[发明专利]一种线上服务器授权管理方法及系统

说明书

技术领域

本发明涉及网络技术领域，特别是涉及一种线上服务器授权管理方法和系统。

背景技术

对于拥有大量线上服务器的互联网公司而言，几乎每时每刻都有运维人员操作这些服务器。目前，运维人员采用堡垒机加跳板机的模式来管理和控制服务器。堡垒机是一台安全控制机，可以对运维人员的运维操作进行审计和权限控制，所有需要访问服务器的运维人员都需要先访问堡垒机，堡垒机可对所有运维人员对服务器的操作做记录。如图1所示，当运维人员需要登录线上服务器时，先通过远程连接的方式登录至堡垒机上，再从堡垒机跳转至跳板机上，然后再由跳板机转至相应的线上服务器上。

由于实际应用中，有各种不同类型的线上服务器以及不同工作内容的运维人员，因此需要一个审批的流程来确定运维人员登录不同服务器的权限。现有技术方案如图2所示，运维人员首先进行申请，当上级服务器审批后，再将请求发送给堡垒机，与此同时，堡垒机会添加此运维人员的身份信息，并授予其相应的权限。在这个过程中，运维人员申请授权登录服务器的流程繁琐，需要多级审批，各种不同权限和不同类型的运维人员的身份信息都保存在堡垒机上，任何使用堡垒机的人员都能看到其他人员的账户信息，现有的服务器授权管理方法既繁琐又存在着一定的安全隐患。

发明内容

本发明实施例的目的在于提供一种线上服务器授权管理方法和系统，可以简化登录授权的流程，并且提高了管理服务器时的安全性。具体技术方案如下：

本发明公开了一种线上服务器授权管理方法，包括：

服务器的堡垒机接收用户的登录授权请求信息；

所述堡垒机向访问控制管理器发送授权请求，所述授权请求中包括所述用户的身份验证信息；

所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限，所述访问控制管理器存储有所有有权限登录所述服务器的用户的登录授权信息；

所述访问控制管理器向所述堡垒机发送所述用户的登录授权信息；

所述堡垒机根据所述访问控制管理器发送的登录授权信息对所述用户授权。

具体的，所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限，包括：

若所述访问控制管理器中未存储所述用户的登录授权信息，则所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限，所述访问控制器中存储有所有能够连接所述服务器的用户的预授权信息，所述用户的预授权信息与所述用户的登录权限对应。

具体的，所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限之前，还包括：

所述访问控制管理器获取所有申请授权登录请求的用户的身份验证信息，所述身份验证信息包括用户所述部门、工号、IP地址、职位中的至少一种；

所述访问控制管理器根据申请登录授权的用户的身份验证信息确定所有能够连接所述服务器的用户的预授权信息，所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

具体的，所述访问控制管理器还用于存储所述用户的登录授权请求信息。

具体的，所述访问控制管理器向所述堡垒机发送所述用户的登录授权信息，包括：

所述访问控制管理器通过LDAP协议报文向所述堡垒机发送所述用户的登录授权信息。

本发明还公开了一种服务器授权管理系统，包括：堡垒机和访问控制管理器；

所述堡垒机，用于接收用户的登录授权请求信息，向访问控制管理器发送授权请求，所述授权请求中包括所述用户的身份验证信息，并根据访问控制管理器发送的登录授权信息向所述用户授权；

所述访问控制管理器，用于根据所述用户的身份验证信息确定所述用户的登录权限，所述访问控制管理器存储有所有有权限登录所述服务器的用户的登录授权信息，并向所述堡垒机发送所述用户的登录授权信息。

具体的，所述访问控制管理器，具体用于若未存储所述用户的登录授权信息，则根据所述用户的身份验证信息确定所述用户的登录权限，所述访问控制器中存储有所有能够连接所述服务器的用户的预授权信息，所述用户的预授权信息与所述用户的登录权限对应。

具体的，所述访问控制管理器，还用于获取所有申请授权登录请求的用户的身份验证信息，所述用户的身份验证信息包括用户所述部门、工号、IP地址、职位中的至少一种；根据申请登录授权的用户的身份验证信息确定所有能够连接所述服务器的用户的预授权信息，所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

具体的，所述访问控制管理器，还用于存储所述用户的登录授权请求信息。