新四季網

一種線上伺服器授權管理方法及系統與流程

2023-06-03 01:32:26 3


本發明涉及網絡技術領域,特別是涉及一種線上伺服器授權管理方法和系統。



背景技術:

對於擁有大量線上伺服器的網際網路公司而言,幾乎每時每刻都有運維人員操作這些伺服器。目前,運維人員採用堡壘機加跳板機的模式來管理和控制伺服器。堡壘機是一臺安全控制機,可以對運維人員的運維操作進行審計和權限控制,所有需要訪問伺服器的運維人員都需要先訪問堡壘機,堡壘機可對所有運維人員對伺服器的操作做記錄。如圖1所示,當運維人員需要登錄線上伺服器時,先通過遠程連接的方式登錄至堡壘機上,再從堡壘機跳轉至跳板機上,然後再由跳板機轉至相應的線上伺服器上。

由於實際應用中,有各種不同類型的線上伺服器以及不同工作內容的運維人員,因此需要一個審批的流程來確定運維人員登錄不同伺服器的權限。現有技術方案如圖2所示,運維人員首先進行申請,當上級伺服器審批後,再將請求發送給堡壘機,與此同時,堡壘機會添加此運維人員的身份信息,並授予其相應的權限。在這個過程中,運維人員申請授權登錄伺服器的流程繁瑣,需要多級審批,各種不同權限和不同類型的運維人員的身份信息都保存在堡壘機上,任何使用堡壘機的人員都能看到其他人員的帳戶信息,現有的伺服器授權管理方法既繁瑣又存在著一定的安全隱患。



技術實現要素:

本發明實施例的目的在於提供一種線上伺服器授權管理方法和系統,可以簡化登錄授權的流程,並且提高了管理伺服器時的安全性。具體技術方案如下:

本發明公開了一種線上伺服器授權管理方法,包括:

伺服器的堡壘機接收用戶的登錄授權請求信息;

所述堡壘機向訪問控制管理器發送授權請求,所述授權請求中包括所述用戶的身份驗證信息;

所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制管理器存儲有所有有權限登錄所述伺服器的用戶的登錄授權信息;

所述訪問控制管理器向所述堡壘機發送所述用戶的登錄授權信息;

所述堡壘機根據所述訪問控制管理器發送的登錄授權信息對所述用戶授權。

具體的,所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限,包括:

若所述訪問控制管理器中未存儲所述用戶的登錄授權信息,則所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制器中存儲有所有能夠連接所述伺服器的用戶的預授權信息,所述用戶的預授權信息與所述用戶的登錄權限對應。

具體的,所述訪問控制管理器根據所述用戶的身份驗證信息確定所述用戶的登錄權限之前,還包括:

所述訪問控制管理器獲取所有申請授權登錄請求的用戶的身份驗證信息,所述身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種;

所述訪問控制管理器根據申請登錄授權的用戶的身份驗證信息確定所有能夠連接所述伺服器的用戶的預授權信息,所述預授權信息包括用戶登錄所述伺服器的權限以及用戶對所述伺服器的管理和控制權限。

具體的,所述訪問控制管理器還用於存儲所述用戶的登錄授權請求信息。

具體的,所述訪問控制管理器向所述堡壘機發送所述用戶的登錄授權信息,包括:

所述訪問控制管理器通過LDAP協議報文向所述堡壘機發送所述用戶的登錄授權信息。

本發明還公開了一種伺服器授權管理系統,包括:堡壘機和訪問控制管理器;

所述堡壘機,用於接收用戶的登錄授權請求信息,向訪問控制管理器發送授權請求,所述授權請求中包括所述用戶的身份驗證信息,並根據訪問控制管理器發送的登錄授權信息向所述用戶授權;

所述訪問控制管理器,用於根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制管理器存儲有所有有權限登錄所述伺服器的用戶的登錄授權信息,並向所述堡壘機發送所述用戶的登錄授權信息。

具體的,所述訪問控制管理器,具體用於若未存儲所述用戶的登錄授權信息,則根據所述用戶的身份驗證信息確定所述用戶的登錄權限,所述訪問控制器中存儲有所有能夠連接所述伺服器的用戶的預授權信息,所述用戶的預授權信息與所述用戶的登錄權限對應。

具體的,所述訪問控制管理器,還用於獲取所有申請授權登錄請求的用戶的身份驗證信息,所述用戶的身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種;根據申請登錄授權的用戶的身份驗證信息確定所有能夠連接所述伺服器的用戶的預授權信息,所述預授權信息包括用戶登錄所述伺服器的權限以及用戶對所述伺服器的管理和控制權限。

