【技术实现步骤摘要】
一种基于SSHCertificate和LDAP两步鉴权审计系统
本专利技术涉及服务器安全
,具体为一种基于SSHCertificate和LDAP两步鉴权审计系统。
技术介绍
SSH作为Unix/Linux服务器的远程管理服务,常用的登录验证方式只有密码和公钥/私钥两种方式进行用户验证。其中密码方式存在易泄露传播、不易管控,安全性不高等缺陷。公钥/密钥的方式安全性高,但在大规模服务器当中管理针对IT/运维管理人员变更,更新替换成本较大,且堡垒机等系统本身也存在安全漏洞及隐患,一旦由于堡垒机本身漏洞导致私钥泄露,将导致服务器完全暴露。同时在公司/组织当中本身就包含一套用户管理及权限系统(例如windows域管理系统或LDAP管理平台),当需要将公司/组织本身的用户管理系统集成到系统原生远程登录,并要求准实时的鉴权时候,会要求管理系统具有高稳定性且对所有数据中心开放,如果组织使用公有云平台必将涉及内部系统大规模暴露给公有云。另外针对同一个公司/组织当中不同部门或小组,希望隔离或者区分使用堡垒机,并针对...
【技术保护点】
1.一种基于SSH Certificate和LDAP两步鉴权审计系统,其特征在于:包括以下步骤;/n步骤(1):域管理员在域(或LDAP)服务器创建用户时候,为用户创建对应的ObjectClass属性用来存储sshpublickey和Role信息,并填入对应的用户公钥和该用户可以获得的权限对应的角色,由于安全性考虑, 内部要求只能输入基于ED25519算法的公钥对,域管理员对公钥安全算法和角色对应权限进行审计;/n步骤(2):在数据中心当中给予, 运维人员按照业务层需求或部门划分角色,web服务器属于web-admin组,数据库服务器属于db-admin组,在服务器申请创建...
【技术特征摘要】
1.一种基于SSHCertificate和LDAP两步鉴权审计系统,其特征在于:包括以下步骤;
步骤(1):域管理员在域(或LDAP)服务器创建用户时候,为用户创建对应的ObjectClass属性用来存储sshpublickey和Role信息,并填入对应的用户公钥和该用户可以获得的权限对应的角色,由于安全性考虑,内部要求只能输入基于ED25519算法的公钥对,域管理员对公钥安全算法和角色对应权限进行审计;
步骤(2):在数据中心当中给予,运维人员按照业务层需求或部门划分角色,web服务器属于web-admin组,数据库服务器属于db-admin组,在服务器申请创建时标注服务器所属角色组,并将组织CA配置在服务器上,为了避免服务器上原有密码及公钥体系滥用,系统管理员会在SSH服务当中关闭密码认证以及公钥认证方式,只允许通过证书验证方式登录服务器.
步骤(3):用户在工作PC上通过登录公司内部鉴权系统,自动请求签发公司域管理员分配的Role证书,鉴权系统在完成用户登录并认证所属角色后,会将用户及角色证书请求发送到后台证书签发系统,签发系统会再次对用户和角色关系进行验证,若验证成功则调用CA接口签发对应证书并返回给鉴权系统,鉴权系统将该证书更新到用户本地文件系统,同时用户本地通过调用ssh客户端加载证书到sshagent服务中并尝试登录公有云或私有云机房的入口SSH服务;
步骤(4):各个数据中心的入口SSH代理服务器完成用户基本登录权限认证,就将请求转发给用户真实需要登录的服务器,此时真实服务器会通过自身所属Role组和CA完成对用户证书合法性和有效性认证,若认证成功,允许服务器登录,SSH代理服务器不存储也不参与SSH认证工作,全部通过真实服务器和用户本地sshagent完成;
步骤(5):用户的本地客户端在使用过程中会定期按照之前的第一次登录鉴权系统的session在本地证书过期之前再次申请证书,并动态更新到ssh-agent当中,直到整个session过期,才需...
【专利技术属性】
技术研发人员:高峰,
申请(专利权)人:杭州视洞科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。