一種線上伺服器授權管理方法及系統與流程
2023-06-03 01:32:26
本發明涉及網絡技術領域,特別是涉及一種線上伺服器授權管理方法和系統。
背景技術:
對於擁有大量線上伺服器的網際網路公司而言,幾乎每時每刻都有運維人員操作這些伺服器。目前,運維人員採用堡壘機加跳板機的模式來管理和控制伺服器。堡壘機是一臺安全控制機,可以對運維人員的運維操作進行審計和權限控制,所有需要訪問伺服器的運維人員都需要先訪問堡壘機,堡壘機可對所有運維人員對伺服器的操作做記錄。如圖1所示,當運維人員需要登錄線上伺服器時,先通過遠程連接的方式登錄至堡壘機上,再從堡壘機跳轉至跳板機上,然後再由跳板機轉至相應的線上伺服器上。
由於實際應用中,有各種不同類型的線上伺服器以及不同工作內容的運維人員,因此需要一個審批的流程來確定運維人員登錄不同伺服器的權限。現有技術方案如圖2所示,運維人員首先進行申請,當上級伺服器審批後,再將請求發送給堡壘機,與此同時,堡壘機會添加此運維人員的身份信息,並授予其相應的權限。在這個過程中,運維人員申請授權登錄伺服器的流程繁瑣,需要多級審批,各種不同權限和不同類型的運維人員的身份信息都保存在堡壘機上,任何使用堡壘機的人員都能看到其他人員的帳戶信息,現有的伺服器授權管理方法既繁瑣又存在著一定的安全隱患。
技術實現要素:
本發明實施例的目的在於提供一種線上伺服器授權管理方法和系統,可以簡化登錄授權的流程,並且提高了管理伺服器時的安全性。具體技術方案如下:
本發明公開了一種線上伺服器授權管理方法,包括:
伺服器的堡壘機接收用戶的登錄授權請求信息;
所述堡壘機向訪問控制管理器發送授權請求,所述授權請求中包括所述用戶的身份驗證信息;
所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制管理器存儲有所有有權限登錄所述伺服器的用戶的登錄授權信息;
所述訪問控制管理器向所述堡壘機發送所述用戶的登錄授權信息;
所述堡壘機根據所述訪問控制管理器發送的登錄授權信息對所述用戶授權。
具體的,所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限,包括:
若所述訪問控制管理器中未存儲所述用戶的登錄授權信息,則所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制器中存儲有所有能夠連接所述伺服器的用戶的預授權信息,所述用戶的預授權信息與所述用戶的登錄權限對應。
具體的,所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限之前,還包括:
所述訪問控制管理器獲取所有申請授權登錄請求的用戶的身份驗證信息,所述身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種;
所述訪問控制管理器根據申請登錄授權的用戶的身份驗證信息確定所有能夠連接所述伺服器的用戶的預授權信息,所述預授權信息包括用戶登錄所述伺服器的權限以及用戶對所述伺服器的管理和控制權限。
具體的,所述訪問控制管理器還用於存儲所述用戶的登錄授權請求信息。
具體的,所述訪問控制管理器向所述堡壘機發送所述用戶的登錄授權信息,包括:
所述訪問控制管理器通過LDAP協議報文向所述堡壘機發送所述用戶的登錄授權信息。
本發明還公開了一種伺服器授權管理系統,包括:堡壘機和訪問控制管理器;
所述堡壘機,用於接收用戶的登錄授權請求信息,向訪問控制管理器發送授權請求,所述授權請求中包括所述用戶的身份驗證信息,並根據訪問控制管理器發送的登錄授權信息向所述用戶授權;
所述訪問控制管理器,用於根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制管理器存儲有所有有權限登錄所述伺服器的用戶的登錄授權信息,並向所述堡壘機發送所述用戶的登錄授權信息。
具體的,所述訪問控制管理器,具體用於若未存儲所述用戶的登錄授權信息,則根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制器中存儲有所有能夠連接所述伺服器的用戶的預授權信息,所述用戶的預授權信息與所述用戶的登錄權限對應。
具體的,所述訪問控制管理器,還用於獲取所有申請授權登錄請求的用戶的身份驗證信息,所述用戶的身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種;根據申請登錄授權的用戶的身份驗證信息確定所有能夠連接所述伺服器的用戶的預授權信息,所述預授權信息包括用戶登錄所述伺服器的權限以及用戶對所述伺服器的管理和控制權限。