具體的,所述訪問控制管理器,還用於存儲所述用戶的登錄授權請求信息。

具體的,所述訪問控制管理器,具體通過LDAP協議報文向所述堡壘機發送所述用戶的登錄授權信息。

本發明實施例提供的伺服器授權管理方法及系統,引入了訪問控制管理器,訪問控制管理器訪問控制管理器會根據接收到的用戶的身份驗證信息來確定用戶的登錄權限,並向堡壘機發送登錄授權請求信息,用戶在獲得授權後,才能登錄伺服器,可以快速實現用戶的登錄授權,減少了繁瑣的審批流程。同時,用戶的身份驗證信息不再存儲在堡壘機上,而是存儲在訪問控制管理器中,任何申請登錄的用戶無法在堡壘機上看到其他用戶的身份信息,這提高了伺服器的安全性能。當然,實施本發明的任一產品或方法必不一定需要同時達到以上所述的所有優點。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。

圖1為現有技術中登錄線上伺服器的過程圖;

圖2為現有技術中堡壘機的權限申請流程圖;

圖3為本發明實施例伺服器授權管理方法的流程圖;

圖4為本發明實施例伺服器授權管理系統的結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。

對於擁有大量線上伺服器的網際網路公司而言,每時每刻都有大量的運維人員控制和管理這些伺服器。目前,運維人員大都採用堡壘機加跳板機的模式來控制和管理伺服器。堡壘機是一臺安全控制機,可以對運維人員的運維操作進行審計和權限控制,所有需要訪問伺服器的運維人員都需要先訪問堡壘機,通過堡壘機來訪問伺服器,堡壘機可以對所有運維人員對伺服器的操作做記錄。

圖1為現有技術中登錄線上伺服器的過程。

當運維人員需要登錄線上伺服器時,先通過遠程連接的方式登錄至堡壘機上,再從堡壘機跳轉至跳板機上,然後再由跳板機轉至相應的伺服器上。在實際應用中,有各種不同類型的線上伺服器以及不同工作內容的運維人員,因此需要一個審批的流程來確定運維人員登錄不同伺服器的權限。

圖2為現有技術方案中堡壘機的授權申請流程圖,當運維人員需要登錄伺服器時,

步驟201,向上級伺服器進行申請。

步驟202,上級伺服器審批後,運維人員再將請求發送給堡壘機。

步驟203,堡壘機向運維人員的上級伺服器確認並通過申請。

步驟204,堡壘機添加此運維人員的身份信息,並授予其相應的權限。

步驟205,運維人員登錄伺服器。

在這個過程中,運維人員申情授權登錄伺服器的流程繁瑣,需要多級審批,各種不同權限和不同類型的運維人員的身份信息都保存在堡壘機上,任何使用堡壘機的人員都能看到其他人員的帳戶信息,現有的伺服器授權管理方法既繁瑣又存在著一定的安全隱患。

為了簡化伺服器的授權流程,提高伺服器的安全性,本發明實施例公開了一種線上伺服器授權管理方法和系統,以下分別進行詳細說明。

參見圖3,圖3為本發明實施例伺服器授權管理方法的流程圖,步驟分別為:

步驟301,伺服器的堡壘機接收用戶的登錄授權請求信息。

本步驟中,當用戶想要登錄線上伺服器時,需要先訪問堡壘機,通過堡壘機來訪問伺服器,堡壘機是一臺安全控制機,可以對用戶的操作進行審計和權限控制。用戶向堡壘機發送登錄授權請求信息,堡壘機接收用戶發送的登錄授權請求信息。具體的,用戶發送的登錄授權請求信息中,可以包括用戶所屬部門、工號、IP位址、職位等,但不限於其中的某一種。

步驟302,堡壘機向訪問控制管理器發送授權請求。

本步驟中,引入了訪問控制管理器,訪問控制管理器通常作為統一管理用戶權限的工具。堡壘機在接收了用戶發送的登錄授權請求信息後,會向訪問控制管理器發送授權請求,這個授權請求信息中包括了用戶的身份驗證信息。

可選的,用戶的身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種。

步驟303,訪問控制管理器根據用戶的身份驗證信息確定用戶的登錄權限,訪問控制管理器存儲有所有有權限登錄伺服器的用戶的登錄授權信息。

本步驟中,訪問控制管理器接收堡壘機發送的用戶的身份驗證信息,根據用戶的身份驗證信息確定該用戶是否有登錄權限。其中,本步驟中還包括:

步驟303a,若訪問控制管理器中未存儲用戶的登錄授權信息,則訪問控制管理器根據用戶的身份驗證信息確定用戶的登錄權限。

可選的,若訪問控制器中未存儲用戶的登錄授權信息,則可以根據用戶的身份驗證信息確定用戶的登錄權限以及開放權限的程度。訪問控制管理器在接收了用戶的身份驗證信息以後,會根據用戶信息中的部門、工號、IP位址、職位中的至少一種來確定用戶是否有權限登錄伺服器。

