则运维手动输入账户密码,如果托管给堡垒机,则将数据库中存储的密码代填到服务器进行认证,实现免输入密码登录。本发明能够有效的解决用户通过堡垒机运维服务器不便捷的操作,自动化程度更高,可以减少用户运维登录的时间,不将服务器登录凭据托管给堡垒机,降低了凭据泄露的风险。

Description

一种通过堡垒机免托管主机账户运维的方法
技术领域
本发明涉及网络服务技术领域,尤其涉及一种通过堡垒机免托管主机账户运维的方法。
背景技术
随着互联网的飞速发展,基于网络的应用服务器已经是生活中不可或缺的一部分,同时提供网络服务的公司的服务器也在不断的增加,这些服务器可能部署在某个域中,也可能云上部署,为了更好的管理服务器,并且记录运维人员在服务器上的使用情况,很多企业引入堡垒机产品,管理员需要现在堡垒机上配置服务器和登录服务器的凭据,运维人员需要先进行用户身份识别登录堡垒机,再进行主机的认证。传统堡垒机纳管服务器,需要先在堡垒机添加服务器,然后再把服务器的登录凭据托管给堡垒机,再设置运维用户和服务器账户之间的授权关系,但是这种方式存在以下问题:
1、服务器的登录凭据托管给堡垒机时,如果堡垒机的数据库被攻破,则所有服务器的凭据都会被暴露;2、当服务器的登录凭据发生变动时,管理员需要手动在堡垒机上更新不同服务器的凭据;3、如果采用不在堡垒机上托管凭据,运维员运维服务器器更加的繁琐,需要手动输入凭据,如果凭据是私钥的格式,现有的技术不能手动输入私钥;4、在域应用场景下,每个运维员和其管理的服务器都有不通过的账户密码,将这些授权关系一一对应配置,对于堡垒机管理员是非常大的工作量。
发明内容
本发明的目的在于克服现有技术的缺点,提供了一种通过堡垒机免托管主机账户运维的方法,解决了传统堡垒机服务器登录是存在的问题。
本发明的目的通过以下技术方案来实现:一种通过堡垒机免托管主机账户运维的方法,所述方法包括:
S1、用户登录堡垒机,堡垒机对用户登录凭据验证登录的用户名和密码或密钥是否正确,如果正确,则通过认证登录堡垒机;
S2、成功登录堡垒机后根据用户的权限从能够查询到的主机列表中,运维选择需要访问的主机运维登录;
S3、判断服务器的密码是否托管给堡垒机,如果没有托管给堡垒机,则运维手动输入账户密码,如果托管给堡垒机,则将数据库中存储的密码代填到服务器进行认证,实现免输入密码登录。
所述方法还包括用户选择主机的SELF账户登录,在用户选择主机的SELF账户登录时堡垒机将堡垒机用户的登录凭据自动填入服务器,无需从数据库中读取服务器凭据。
所述用户选择主机的SELF账户登录具体包括:
堡垒机用户登录堡垒机后,在资产列表中选择某个目标资产的SELF账户,系统从堡垒机数据库中读取当前堡垒机用户的登录账户和凭据;
将该登录凭据生成一个临时的token,将登录凭据带入token到服务器上进行认证,token带入服务器时,自动识别登录名和凭据并将配置自动填入对应服务器进行认证,当登录堡垒机用户和凭据与资产的登录名和凭据一致时,则认证通过。
所述用户选择主机的SELF账户登录还包括:当管理员将堡垒机用户的账户和密码进行修改后,不会同步修改堡垒机上托管的主机密码,用户每次通过堡垒机运维服务器时,都会生成临时的token进行认证,同步更新认证的主机登录凭据,减少管理员的维护成本。
所述方法还包括堡垒机通过SELF账户同步更新登录凭据的步骤,其具体包括:
