Kerbsphere 主机访问管理平台软件
技术白皮书
文档信息
文档名称
Kerbsphere主机访问管理平台软件间明用户使用手册
作者
蔡明
审批者
万庆
说明
本文件是主机访问管理平台软件的技术白皮书
pdere^权用戸咬用流程
Oiirm Elak Sfindcfi
咆川完
/川户自填申
/管理人员代
\填申请单
通过
审批单到时, 解除实名用户 和特权川户的
绑定
特权丿$户密 码亟置
牛成访问
申请单
• 1 用户根据自己的身份和角色申请需要访问的服务器以及相应的服务器用户
• 2 安全团队将审核过的服务器用户访问权限绑定在该用户的记录下
• 3 用户向登陆服务器提出请求,登陆服务器根据步骤 2 的结果赋予用户相应的 访问选择
• 4 用户根据登陆服务器提供的密钥登陆相应的后台 Server
• 5 密码使用完后系统会自动回收和重置密码
• 6 所有的管理员登陆后台服务器的行为都被记录
• 7 所有的用户每一步操作被绑定在个人的身份下,记录到我们的审计数据库中
Kerbsphere 拓扑逻辑
在实际环境中我们使用如下的拓扑解决方案
北京市西城区金融大街 17 号中国人寿中心 608 室
开放系统服务器组
弋
弋
住产网络
总控記录设
査肯托户垃盲礫惟
登猷用户
押制访'•上俅
登陆服弗器 J咸冃服务器
R
泄陆服务器
1 ••‘应用服务器
;
■斗
z r
冷丿备盼机—
°
安Z问控制员
加统管理员
北京市西城区金融大街 17 号中国人寿中心 608 室
第三章 Kerbsphere 主机系统功能架构和管理功能模块
系统技术架构
轲更聊 H1TP Wrb DBMS Trlnrt OS
图 3-1 :系统架构示意
系统架构于基于标准J2EE规范的多层体系架构,组件化设计;服务层采用主流的 Struts 框架,利用 JAVA 语言与操作系统的松耦合性,不仅利于应用系统本身在多种平 台上的部署实现,而且也简化了应用系统对后端主机环境差异性的处理;
在用户交互界面层,采用以AJAX技术为基础的一系列自定义标签和脚本方法, 使得页面更加动态和灵敏,并且以“异步操作”的模式将用户与服务的交互过程进行 分解,有效降低通信量;
在数据持久层,在标准 JDK 的基础上,开发了一套可适应多种后端数据库产 品、组件化、灵活配置、可插拔的数据持久层标准接口;使用这套接口,不仅可以执 行标准 SQL 语句,也可通过扩展接口,使用数据库提供的特殊功能,实现业务与存储 的松耦合,利于业务组件复用;
北京市西城区金融大街 17 号中国人寿中心 608 室
系统功能模块
f 境Ml川胡
系统维护
JI: 户
H! ■1
讥
1
图 3-2 :系统主要功能示意
Web 应用系统主要由四大部分功能模块组成:
主机/帐户管理:应用系统后端环境和应用规则的维护,包括主机属组管理、主机 管理、帐号管理、访问关系管理;
访问申请管理:安全访问生产主机申请、审批、查询、回收作业流程处理,包括 填写申请、审批申请、回收申请、查询申请、申请单维护;
高级维护:访问生产主机记录信息管理以及后台处理例外恢复,包括查询访问记 录、维护访问记录、重置用户口令、重置帐户口令;
北京市西城区金融大街 17 号中国人寿中心 608 室
系统维护:应用系统公共基础类信息维护,包括用户管理、角色管理、功能菜单
管理、基础代码管理;
第四章 Kerbsphere 优点分析
• 能监控所有的用户访问操作,包含具体的每一屏幕输出
• 可以提取用户的操作命令,对异常命令和操作进行标记和告警
• 根据独立的用户分配权限
• 可以统一分配和管理密码,并且做到一次一密,对于高安全性的密码还可强制 双人密码认证
• 不会对生产系统产生任何性能损耗
• 生产系统不用安装任何附加软件和模块
• 用户的操作更加快捷和方便
• 用户具有的访问权限 / 后台设备的访问许可都可以定义和管理
• 能实时查看当前的访问状态 , 并能对有疑问的访问进行阻断
清晰明了的主机设备清单和详细情况
主机属组
帐户名称
缺省登录类型
主机
主机访问控制解决方案技术白皮书 来自淘豆网m.daumloan.com转载请标明出处.
