本发明专利技术公开了一种基于SSH Certificate和LDAP两步鉴权审计系统,包括以下步骤;步骤(1):域管理员在域(或LDAP)服务器创建用户时候,为用户创建对应的ObjectClass属性用来存储sshpublickey和Role信息,并填入对应的用户公钥和该用户可以获得的权限对应的角色,由于安全性考虑,内部要求只能输入基于ED25519算法的公钥对,域管理员对公钥安全算法和角色对应权限进行审计。本发明专利技术极大的增加了登录鉴权服务的不稳定性,本技术方案在完成内部鉴权之后后续所有认证都是通过数字签名模式,在跨国网络服务器鉴权时不涉及第三方系统,尽可能的保证了整体服务的可用性,在OA的VPN网络中完成鉴权认证后即可短期脱离VPN的限制,不受OA系统故障影响,提供的更大的灵活性。
【技术实现步骤摘要】
一种基于SSHCertificate和LDAP两步鉴权审计系统
本专利技术涉及服务器安全
,具体为一种基于SSHCertificate和LDAP两步鉴权审计系统。
技术介绍
SSH作为Unix/Linux服务器的远程管理服务,常用的登录验证方式只有密码和公钥/私钥两种方式进行用户验证。其中密码方式存在易泄露传播、不易管控,安全性不高等缺陷。公钥/密钥的方式安全性高,但在大规模服务器当中管理针对IT/运维管理人员变更,更新替换成本较大,且堡垒机等系统本身也存在安全漏洞及隐患,一旦由于堡垒机本身漏洞导致私钥泄露,将导致服务器完全暴露。同时在公司/组织当中本身就包含一套用户管理及权限系统(例如windows域管理系统或LDAP管理平台),当需要将公司/组织本身的用户管理系统集成到系统原生远程登录,并要求准实时的鉴权时候,会要求管理系统具有高稳定性且对所有数据中心开放,如果组织使用公有云平台必将涉及内部系统大规模暴露给公有云。另外针对同一个公司/组织当中不同部门或小组,希望隔离或者区分使用堡垒机,并针对跨部门/小组的人员提供组合鉴权能力,在原有的SSH系统上基本无法满足如上高度定制化的需求。同时,当下公有云/私有云的混合云平台可能涉及跨国甚至跨大洲部署线上业务系统,单纯的点对点认证方式无法在如此复杂网络情况和混合云环境中达到稳定的安全性和可用性保证。
技术实现思路
本专利技术的目的在于提供一种基于SSHCertificate和LDAP两步鉴权审计系统,针对当下服务器绝大部分都是基于公有云/私有云平台部署,涉及到多个公有云厂商或私有云平台技术标准,同时跨国/跨洲多数据中心混合部署的情况,使得每个数据中心服务器的情况都不尽相同;原生SSH登录或堡垒机的方式无法在多平台多厂商之间提供统一的并集成现有公司/组织用户管理系统的高度定制化鉴权方式,并无法满足一个安全可靠的准实时权限隔离及审计系统。为实现上述目的,本专利技术提供如下技术方案:一种基于SSHCertificate和LDAP两步鉴权审计系统,包括以下步骤;步骤(1):域管理员在域(或LDAP)服务器创建用户时候,为用户创建对应的ObjectClass属性用来存储sshpublickey和Role信息,并填入对应的用户公钥和该用户可以获得的权限对应的角色,由于安全性考虑,内部要求只能输入基于ED25519算法的公钥对,域管理员对公钥安全算法和角色对应权限进行审计。步骤(2):在数据中心当中给予,运维人员按照业务层需求或部门划分角色,web服务器属于web-admin组,数据库服务器属于db-admin组,在服务器申请创建时标注服务器所属角色组,并将组织CA配置在服务器上,为了避免服务器上原有密码及公钥体系滥用,系统管理员会在SSH服务当中关闭密码认证以及公钥认证方式,只允许通过证书验证方式登录服务器。