本帖最后由 常鸿 于 2022-6-23 16:41 编辑
今天分享的是一个标准的远程运维场景
运维人员,如果听到客户那边可以远程运维,那嘴角一定是上扬的
标准运维场景下,运维人员在互联网,首先通过VPN登录到客户内网,再从客户内网登录到堡垒机,再从堡垒机跳转到运维跳板机,或者直接访问运维应用
这个场景下,你会有好多个地址要记录,好多个账号密码要管理
今天我们就来优化一下,看看在这个远程接入场景里,咱们能不能做到安全又快捷
用到的产品,有SSLVPN OSM 以及 AC
AC相关配置
为了方便运维人员维护自己的账号密码,这边账号统一创建在AC上
然后呢,VPN和OSM就需要将认证对接到AC上面,所以AC上要开放对接接口
下面就是认证对接环节 VPN对接 添加ldap认证
用户导入到本地
OSM对接 堡垒机的AD域对接认证十分拉跨,如果是对接AC的话,还是不建议用
完成用户对接以后呢,VPN和OSM之间也可以做进一步优化 首先确认VPN的授权
如果有单点登录,就可以和OSM做对接 单点登录有两种方式,录制登录过程代填,以及 构建参数
经过反复的验证 结论1 构建参数的形式 堡垒机上用不了 密码是加密的,而且每次提交登录,还有随机值,这个没法来通过构建函数做到单点登录
结论2 账号密码代填的形式,真的可以代填账号和密码
但是呢 账号密码填完了,没办法直接点确认 他这个登录按钮虽然录制了,但是无法实现一键登录
最终结论: 我们可以通过对接AD认证的方式,来统一管理账号密码,可以通过单点登录的方式,让登录VPN以后,一键打开堡垒机的登录页面,只需要再手动点提交,就可以登录进去运维啦
|