步驟303b,若訪問控制管理器中有存儲用戶的預授權信息,則訪問控制管理器根據用戶的預授權信息確定用戶的登錄權限。

可選的,若訪問控制管理器中已經存儲該用戶的預授權信息,則可以根據預授權信息快速確定用戶的登錄權限,確定是否向該用戶授權登錄伺服器。

可選的,訪問控制管理器會存儲所有用戶的授權請求信息。

步驟304,訪問控制管理器向堡壘機發送用戶的登錄授權信息。

根據上一步驟中訪問控制管理器根據用戶的身份驗證信息確定該用戶的登錄權限後,會向堡壘機發送所有有權限登錄伺服器的用戶的登錄授權請求信息。

可選的,訪問控制管理器通過LDAP協議報文向堡壘機發送用戶的登錄授權信息。

步驟305,堡壘機根據訪問控制管理器發送的登錄授權信息對用戶授權。

本步驟中,當堡壘機接收訪問控制管理器發送的關於用戶的登錄授權信息後,向用戶授權,用戶在獲得授權後,才能登錄伺服器並且進行控制和管理伺服器。

本發明實施例所公開的伺服器授權管理方法通過引入訪問控制管理器來快速實現用戶的登錄授權,訪問控制管理器會根據接收到的用戶的身份驗證信息來確定用戶的登錄權限,並向堡壘機發送登錄授權請求信息,用戶在獲得授權後,才能登錄伺服器。本發明與現有的登錄授權過程相比較,不再需要多級審批,而是由堡壘機和訪問控制管理器共同完成用戶的審計和權限劃分,本發明簡化了登錄授權流程。在用戶申請授權登錄時,用戶的身份驗證信息不再存儲在堡壘機上,而是存儲在訪問控制管理器中,任何申請登錄的用戶無法在堡壘機上看到其他用戶的身份信息,這提高了伺服器的安全性能。

本發明還公開了一種線上伺服器授權管理系統,下面進行詳細說明。

圖4為本發明實施例的系統結構示意圖,該系統包括堡壘機401和訪問控制管理402;

堡壘機401,用於接收用戶的登錄授權請求信息,並向訪問控制管理器402發送授權請求,所述授權請求中包括用戶的身份驗證信息,並根據訪問控制管理器402發送的登錄授權信息對用戶授權;

訪問控制管理器402,用於根據用戶的身份驗證信息確定用戶的登錄權限,訪問控制管理器存儲有所有有權限登錄所述伺服器的用戶的登錄授權信息,並向堡壘機401發送用戶的登錄授權信息

具體的,訪問控制管理器402,用於若未存儲用戶的登錄授權信息,則根據用戶的身份驗證信息確定用戶的登錄權限,訪問控制器中存儲有所有能夠連接伺服器的用戶的預授權信息,用戶的預授權信息與用戶的登錄權限對應。

具體的,訪問控制管理器402,還用於獲取所有申請授權登錄請求的用戶的身份驗證信息,用戶的身份驗證信息包括用戶所述部門、工號、IP位址、職位中的至少一種;根據申請登錄授權的用戶的身份驗證信息確定所有能夠連接伺服器的用戶的預授權信息,預授權信息包括用戶登錄伺服器的權限以及用戶對伺服器的管理和控制權限。

具體的,訪問控制管理器402,還用於存儲用戶的登錄授權請求信息。

具體的,訪問控制管理器402通過LDAP協議報文向堡壘機401發送用戶的登錄授權信息。

本發明實施例提供的伺服器授權管理系統,引入訪問控制管理器,通過堡壘機和訪問控制管理器的共同工作,實現了用戶快速申請授權登錄,訪問控制管理器根據接收到的用戶的身份驗證信息來確定用戶的登錄權限,並向堡壘機發送登錄授權請求信息,用戶在這一過程中,不需要向上級伺服器發送授權請求,省略了多次審批的繁瑣流程。用戶的身份驗證信息不再存儲在堡壘機中,而是存儲在訪問控制管理器中,當用戶向堡壘機發送登錄授權請求時,將看不到其他用戶的身份信息,這保障了用戶的信息不被洩露,提高了伺服器的安全性。

需要說明的是,在本文中,諸如第一和第二等之類的關係術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關係或者順序。而且,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句「包括一個……」限定的要素,並不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

本說明書中的各個實施例均採用相關的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於系統實施例而言,由於其基本相似於方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。

以上所述僅為本發明的較佳實施例而已,並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等,均包含在本發明的保護範圍內。