步骤(3):用户在工作PC上通过登录公司内部鉴权系统,自动请求签发公司域管理员分配的Role证书,鉴权系统在完成用户登录并认证所属角色后,会将用户及角色证书请求发送到后台证书签发系统,签发系统会再次对用户和角色关系进行验证,若验证成功则调用CA接口签发对应证书并返回给鉴权系统,鉴权系统将该证书更新到用户本地文件系统,同时用户本地通过调用ssh客户端加载证书到sshagent服务中并尝试登录公有云或私有云机房的入口SSH服务。步骤(4):各个数据中心的入口SSH代理服务器完成用户基本登录权限认证,就将请求转发给用户真实需要登录的服务器,此时真实服务器会通过自身所属Role组和CA完成对用户证书合法性和有效性认证,若认证成功,允许服务器登录,SSH代理服务器不存储也不参与SSH认证工作,全部通过真实服务器和用户本地sshagent完成。步骤(5):用户的本地客户端在使用过程中会定期按照之前的第一次登录鉴权系统的session在本地证书过期之前再次申请证书,并动态更新到ssh-agent当中,直到整个session过期,才需要用户重新登录鉴权系统,整个session的有效期大于等于证书有效期,但最大不超过12小时。优选的,步骤(1)中,组织内拥有一个统一的SSHCA存储在内部安全的服务器上,不可以跨服务器传输或被外界访问,只能通过内部证书管理中心调用访问。优选的,步骤(2)中,数据中心运维人员和域服务管理员明确不同的部门/人员对应的Role具体权限,数据中心在创建服务器时候分配好对应的Role组,域管理为用户分配对应的Role。优选的,步骤(3)中,用户加入组织时候在个人工作电脑上生成满足安全要求的公钥/私钥对,并将公钥提供给域管理员。优选的,步骤(3)中,内部自主开发三个模块,鉴权系统和签发中心,以及SSH签发系统,鉴权系统对用户信息和角色进行验证并向签发中心申请证书并将证书分发给用户,签发系统核对用户信息并调用SSHCA接口签发用户角色对应的证书。优选的,所述SSH签发系统位于独立安全的服务器上,只暴露签发接口给签发中心,并针对所有签发行为记录相关日志用以审计,签发证书时效可以在签发中心动态配置,但签发接口本身最大只允许8个小时证书有效期。本专利技术提出的一种基于SSHCertificate和LDAP两步鉴权审计系统,有益效果在于:1、本专利技术在服务器上实现了整合现存组织管理系统管理用户公钥能力,减少了即时配置服务器公钥的需要,并且证书引入有效期概念,声明用户公钥/私钥的可使用的有效时间和归属角色,同时增加证书撤销列表功能,极大的提升了安全性和便捷性。2、传统安全管理方式不管是基于密码,公钥/私钥都存在敏感信息泄露风险,在本技术方案的模式下,账号密码或公钥/私有的泄露都不会暴露服务器登录权限,即时拿到用户的所有有效鉴权信息,有效证书也只有很短的生命周期并拥有审计能力,同时系统会对异常重复签发行为提供检测机制。3.统一鉴权体系由于核心服务器一般都只位于组织内或单一数据中心,对跨国际网络和复杂私有云数据中心的开放即会有暴露组织资产风险也会存在网络或黑客截获的可能性,极大的增加了登录鉴权服务的不稳定性,本技术方案在完成内部鉴权之后后续所有认证都是通过数字签名模式,在跨国网络服务器鉴权时不涉及第三方系统,尽可能的保证了整体服务的可用性。4.本专利技术的系统考虑到大组织环境下组织成员异地办公的情况,在OA的VPN网络中完成鉴权认证后即可短期脱离VPN的限制,不受OA系统故障影响,提供的更大的灵活性。附图说明图1为本专利技术的用户登录鉴权过程流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参阅图1,本专利技术提供一种技术方案:一种基于SSHCertificate和LDAP两步鉴权审计系统,本文档来自技高网...
