求助大神：XSHELL和XFTP的权限传递问题

delooper

简单的拓扑结构如下图：（不太会用VISIO，各位大神多原谅）


目前已经实现的部分：
公司内网PC   SSH===>跳板机      OK

注：此图是我本地虚拟机的测试，没有采用公私钥认证，是用户名密码的方式。实际业务跳板机是公私钥的方式认证。

跳板机  SSH  ===> 互联网服务器   OK

注：从跳板机到远程服务器，是由登录脚本程序算出密码，对使用者密码是不可见的。此图仍是示意图。

本地客户端是WIN7    XSHELL5   XFTP4
当点击XSHELL整合的XFTP按钮的时候，XFTP连接的是跳板机的目录，而不是远程服务器的目录。


现在的问题是这样的：
为了开发人员的方便，领导提出了要求：能不能在已经登录到远程服务器的CONSOLE中，点击XFTP，直接管理远程的服务器？
我百度和GOOGLE了很久，试了几种方法  比如 使用本地端口映射   SOCK5代理    写SSH的CONFIG文件，使用PROXYCOMMAND等等方法
这些方法都无法绕过去远程服务器的用户验证部分，都无法实现已经登录的“权限”的透明传递。

总结一下，问题就是： PC ===> 跳板机 ===> 远程服务器     SSH都是OK的      如何实现 直接从内网PC通过XFTP 直接与远程服务器互传文件？

请教各位大神，有没有什么方法能实现这种需求呢？需要如何配置呢？

MrQing

如果JumpServer到远程服务器也是基于密钥认证，应该可以搞。

晚上回去用XSHELL实验下你的环境

lyhabc

应该不行      

delooper

MrQing 发表于 2016-08-19 17:24
如果JumpServer到远程服务器也是基于密钥认证，应该可以搞。

晚上回去用XSHELL实验下你的环境

非常感谢！跳板机到远程 根据业务不同，（也可以说是之前的同志们挖的坑 ）有用户名密码验证的，也有公私钥认证的.....

delooper

lyhabc 发表于 2016-08-19 17:47
应该不行

为什么不行呢？
个人的理解，从理论上应该是可行的吧？
在已经登录远程的场景下，我试了LRZSZ这个方法， 是可以互传文件的。
可是这种方式，一方面对系统不是特别熟悉的开发人员不是很接受，反馈很不方便，另一方面，还是因为"历史"原因，有很多服务器没有装LRZSZ的包。
我尝试看了一下LRZSZ的源代码，想看看人家是怎么实现的，但是说实话，没看懂...

MrQing

回复 4# delooper


实验了一下没有成功。
分析了一下lrzsz， 其实上传文件到远程服务器可以的，但是流量会经过JumpServer，至于怎么实现的不知道~

正在考虑用ssh代理转发这种，摸索中~~

delooper

首先非常感谢～
您说的代理的情况，其实是这个问题的核心。从我自己的测试来看，就是用代理转发，不能“继承”或者说传递权限。
到目标服务器的验证，对终端用户来说，还是需要验证用户名/密码的...
理论上 明明已经通过跳板机登录到目标系统了，理论上从PC到远程通信的路已经通了，但是就是仍然需要二次验证，这就是我最疑惑也没解决的...

MrQing

代理转发的时候，JumpServer不再是一个中间的登录过程，而仅仅是一个连接两端的隧道.
他只做流量的转发，而不是以JumpServer的身份登录远程，因而需要输入密码。

action08

JumpServer不处理业务数据的，只是个转发连接，就跟路由一样