CSOS 帮助文档 CSOS 产品使用 不同权限帐号免密登录

不同权限帐号免密登录

在实际运维场景中,管理员往往希望根据用户的身份给不同的用户分配不同的权限,防止越权行为的出现,保证主机安全,同时又希望用户能够以免密的方式登陆主机,提高远程登陆的便捷性,下面的文章将从管理员的角度和普通运维的角度说明如何在CSOS上进行设置以满足上述需求。

管理员在「集群管理」中创建好集群后,针对不同权限主机帐号都添加一条资源信息,也就意味着一个主机帐号一条资源记录,CSOS的集群中是允许同一个资源添加多次的

然后在工作组管理中创建多个工作组,将不同权限的主机添加到对应的工作组中,比如带root权限的资源添加到可以通过root权限访问的工作组,在工作组的「成员」或「群组」添加允许拥有root权限的「用户」或「群组」,则这些用户就可以以root的权限访问主机,其他权限也创建对应工作组,添加对应权限的「成员」或「群组」则可实现不同的用户只能以赋予他的权限访问主机,实现了权限隔离

创建好集群和工作组后,如果要要让用户实现免密登陆,则需要在集群管理中进行如下设置:

进入集群管理,点击需要免密登录的主机的「设置」项,点「更多」,开启「csos权限认证」和「目标机Key认证」,并且点击上次,输入该主机帐号的密码,上传堡垒机的公钥到目标机器上,注意,这里需要保证目标机的.ssh目录的权限是 700,上传成功可点击「测试」确认是否可用 。

管理员配置好集群和工作组,并分配给了相应的普通成员,普通成员登录CSOS平台既可以看到管理员分配的工作组,点击工作组,找到需要连接的主机,点列表上的「连接」,复制连接字符串到终端中

这个时候终端会提示输入密码,但这个密码不是主机的登录密码而是当前普通成员的CSOS登录密码,如果普通成员需要免密登陆,则可以生成一对密钥,将公钥上传至CSOS中,点击「个人」中的SSH KEY,点击「添加」,取个名称,复制公钥到Key输入框中,保存好,再通过ssh指令进行登录时选择刚才生成的密钥则可实现免密登录