Chinaunix

标题: 求助大神：XSHELL和XFTP的权限传递问题 [打印本页]

作者: delooper 时间: 2016-08-19 16:14
标题: 求助大神：XSHELL和XFTP的权限传递问题
简单的拓扑结构如下图：（不太会用VISIO，各位大神多原谅）

目前已经实现的部分：
公司内网PC SSH===>跳板机 OK

注：此图是我本地虚拟机的测试，没有采用公私钥认证，是用户名密码的方式。实际业务跳板机是公私钥的方式认证。

跳板机 SSH ===> 互联网服务器 OK

注：从跳板机到远程服务器，是由登录脚本程序算出密码，对使用者密码是不可见的。此图仍是示意图。

本地客户端是WIN7 XSHELL5 XFTP4
当点击XSHELL整合的XFTP按钮的时候，XFTP连接的是跳板机的目录，而不是远程服务器的目录。

现在的问题是这样的：
为了开发人员的方便，领导提出了要求：能不能在已经登录到远程服务器的CONSOLE中，点击XFTP，直接管理远程的服务器？
我百度和GOOGLE了很久，试了几种方法比如使用本地端口映射 SOCK5代理写SSH的CONFIG文件，使用PROXYCOMMAND等等方法
这些方法都无法绕过去远程服务器的用户验证部分，都无法实现已经登录的“权限”的透明传递。

总结一下，问题就是： PC ===> 跳板机 ===> 远程服务器 SSH都是OK的如何实现直接从内网PC通过XFTP 直接与远程服务器互传文件？

请教各位大神，有没有什么方法能实现这种需求呢？需要如何配置呢？

作者: MrQing 时间: 2016-08-19 17:24
如果JumpServer到远程服务器也是基于密钥认证，应该可以搞。

晚上回去用XSHELL实验下你的环境

作者: lyhabc 时间: 2016-08-19 17:47
应该不行

作者: delooper 时间: 2016-08-19 18:00

MrQing 发表于 2016-08-19 17:24
如果JumpServer到远程服务器也是基于密钥认证，应该可以搞。

晚上回去用XSHELL实验下你的环境

非常感谢！跳板机到远程根据业务不同，（也可以说是之前的同志们挖的坑

）有用户名密码验证的，也有公私钥认证的.....

作者: delooper 时间: 2016-08-19 18:07

lyhabc 发表于 2016-08-19 17:47
应该不行

为什么不行呢？
个人的理解，从理论上应该是可行的吧？
在已经登录远程的场景下，我试了LRZSZ这个方法，是可以互传文件的。
可是这种方式，一方面对系统不是特别熟悉的开发人员不是很接受，反馈很不方便，另一方面，还是因为"历史"原因，有很多服务器没有装LRZSZ的包。
我尝试看了一下LRZSZ的源代码，想看看人家是怎么实现的，但是说实话，没看懂...

作者: MrQing 时间: 2016-08-20 09:32
本帖最后由 MrQing 于 2016-08-20 16:35 编辑

回复 4# delooper

实验了一下没有成功。
分析了一下lrzsz，其实上传文件到远程服务器可以的，但是流量会经过JumpServer，至于怎么实现的不知道~

正在考虑用ssh代理转发这种，摸索中~~

作者: delooper 时间: 2016-08-22 09:53
首先非常感谢～
您说的代理的情况，其实是这个问题的核心。从我自己的测试来看，就是用代理转发，不能“继承”或者说传递权限。
到目标服务器的验证，对终端用户来说，还是需要验证用户名/密码的...
理论上明明已经通过跳板机登录到目标系统了，理论上从PC到远程通信的路已经通了，但是就是仍然需要二次验证，这就是我最疑惑也没解决的...

作者: MrQing 时间: 2016-08-22 17:28
代理转发的时候，JumpServer不再是一个中间的登录过程，而仅仅是一个连接两端的隧道.
他只做流量的转发，而不是以JumpServer的身份登录远程，因而需要输入密码。

作者: action08 时间: 2016-08-22 23:35
JumpServer不处理业务数据的，只是个转发连接，就跟路由一样

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)