【技术保护点】
1.一种基于SSH Certificate和LDAP两步鉴权审计系统,其特征在于:包括以下步骤;/n步骤(1):域管理员在域(或LDAP)服务器创建用户时候,为用户创建对应的ObjectClass属性用来存储sshpublickey和Role信息,并填入对应的用户公钥和该用户可以获得的权限对应的角色,由于安全性考虑, 内部要求只能输入基于ED25519算法的公钥对,域管理员对公钥安全算法和角色对应权限进行审计;/n步骤(2):在数据中心当中给予, 运维人员按照业务层需求或部门划分角色,web服务器属于web-admin组,数据库服务器属于db-admin组,在服务器申请创建时标注服务器所属角色组,并将组织CA配置在服务器上,为了避免服务器上原有密码及公钥体系滥用,系统管理员会在SSH服务当中关闭密码认证以及公钥认证方式,只允许通过证书验证方式登录服务器./n步骤(3):用户在工作PC上通过登录公司内部鉴权系统,自动请求签发公司域管理员分配的Role证书, 鉴权系统在完成用户登录并认证所属角色后,会将用户及角色证书请求发送到后台证书签发系统,签发系统会再次对用户和角色关系进行验证, 若验证成功则调用CA 接口签发对应证书并返回给鉴权系统,鉴权系统将该证书更新到用户本地文件系统,同时用户本地通过调用ssh 客户端加载证书到ssh agent服务中并尝试登录公有云或私有云机房的入口SSH服务;/n步骤(4):各个数据中心的入口SSH 代理服务器完成用户基本登录权限认证,就将请求转发给用户真实需要登录的服务器,此时真实服务器会通过自身所属Role组和CA完成对用户证书合法性和有效性认证,若认证成功,允许服务器登录,SSH代理服务器不存储也不参与SSH认证工作,全部通过真实服务器和用户本地ssh agent完成;/n步骤(5):用户的本地客户端在使用过程中会定期按照之前的第一次登录鉴权系统的session在本地证书过期之前再次申请证书,并动态更新到ssh-agent当中,直到整个session过期,才需要用户重新登录鉴权系统,整个session的有效期大于等于证书有效期,但最大不超过12小时。/n...
【技术特征摘要】
1.一种基于SSHCertificate和LDAP两步鉴权审计系统,其特征在于:包括以下步骤;
步骤(1):域管理员在域(或LDAP)服务器创建用户时候,为用户创建对应的ObjectClass属性用来存储sshpublickey和Role信息,并填入对应的用户公钥和该用户可以获得的权限对应的角色,由于安全性考虑,内部要求只能输入基于ED25519算法的公钥对,域管理员对公钥安全算法和角色对应权限进行审计;
步骤(2):在数据中心当中给予,运维人员按照业务层需求或部门划分角色,web服务器属于web-admin组,数据库服务器属于db-admin组,在服务器申请创建时标注服务器所属角色组,并将组织CA配置在服务器上,为了避免服务器上原有密码及公钥体系滥用,系统管理员会在SSH服务当中关闭密码认证以及公钥认证方式,只允许通过证书验证方式登录服务器.
步骤(3):用户在工作PC上通过登录公司内部鉴权系统,自动请求签发公司域管理员分配的Role证书,鉴权系统在完成用户登录并认证所属角色后,会将用户及角色证书请求发送到后台证书签发系统,签发系统会再次对用户和角色关系进行验证,若验证成功则调用CA接口签发对应证书并返回给鉴权系统,鉴权系统将该证书更新到用户本地文件系统,同时用户本地通过调用ssh客户端加载证书到sshagent服务中并尝试登录公有云或私有云机房的入口SSH服务;
步骤(4):各个数据中心的入口SSH代理服务器完成用户基本登录权限认证,就将请求转发给用户真实需要登录的服务器,此时真实服务器会通过自身所属Role组和CA完成对用户证书合法性和有效性认证,若认证成功,允许服务器登录,SSH代理服务器不存储也不参与SSH认证工作,全部通过真实服务器和用户本地sshagent完成;
步骤(5):用户的本地客户端在使用过程中会定期按照之前的第一次登录鉴权系统的session在本地证书过期之前再次申请证书,并动态更新到ssh-agent当中,直到整个session过期,才需...
【专利技术属性】
技术研发人员:高峰,
申请(专利权)人:杭州视洞科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。