具體的,所述訪問控制管理器,還用於存儲所述用戶的登錄授權請求信息。
具體的,所述訪問控制管理器,具體通過LDAP協議報文向所述堡壘機發送所述用戶的登錄授權信息。
本發明實施例提供的伺服器授權管理方法及系統,引入了訪問控制管理器,訪問控制管理器訪問控制管理器會根據接收到的用戶的身份驗證信息來確定用戶的登錄權限,並向堡壘機發送登錄授權請求信息,用戶在獲得授權後,才能登錄伺服器,可以快速實現用戶的登錄授權,減少了繁瑣的審批流程。同時,用戶的身份驗證信息不再存儲在堡壘機上,而是存儲在訪問控制管理器中,任何申請登錄的用戶無法在堡壘機上看到其他用戶的身份信息,這提高了伺服器的安全性能。當然,實施本發明的任一產品或方法必不一定需要同時達到以上所述的所有優點。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為現有技術中登錄線上伺服器的過程圖;
圖2為現有技術中堡壘機的權限申請流程圖;
圖3為本發明實施例伺服器授權管理方法的流程圖;
圖4為本發明實施例伺服器授權管理系統的結構示意圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
對於擁有大量線上伺服器的網際網路公司而言,每時每刻都有大量的運維人員控制和管理這些伺服器。目前,運維人員大都採用堡壘機加跳板機的模式來控制和管理伺服器。堡壘機是一臺安全控制機,可以對運維人員的運維操作進行審計和權限控制,所有需要訪問伺服器的運維人員都需要先訪問堡壘機,通過堡壘機來訪問伺服器,堡壘機可以對所有運維人員對伺服器的操作做記錄。
圖1為現有技術中登錄線上伺服器的過程。
當運維人員需要登錄線上伺服器時,先通過遠程連接的方式登錄至堡壘機上,再從堡壘機跳轉至跳板機上,然後再由跳板機轉至相應的伺服器上。在實際應用中,有各種不同類型的線上伺服器以及不同工作內容的運維人員,因此需要一個審批的流程來確定運維人員登錄不同伺服器的權限。
圖2為現有技術方案中堡壘機的授權申請流程圖,當運維人員需要登錄伺服器時,
步驟201,向上級伺服器進行申請。
步驟202,上級伺服器審批後,運維人員再將請求發送給堡壘機。
步驟203,堡壘機向運維人員的上級伺服器確認並通過申請。
步驟204,堡壘機添加此運維人員的身份信息,並授予其相應的權限。
步驟205,運維人員登錄伺服器。
在這個過程中,運維人員申情授權登錄伺服器的流程繁瑣,需要多級審批,各種不同權限和不同類型的運維人員的身份信息都保存在堡壘機上,任何使用堡壘機的人員都能看到其他人員的帳戶信息,現有的伺服器授權管理方法既繁瑣又存在著一定的安全隱患。
為了簡化伺服器的授權流程,提高伺服器的安全性,本發明實施例公開了一種線上伺服器授權管理方法和系統,以下分別進行詳細說明。
參見圖3,圖3為本發明實施例伺服器授權管理方法的流程圖,步驟分別為:
步驟301,伺服器的堡壘機接收用戶的登錄授權請求信息。
本步驟中,當用戶想要登錄線上伺服器時,需要先訪問堡壘機,通過堡壘機來訪問伺服器,堡壘機是一臺安全控制機,可以對用戶的操作進行審計和權限控制。用戶向堡壘機發送登錄授權請求信息,堡壘機接收用戶發送的登錄授權請求信息。具體的,用戶發送的登錄授權請求信息中,可以包括用戶所屬部門、工號、IP位址、職位等,但不限於其中的某一種。
步驟302,堡壘機向訪問控制管理器發送授權請求。
本步驟中,引入了訪問控制管理器,訪問控制管理器通常作為統一管理用戶權限的工具。堡壘機在接收了用戶發送的登錄授權請求信息後,會向訪問控制管理器發送授權請求,這個授權請求信息中包括了用戶的身份驗證信息。
可選的,用戶的身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種。
步驟303,訪問控制管理器根據用戶的身份驗證信息確定用戶的登錄權限,訪問控制管理器存儲有所有有權限登錄伺服器的用戶的登錄授權信息。
本步驟中,訪問控制管理器接收堡壘機發送的用戶的身份驗證信息,根據用戶的身份驗證信息確定該用戶是否有登錄權限。其中,本步驟中還包括:
步驟303a,若訪問控制管理器中未存儲用戶的登錄授權信息,則訪問控制管理器根據用戶的身份驗證信息確定用戶的登錄權限。
可選的,若訪問控制器中未存儲用戶的登錄授權信息,則可以根據用戶的身份驗證信息確定用戶的登錄權限以及開放權限的程度。訪問控制管理器在接收了用戶的身份驗證信息以後,會根據用戶信息中的部門、工號、IP位址、職位中的至少一種來確定用戶是否有權限登錄伺服器。