用户使用SELF特殊账户时,在域服务中修改登录凭据后,用户在下一次登录堡垒机时,选择SELF登录服务器,则重新生成token,使用新的凭据登录服务器,无需管理员在堡垒机上手动修改服务器的登录凭据,使用新的凭据登录成功后,用户可配置将该凭据保存到堡垒机,自动生成一条规则,下次用户可以选择生成的该账户登录。
本发明具有以下优点:一种通过堡垒机免托管主机账户运维的方法,能够有效的解决用户通过堡垒机运维服务器不便捷的操作,自动化程度更高,可以减少用户运维登录的时间,使生成分配的人力更合理分配,不将服务器登录凭据托管给堡垒机,而是每次登录进行临时认证,降低了凭据泄露的风险。
附图说明
图1为本发明的流程示意图;
图2为堡垒机用户通过SELF账户运维服务器的流程示意图;
图3为堡垒机通过SELF账户同步更新登录凭据的流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下结合附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的保护范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。下面结合附图对本发明做进一步的描述。
如图1所示,本发明具体涉及一种通过堡垒机免托管主机账户运维的方法,整个流程分为:用户在堡垒机上进行认证、堡垒机使用用户密码在服务器上进行登录认证的两个认证流程,认证通过后,用户才可运维服务器,以下将详细介绍用户是如何通过堡垒机跳转登录服务器。
进一步地,堡垒机用户通过堡垒机运维服务器整个过程包括:
S1、用户登录堡垒机,堡垒机会对用户登录凭据进行验证,登录的用户名和密码或密钥正确则认证通过,认证通过后即可成功登录堡垒机;
S2、成功登录堡垒机后,该用户会看到可运维的主机列表,这个主机列表是有管理员在管理页面进行授权设置的,该用户能看的主机列表,表示该用户可运维访问这些主机;
S3、运维选择需要的主机运维登录,管理员没有将服务器的密码托管给堡垒机,则需要运维手动输入账户密码;如果管理托管密码,则会将数据库中存储的密码代填至服务器认证,实现免输入密码登录;除此之外,用户还可以选择主机的SELF账户登录时,堡垒机会将堡垒机用户的登录凭据自动填入服务器,无需从数据库中读取服务器凭据。
如图2所示,通过SELF账户在服务器上进行认证登录包括:
堡垒机用户登录堡垒机后,在资产列表选择某个目标资产的SELF账户,系统会从堡垒机数据库中读取当前堡垒机用户的登录账户和凭据,将该登录凭据生成一个临时的token,将登录凭据带入token去服务器上进行认证,该token包括登录名和凭据,token带入服务器时,会自定识别登录名和凭据并将该配置自动填入对应服务器进行认证,当登录堡垒机用户和凭据与资产的登录名和凭据一致时,则认证通过。
当IT管理员将堡垒机用户的账户和密码进行修改后,可以无休同步修改堡垒机上托管的主机密码,用户每次通过堡垒机运维服务器时,都会生成临时的token进行认证,同步更新认证的主机登录凭据,减少IT管理员的维护成本。
如图3所示,步更新,如果采用托管主机账户凭据的方式,堡垒机管理员需要在堡垒机上逐一更新服务器的凭据。
用户使用SELF特殊账户时,在域服务中修改登录凭据后,用户在下一次登录堡垒机后,选择SELF登录服务器,会重新生成token,使用新的凭据登录服务器,无需管理员在堡垒机上手动修改服务器的登录凭据,使用新的凭据登录成功后,用户可配置将该凭据保存到堡垒机,自动生成一条规则,下次用户可以选择生成的该账户登录。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (5)

