我被告知在指定目标主机时使用具有特定语法的 putty:
我不能使用[email protected],但必须使用像这样的字符串。原因似乎是出于安全原因,我工作的公司使用 CyberArk。myuser@[email protected]@somekindofintermediateserver.com
这个概念叫什么?我听说过“堡垒主机”、“ssh 代理”或“跳转服务器”。在与“[电子邮件保护]“它需要“重写”主机并混合其他用户和主机名?我知道ssh可以在其配置文件中处理此类信息。
答案1
我的回答可能有点晚了,但由于我今天花了一些时间来揭穿谣言并理解写得很差的内部 PowerPoint 文档,这比你想象的还要糟糕,所以让我们尝试解释一些我们现在可以观察到的事情。
这个概念叫什么?我听说过“堡垒主机”、“ssh 代理”或“跳转服务器”。
所有这些都应该是正确的。Cyberark 将此产品或组件称为其产品特权会话管理器我读过的文档也称其为强化跳转主机或网关。
带有三个 @ 符号的字符串看起来不寻常,但实际上你可以添加一个第四@ 在某些情况下。那就@targetpassword这样吧。请记住,永远不要在 CLI 上以纯文本形式提交密码作为参数。#当一些客户实施产品时,正如您在文档中看到的那样。这些只是用作分隔符来自参数,您可以根据需要自定义它们。
无论如何,这里所有的 at 符号会发生什么?我猜是解析。最后一部分是(跳转)主机名,第一部分是(跳转主机)用户名,中间的所有内容都会传递到您要管理的实际服务器所在的环境中。使用.ssh/config用户发现,将除最后一部分(主机名)之外的所有参数放入用户字段中以按预期工作。
我记得网络架构师抱怨 GUI 工具是为 IPv4 设计的,因此在 IPv6 上表现糟糕。这听起来很相似。我没有时间进一步探究是否有正式的规范来规定什么是允许的(可以工作),什么不是。但我猜这样的事情是存在的。
我以为我可以在 Github 上的 OpenSSH 和(镜像)PuTTY 存储库中挖掘出一些东西,但显然它符合标准,不会绊倒任何(流行的)SSH 客户端并完成工作。
注意:我很惊讶,当您只专注于作为终端 Linux 管理员的工作时,该产品的干扰性竟如此之低。我听到过很多抱怨,但当您不沉迷于整天点击鼠标来完成工作时,就不会有任何摩擦,而且我在 Windows 系统上用 git-bash 中的 5 行代码解决了我最初的抱怨。
编辑2022-09-11:
并且是否可以告诉腻子,当与“[电子邮件保护]“它需要“重写”主机并混合其他用户和主机名?
再想想,用精确的语言来说,Cyberark 和其他几个公司(我想到 Teleport)一样,实现了他们自己的专有 SSH 解决方案。他们可能要求你做各种各样的事情,但他们选择与现有解决方案兼容,所以他们告诉你在用户名字段中传递所有参数,他们的网关知道要应用哪些分隔符,反序列化所有参数以识别你想要跳转到的位置。相当漂亮。不,我不会称它为标准,除非 (Open)SSH 维护者告诉我我错了。是的,它看起来很混乱,但它确实有效。