步驟303b,若訪問控制管理器中有存儲用戶的預授權信息,則訪問控制管理器根據用戶的預授權信息確定用戶的登錄權限。
可選的,若訪問控制管理器中已經存儲該用戶的預授權信息,則可以根據預授權信息快速確定用戶的登錄權限,確定是否向該用戶授權登錄伺服器。
可選的,訪問控制管理器會存儲所有用戶的授權請求信息。
步驟304,訪問控制管理器向堡壘機發送用戶的登錄授權信息。
根據上一步驟中訪問控制管理器根據用戶的身份驗證信息確定該用戶的登錄權限後,會向堡壘機發送所有有權限登錄伺服器的用戶的登錄授權請求信息。
可選的,訪問控制管理器通過LDAP協議報文向堡壘機發送用戶的登錄授權信息。
步驟305,堡壘機根據訪問控制管理器發送的登錄授權信息對用戶授權。
本步驟中,當堡壘機接收訪問控制管理器發送的關於用戶的登錄授權信息後,向用戶授權,用戶在獲得授權後,才能登錄伺服器並且進行控制和管理伺服器。
本發明實施例所公開的伺服器授權管理方法通過引入訪問控制管理器來快速實現用戶的登錄授權,訪問控制管理器會根據接收到的用戶的身份驗證信息來確定用戶的登錄權限,並向堡壘機發送登錄授權請求信息,用戶在獲得授權後,才能登錄伺服器。本發明與現有的登錄授權過程相比較,不再需要多級審批,而是由堡壘機和訪問控制管理器共同完成用戶的審計和權限劃分,本發明簡化了登錄授權流程。在用戶申請授權登錄時,用戶的身份驗證信息不再存儲在堡壘機上,而是存儲在訪問控制管理器中,任何申請登錄的用戶無法在堡壘機上看到其他用戶的身份信息,這提高了伺服器的安全性能。
本發明還公開了一種線上伺服器授權管理系統,下面進行詳細說明。
圖4為本發明實施例的系統結構示意圖,該系統包括堡壘機401和訪問控制管理402;
堡壘機401,用於接收用戶的登錄授權請求信息,並向訪問控制管理器402發送授權請求,所述授權請求中包括用戶的身份驗證信息,並根據訪問控制管理器402發送的登錄授權信息對用戶授權;
訪問控制管理器402,用於根據用戶的身份驗證信息確定用戶的登錄權限,訪問控制管理器存儲有所有有權限登錄所述伺服器的用戶的登錄授權信息,並向堡壘機401發送用戶的登錄授權信息
具體的,訪問控制管理器402,用於若未存儲用戶的登錄授權信息,則根據用戶的身份驗證信息確定用戶的登錄權限,訪問控制器中存儲有所有能夠連接伺服器的用戶的預授權信息,用戶的預授權信息與用戶的登錄權限對應。
具體的,訪問控制管理器402,還用於獲取所有申請授權登錄請求的用戶的身份驗證信息,用戶的身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種;根據申請登錄授權的用戶的身份驗證信息確定所有能夠連接伺服器的用戶的預授權信息,預授權信息包括用戶登錄伺服器的權限以及用戶對伺服器的管理和控制權限。
具體的,訪問控制管理器402,還用於存儲用戶的登錄授權請求信息。
具體的,訪問控制管理器402通過LDAP協議報文向堡壘機401發送用戶的登錄授權信息。
本發明實施例提供的伺服器授權管理系統,引入訪問控制管理器,通過堡壘機和訪問控制管理器的共同工作,實現了用戶快速申請授權登錄,訪問控制管理器根據接收到的用戶的身份驗證信息來確定用戶的登錄權限,並向堡壘機發送登錄授權請求信息,用戶在這一過程中,不需要向上級伺服器發送授權請求,省略了多次審批的繁瑣流程。用戶的身份驗證信息不再存儲在堡壘機中,而是存儲在訪問控制管理器中,當用戶向堡壘機發送登錄授權請求時,將看不到其他用戶的身份信息,這保障了用戶的信息不被洩露,提高了伺服器的安全性。
需要說明的是,在本文中,諸如第一和第二等之類的關係術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關係或者順序。而且,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句「包括一個……」限定的要素,並不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
本說明書中的各個實施例均採用相關的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於系統實施例而言,由於其基本相似於方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
以上所述僅為本發明的較佳實施例而已,並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等,均包含在本發明的保護範圍內。