文档首页/ 云堡垒机 CBH/ 用户指南/ 运维管理/ 主机运维/ 通过SSO单点客户端登录和运维数据库资源
更新时间:2024-09-24 GMT+08:00

通过SSO单点客户端登录和运维数据库资源

通过SSO单点客户端调用本地数据库工具,登录和运维数据库资源,实现对数据库的运维审计。用户需先在本地安装SSO单点登录工具和数据库客户端工具,然后配置数据库客户端工具路径。

本小节主要介绍如何配置SSO单点客户端,以及如何通过SSO单点客户端登录数据库资源。

SSO单点登录工具客户端目前有四种选择:

  • Mysql cmd
  • Mysql Adminstrator
  • Navicat
  • DBeaver(堡垒机V3.3.48.0及以上版本支持)

约束限制

  • 专业版实例支持数据库运维操作审计。
  • 仅支持MySQL、SQL Server、Oracle、DB2、PostgreSQL、GaussDB类型数据库的运维管理。

    由于堡垒机无法校验启用了ssl的数据库,连接GaussDB时,需要在DBeaver禁用ssl,将sslmode设置成disable。

  • 仅支持通过SsoDBSettings单点登录工具调用客户端。
  • 仅支持调用部分数据库客户端,详情请参见下表。
    表1 支持数据库协议类型、版本和数据库客户端

    数据库类型

    版本

    支持调用客户端

    MySQL

    5.5、5.6、5.7、8.0

    Navicat 11、12、15、16

    MySQL Administrator 1.2.17

    MySQL CMD

    Microsoft SQL Server

    2014、2016、2017、2019、2022

    Navicat 11、12、15、16

    SSMS 17.6

    Oracle

    10g、11g、12c、19c、21c

    Toad for Oracle 11.0、12.1、12.8、13.2

    Navicat 11、12、15、16

    PL/SQL Developer 11.0.5.1790

    DB2

    DB2 Express-C

    DB2 CMD命令行 11.1.0

    PostgreSQL

    11、12、13、14、15

    DBeaver22、23

    GaussDB

    2、3

    DBeaver22、23

    • 堡垒机支持的数据库及版本,需您自行前往产品官网搜索相关版本下载。
    • 当您需要使用单点登录工具运维运维PostgreSQL和GaussDB时,需要在数据库 - > 驱动管理器中的“连接属性”中添加“sslmode”属性,并且将“值”保存为:“disable”
    • SsoTool.msi 远程工具安装只能选择默认的路径:C:\sso\SsoTool,若自定义安装路径可能会导致该工具无法启动。

前提条件

  • 已获取“主机运维”模块管理权限。
  • 已获取资源访问控制权限,即已被关联访问控制策略或访问授权工单已审批通过。
  • 已在本地安装客户端工具。
  • 资源主机网络连接正常,且资源账户登录账号和密码无误。

操作步骤

  1. 登录堡垒机系统。
  2. 选择运维 > 主机运维,进入主机运维列表页面。
  3. 选择数据库协议类型的主机,单击“登录”,弹出客户端工具选择窗口。

    • 首次登录数据库资源,弹出SsoDBSettings下载窗口,可下载SsoDBSettings工具。
    • 不同堡垒机版本选择的下载工具会有差别,具体以实际堡垒机界面显示为准。

      以V.3.3.44.0版本为例:下拉框可选择单点登录工具Windows和单点登录工具UOS(arm)。

  4. 选择本地已安装客户端工具,单击“确定”

    自动调用本地数据库客户端工具。

  5. 登录数据库资源进行操作。

配置SSO单点客户端

以Navicat客户端为例,示例配置客户端路径。

  1. 打开本地SsoDBSettings单点登录工具。

    图1 单点登录工具界面

  2. “Navicat路径”栏后,单击路径配置。
  3. 根据本地Navicat客户端安装的绝对路径,选中Navicat工具的exe文件后,单击“打开”

    图2 查找本地工具绝对路径

  4. 返回SsoDBSettings单点登录工具配置界面,可查看已选择的Navicat客户端路径。

    图3 确认配置路径

  5. 单击“保存”,返回堡垒机“主机运维”列表页面,即可登录数据库资源。