同类文章

一種新型多功能組合攝影箱的製作方法

一種新型多功能組合攝影箱的製作方法【專利摘要】本實用新型公開了一種新型多功能組合攝影箱,包括敞開式箱體和前攝影蓋,在箱體頂部設有移動式光源盒,在箱體底部設有LED脫影板,LED脫影板放置在底板上;移動式光源盒包括上蓋,上蓋內設有光源,上蓋部設有磨沙透光片,磨沙透光片將光源封閉在上蓋內;所述LED脫影

壓縮模式圖樣重疊檢測方法與裝置與流程

本發明涉及通信領域,特別涉及一種壓縮模式圖樣重疊檢測方法與裝置。背景技術:在寬帶碼分多址(WCDMA,WidebandCodeDivisionMultipleAccess)系統頻分復用(FDD,FrequencyDivisionDuplex)模式下,為了進行異頻硬切換、FDD到時分復用(TDD,Ti

個性化檯曆的製作方法

專利名稱::個性化檯曆的製作方法技術領域::本實用新型涉及一種檯曆,尤其涉及一種既顯示月曆、又能插入照片的個性化檯曆,屬於生活文化藝術用品領域。背景技術::公知的立式檯曆每頁皆由月曆和畫面兩部分構成,這兩部分都是事先印刷好,固定而不能更換的。畫面或為風景,或為模特、明星。功能單一局限性較大。特別是畫

一種實現縮放的視頻解碼方法

專利名稱:一種實現縮放的視頻解碼方法技術領域:本發明涉及視頻信號處理領域,特別是一種實現縮放的視頻解碼方法。背景技術: Mpeg標準是由運動圖像專家組(Moving Picture Expert Group,MPEG)開發的用於視頻和音頻壓縮的一系列演進的標準。按照Mpeg標準,視頻圖像壓縮編碼後包

基於加熱模壓的纖維增強PBT複合材料成型工藝的製作方法

本發明涉及一種基於加熱模壓的纖維增強pbt複合材料成型工藝。背景技術:熱塑性複合材料與傳統熱固性複合材料相比其具有較好的韌性和抗衝擊性能,此外其還具有可回收利用等優點。熱塑性塑料在液態時流動能力差,使得其與纖維結合浸潤困難。環狀對苯二甲酸丁二醇酯(cbt)是一種環狀預聚物,該材料力學性能差不適合做纖

一種pe滾塑儲槽的製作方法

專利名稱:一種pe滾塑儲槽的製作方法技術領域:一種PE滾塑儲槽一、 技術領域 本實用新型涉及一種PE滾塑儲槽,主要用於化工、染料、醫藥、農藥、冶金、稀土、機械、電子、電力、環保、紡織、釀造、釀造、食品、給水、排水等行業儲存液體使用。二、 背景技術 目前,化工液體耐腐蝕貯運設備,普遍使用傳統的玻璃鋼容

釘的製作方法

專利名稱:釘的製作方法技術領域:本實用新型涉及一種釘,尤其涉及一種可提供方便拔除的鐵(鋼)釘。背景技術:考慮到廢木材回收後再加工利用作業的方便性與安全性,根據環保規定,廢木材的回收是必須將釘於廢木材上的鐵(鋼)釘拔除。如圖1、圖2所示,目前用以釘入木材的鐵(鋼)釘10主要是在一釘體11的一端形成一尖

直流氧噴裝置的製作方法

專利名稱:直流氧噴裝置的製作方法技術領域:本實用新型涉及ー種醫療器械,具體地說是ー種直流氧噴裝置。背景技術:臨床上的放療過程極易造成患者的局部皮膚損傷和炎症,被稱為「放射性皮炎」。目前對於放射性皮炎的主要治療措施是塗抹藥膏,而放射性皮炎患者多伴有局部疼痛,對於止痛,多是通過ロ服或靜脈注射進行止痛治療

新型熱網閥門操作手輪的製作方法

專利名稱:新型熱網閥門操作手輪的製作方法技術領域:新型熱網閥門操作手輪技術領域:本實用新型涉及一種新型熱網閥門操作手輪,屬於機械領域。背景技術::閥門作為流體控制裝置應用廣泛,手輪傳動的閥門使用比例佔90%以上。國家標準中提及手輪所起作用為傳動功能,不作為閥門的運輸、起吊裝置,不承受軸向力。現有閥門

用來自動讀取管狀容器所載識別碼的裝置的製作方法

專利名稱:用來自動讀取管狀容器所載識別碼的裝置的製作方法背景技術:1-本發明所屬領域本發明涉及一種用來自動讀取管狀容器所載識別碼的裝置,其中的管狀容器被放在循環於配送鏈上的文檔匣或託架裝置中。本發明特別適用於,然而並非僅僅專用於,對引入自動分析系統的血液樣本試管之類的自動識別。本發明還涉及專為實現讀