自动登录助手
(此功能只在白金版和企业版可用)
自动登录到远程系统和应用程序
远程系统和应用程序的密码被存储在PMP中。通常,登录到系统和应用程序时您需要从PMP复制密码并粘贴到目标系统。PMP提供了一个功能,让您从PMP的web界面直接自动登录到目标系统和应用程序而不必复制粘贴密码。
从6500版本开始,PMP提供了两种自动登录机制:
- 打开Windows RDP、SSH或Telnet会话
- 用户自定义应用程序的自动登录助手脚本
自动登录功能是如何实现的?
Windows RDP、SSH或Telnet会话
从6500版本开始,PMP绑定了RDP、SSH和Telnet功能。不需要安装代理,您就可以通过PMP服务器web浏览器打开远程终端会话。浏览器需要兼容HTML 5(例如IE9及其以上版本,Firefox 3.5及其以上版本,Safari 4及其以上版本,Chrome)。
如果添加的资源支持执行远程终端会话,所有能够访问资源的用户不必进行更多配置,都可以使用此功能。通过主页标签下面的自动登录标签,用户可以非常方便的执行自动登录。
Windows远程桌面,SSH,Telnet都属于此种登录类型。需要为资源配置SSH端口(默认为22),或者登录到Windows主机使用的域服务账户。
自动登录助手脚本
在用户的计算机通过配置自动登录脚本实现自动登录。此脚本会包含连接目标操作系统的方式(例如:telnet、rdp、putty等)。出于安全因素考虑,用户必须下载并安装浏览器插件,以便调用操作系统命令。
例 1
假设您有10个Windows服务器资源。并且已经将这10个资源的登录帐户和密码存储到了PMP中。如果您希望通过PMP的web界面直接登录到这些资源。您可以从Windows或Linux中使用Web浏览器登录到PMP。执行以下操作来实现自动登录:
创建一个“自动登录脚本”,此脚本用于从PMP web界面连接到目标操作系统。如果您从Windows主机连接到PMP web界面,调用Windows中的MSTSC会话。如果您想要从Linux主机连接到PMP web界面,就要调用远程桌面(RDP)连接。完成这样设置后,无论您从Windows还是从Linux系统登录到PMP,您都可以实现对管理资源的自动登录。
例 2
假设您有10个Cisco和Unix服务器资源。并且已经使用PMP管理这些资源的账户。现在如果你正在使用Windows登录到PMP,并且想在Web界面登录到这些资源。你需要做如下配置:
创建一个“自动登录脚本”,提供连接到目录系统的命令。例如你从Windows连接目标资源,可以调用PuTTY,或者使用TELNET命令。
PMP只是调用这些登录工具,不会处理其执行结果。“自动登录脚本”存储在数据库中,既安全又可以备份。执行命令的权限就是当前使用Web浏览器用户的权限。
网关和脚本的区别
| 描述 | 自动登录网关 | 自动登录脚本 |
|---|---|---|
支持范围 |
Windows远程桌面、SSH和Telnet |
没有限制。只要是可执行程序 |
要求 |
Web浏览器要支持HTML 5 |
要安装适合Web浏览器的插件。当前用户要有该命令的可执行权限 |
什么时候使用 |
当你确定目标系统支持Windows远程桌面、SSH或Telnet |
当你不确定远程登录类型,你可以配置多个供用户选择 |
优点 |
更可靠。登录到PMP就可以远程登录到目标系统 |
更灵活。为用户提供多种选择 |
安全性 |
相当安全。启动远程登录过程中密码都是不可见的。会话全程由PMP加密 |
不太安全。因为自定义程序被调用后是不可控的。在浏览器上安装插件也有安全隐患 |
是否推荐 |
推荐 |
当你了解要调用的程序,而且没有其他选择 |
如何配置自动登录?