1.一种通过堡垒机免托管主机账户运维的方法,其特征在于:所述方法包括:
S1、用户登录堡垒机,堡垒机对用户登录凭据验证登录的用户名和密码或密钥是否正确,如果正确,则通过认证登录堡垒机;
S2、成功登录堡垒机后根据用户的权限从能够查询到的主机列表中,运维选择需要访问的主机运维登录;
S3、判断服务器的密码是否托管给堡垒机,如果没有托管给堡垒机,则运维手动输入账户密码,如果托管给堡垒机,则将数据库中存储的密码代填到服务器进行认证,实现免输入密码登录。
2.根据权利要求1所述的一种通过堡垒机免托管主机账户运维的方法,其特征在于:所述方法还包括用户选择主机的SELF账户登录,在用户选择主机的SELF账户登录时堡垒机将堡垒机用户的登录凭据自动填入服务器,无需从数据库中读取服务器凭据。
3.根据权利要求2所述的一种通过堡垒机免托管主机账户运维的方法,其特征在于:所述用户选择主机的SELF账户登录具体包括:
堡垒机用户登录堡垒机后,在资产列表中选择某个目标资产的SELF账户,系统从堡垒机数据库中读取当前堡垒机用户的登录账户和凭据;
将该登录凭据生成一个临时的token,将登录凭据带入token到服务器上进行认证,token带入服务器时,自动识别登录名和凭据并将配置自动填入对应服务器进行认证,当登录堡垒机用户和凭据与资产的登录名和凭据一致时,则认证通过。
4.根据权利要求3所述的一种通过堡垒机免托管主机账户运维的方法,其特征在于:所述用户选择主机的SELF账户登录还包括:当管理员将堡垒机用户的账户和密码进行修改后,不会同步修改堡垒机上托管的主机密码,用户每次通过堡垒机运维服务器时,都会生成临时的token进行认证,同步更新认证的主机登录凭据,减少管理员的维护成本。
5.根据权利要求2所述的一种通过堡垒机免托管主机账户运维的方法,其特征在于:所述方法还包括堡垒机通过SELF账户同步更新登录凭据的步骤,其具体包括:
用户使用SELF特殊账户时,在域服务中修改登录凭据后,用户在下一次登录堡垒机时,选择SELF登录服务器,则重新生成token,使用新的凭据登录服务器,无需管理员在堡垒机上手动修改服务器的登录凭据,使用新的凭据登录成功后,用户可配置将该凭据保存到堡垒机,自动生成一条规则,下次用户可以选择生成的该账户登录。
CN202111093307.7A 2021-09-17 2021-09-17 一种通过堡垒机免托管主机账户运维的方法 Active CN113810415B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111093307.7A CN113810415B (zh) 2021-09-17 2021-09-17 一种通过堡垒机免托管主机账户运维的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111093307.7A CN113810415B (zh) 2021-09-17 2021-09-17 一种通过堡垒机免托管主机账户运维的方法