配置自动登录网关
如上所述,PMP绑定了远程桌面、SSH和Telnet。用户直接在Web浏览器中启动远程会话,而且会话通讯有PMP加密。不需要在目标系统上安装代理,不需要在Web浏览器中安装插件。只要Web浏览器支持HTML 5(如IE 9及以上版本、FireFox 3.5及以上版本、Safari 4及以上版本、Chrome)。
添加资源时的自动登录配置
当管理员添加一个支持远程会话的资源的时候,在添加资源的第3步配置自动登录。
- 对于Windows资源,你要配置有远程登录权限的域账户。(你可以使用本地身份验证)
- 要使用SSH,需要配置连接端口。默认端口为22。
使用的端口
Windows远程桌面网关监听端口默认为7273。这是加密web连接端口(wss://),所有你要在目标机器上允许到这个端口的连接。更改该端口,打开管理 >> 全局 >> 服务器配置 >> 远程桌面网关端口。不能和PMP web服务器端口(默认7272)使用相同的端口。
重要说明:PMP安装后,生成的自签名SSL证书也用于自动登录网关。建议你在使用前应用由CA签名的证书。使用自签名证书要接受自签名证书安全警告。(参考这里查看生成SSL证书的步骤)。
SSH和Telnet网关没有这样的需求,因为使用PMP web服务器端口进行通讯。
配置自动登录脚本
步骤1:添加登录助手脚本
- 打开管理 >> 定制 >>,点击自动登录助手
- 点击添加助手按钮
在打开的窗口中输入如下信息:
步骤 2 & 3:输入脚本的名称和命令
正如前面所说的,命令就是连接到目标系统运行的程序,例如telnet、rdp、putty等等。因为Web浏览器的安全限制,用户需要下载安装浏览器指定的插件来执行系统命令。
分别输入Windows和Linux系统命令,映射到目标系统。因为目标系统可能有多种登录方式,所以你可以映射多个自动登录脚本到一种资源类型。
你需要给登录脚本命名名称,这会显示在一个账户后面,用户可在菜单选择该名称来登录到被管资源。
另外,如果为资源配置了“资源URL”,“打开URL”选项也会显示在菜地中。在命令和RUL中也使用一些和被管资源相关的参数,下面有详细说明。
下面使用一个具体的例子来让您更好的理解该配置:
假如您要通过telnet的方式来自动登录到远程系统,你应该做如下配置:
命令是和当前使用的系统相关的。例如你当前在Windows上登录到PMP,你要telnet到远程系统,你要输入适用于Windows的telent命令。如果你当前在Linux上登录到PMP,你要telnet到远程系统,你要输入适用于Linux的telent命令
在输入命令前,请查看以下说明:
在命令中可以使用的参数:
%RESOURCE_NAME%
%DNS_NAME%
%ACCOUNT_NAME%
%PASSWORD%
这些参数将在运行命令的时候替换为实际值。
并且,要注意系统的路径环境变量设置,要让所有的用户都可以执行该命令。
资源URL
可以在资源URL中使用参数,PMP使用post方法打开URL。
可用参数包括
%RESOURCE_NAME%
%DNS_NAME%
%ACCOUNT_NAME%
%PASSWORD%
URL参数使用示例
(1) 假设某种资源类型,可用通过其主机名访问其某种应用,可用使用如下设置:
http://%RESOURCE_NAME%
(2) 比上面例子更复杂的:url中还可以包括地址或者其他参数:
https://%DNS_NAME%:7272
https://%DNS_NAME%:7272/j_security_check?j_username=%ACCOUNT_NAME%&j_password=%PASSWORD%&domainName=LOCAL
在“Windows命令”中输入适用于Windows登录到远程资源的命令。以telnet为例:
telnet %DNS_NAME% -l %ACCOUNT_NAME%
在“Linux命令”中输入适用于Linux登录到远程资源的命令。还是以telnet为例:
konsole -e telnet %DNS_NAME% -l %ACCOUNT_NAME%
步骤4:映射命令到资源类型
完成上面的步骤后,你要选择使用该登录助手的资源类型。
例如,你要通过PuTTY连接到所有Unix和Cisco设备,选择并移到右边。
这样,当你完成了该章所有配置后,就可以点击资源类型为Unix或Cisco的资源账户中的“连接”图标,看到可用的登录方式菜单了。
步骤5:请求批准
正如上面解释的,运行自动登录命令要使用当前登录系统的用户权限,所以存在安全隐患。PMP提供了审批流程控制来防止命令被滥用。当一个PMP管理员添加了登录助手脚本后,必须被另外一个管理员批准才能使用。同样的审批流程在登录助手脚本被修改后也要执行。这样所有相关操作都要2个管理员,并且被审计。
一个管理员如何批准其他管理员添加的请求呢?打开管理 >> 定制 >>然后点击自动登录,点击登录状态下的链接。只要被批准的脚本才可执行。
执行自动登录
通过自动登录网关
添加了支持Windows远程桌面、SSH或telnet资源类型后,所有可访问此资源的用户就可以使用该功能了。用户将可以在主页中看到自动登录页签。只要点击一下资源,就可以实现远程登录了。
通过自动登录脚本
在资源中,找到具体要连接的资源,在账户中的“连接到”链接中就可以选择为该类型资源配置的登录脚本了。
因为安全考虑,你要安装插件后才可以在Web浏览器中调用系统命令。
为Internet Explorer安装插件
在点击了登录脚本链接后,将出现安装来自ZOHO Corp的插件提示,点击安装。
为FireFox安装插件
- 打开管理 >>> 全局后点FireFox插件图标。
- 你将在FireFox顶部看到安装安装软件的提升。点击后面的“编辑选项”。
- 再次点击管理 >>> 全局 >> FireFox插件。
- 点击下载软件。
- 点击安装。
- 点击重启FireFox。
然后可以自动登录到远程系统了。