Publications (2)

Publication Number Publication Date
CN113810415A true CN113810415A (zh) 2021-12-17
CN113810415B CN113810415B (zh) 2023-09-19

Family

ID=78939647

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111093307.7A Active CN113810415B (zh) 2021-09-17 2021-09-17 一种通过堡垒机免托管主机账户运维的方法

Country Status (1)

Country Link
CN (1) CN113810415B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023142070A1 (zh) * 2022-01-29 2023-08-03 中远海运科技股份有限公司 面向云主机和云堡垒机实现云主机权限联动的方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101939746A (zh) * 2007-12-10 2011-01-05 菲尔爱迪(私人)有限公司 用于管理移动计算设备上的软件应用程序的方法和系统
US20140289829A1 (en) * 2012-03-20 2014-09-25 Guangdong Electronics Industry Institute Ltd Computer account management system and realizing method thereof
CN106657011A (zh) * 2016-11-22 2017-05-10 深圳市掌世界网络科技有限公司 一种业务服务器授权安全访问方法
US20170310663A1 (en) * 2017-03-23 2017-10-26 Baldev Krishan Local and Remote Access Apparatus and System for Password Storage and management
CN110351228A (zh) * 2018-04-04 2019-10-18 阿里巴巴集团控股有限公司 远程登录方法、装置和系统
CN110719276A (zh) * 2019-09-30 2020-01-21 北京网瑞达科技有限公司 基于缓存密码的网络设备安全访问的系统及其工作方法
CN112527379A (zh) * 2020-12-01 2021-03-19 深圳市证通电子股份有限公司 基于Guacamole的堡垒机应用运维方法、装置、设备及介质
CN112632521A (zh) * 2020-12-23 2021-04-09 北京达佳互联信息技术有限公司 一种请求响应方法、装置、电子设备和存储介质
CN113079164A (zh) * 2021-04-02 2021-07-06 江苏保旺达软件技术有限公司 堡垒机资源的远程控制方法、装置、存储介质及终端设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101939746A (zh) * 2007-12-10 2011-01-05 菲尔爱迪(私人)有限公司 用于管理移动计算设备上的软件应用程序的方法和系统
US20140289829A1 (en) * 2012-03-20 2014-09-25 Guangdong Electronics Industry Institute Ltd Computer account management system and realizing method thereof
CN106657011A (zh) * 2016-11-22 2017-05-10 深圳市掌世界网络科技有限公司 一种业务服务器授权安全访问方法
US20170310663A1 (en) * 2017-03-23 2017-10-26 Baldev Krishan Local and Remote Access Apparatus and System for Password Storage and management
CN110351228A (zh) * 2018-04-04 2019-10-18 阿里巴巴集团控股有限公司 远程登录方法、装置和系统
CN110719276A (zh) * 2019-09-30 2020-01-21 北京网瑞达科技有限公司 基于缓存密码的网络设备安全访问的系统及其工作方法
CN112527379A (zh) * 2020-12-01 2021-03-19 深圳市证通电子股份有限公司 基于Guacamole的堡垒机应用运维方法、装置、设备及介质
CN112632521A (zh) * 2020-12-23 2021-04-09 北京达佳互联信息技术有限公司 一种请求响应方法、装置、电子设备和存储介质
CN113079164A (zh) * 2021-04-02 2021-07-06 江苏保旺达软件技术有限公司 堡垒机资源的远程控制方法、装置、存储介质及终端设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023142070A1 (zh) * 2022-01-29 2023-08-03 中远海运科技股份有限公司 面向云主机和云堡垒机实现云主机权限联动的方法

Also Published As

Publication number Publication date
CN113810415B (zh) 2023-09-19

Similar Documents

Publication Publication Date Title
US11750609B2 (en) Dynamic computing resource access authorization
US9473419B2 (en) Multi-tenant cloud storage system
CN108769258B (zh) 用于将区块链网络托管于区块链应用平台的方法和装置
US10003458B2 (en) User key management for the secure shell (SSH)
CN107277049B (zh) 一种应用系统的访问方法及装置
CN107925877B (zh) 用于集中式配置和认证的系统和方法
JP2017111809A (ja) 動的パスワード文字列を生成するためのコンピュータ実装方法、コンピュータ・システム、およびコンピュータ・プログラム製品、ならびに動的パスワードを認証するためのコンピュータ実装方法(動的パスワード生成)
US7793335B2 (en) Computer-implemented method, system, and program product for managing log-in strikes
US10757073B2 (en) Delegated access control of an enterprise network
US11552948B1 (en) Domain management intermediary service
CN112910904B (zh) 多业务系统的登录方法及装置
CN108289074B (zh) 用户账号登录方法及装置
KR101110928B1 (ko) 콘텐츠 공표를 위한 컴퓨터 네트워크 오퍼레이팅 방법 및시스템
CN112580093A (zh) 基于用户权限的页面显示方法及装置
CN113810415A (zh) 一种通过堡垒机免托管主机账户运维的方法
CN113194099B (zh) 一种数据代理方法及代理服务器
US11611435B2 (en) Automatic key exchange
US11956639B2 (en) Internet of things device provisioning
US11784996B2 (en) Runtime credential requirement identification for incident response
CN107332934A (zh) 一种资源共享方法、服务端、客户端及资源共享系统
JP6383293B2 (ja) 認証システム
Helali Systems and Network Infrastructure Integration: Design, Implementation, Safety and Supervision
US20220400021A1 (en) Network multi-tenant architecture for distributed ledger systems
CN106302509A (zh) 一种多客户端系统的远程登录的方法及装置
CN115150170B (zh) 安全策略配置方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant