通过SSO单点客户端登录和运维数据库资源
通过SSO单点客户端调用本地数据库工具,登录和运维数据库资源,实现对数据库的运维审计。用户需先在本地安装SSO单点登录工具和数据库客户端工具,然后配置数据库客户端工具路径。
本小节主要介绍如何配置SSO单点客户端,以及如何通过SSO单点客户端登录数据库资源。
SSO单点登录工具客户端目前有四种选择:
- Mysql cmd
- Mysql Adminstrator
- Navicat
- DBeaver(堡垒机V3.3.48.0及以上版本支持)
约束限制
- 仅专业版实例支持数据库运维操作审计。
- 仅支持MySQL、SQL Server、Oracle、DB2、PostgreSQL、GaussDB类型数据库的运维管理。
由于堡垒机无法校验启用了ssl的数据库,连接GaussDB时,需要在DBeaver禁用ssl,将sslmode设置成disable。
- 仅支持通过SsoDBSettings单点登录工具调用客户端。
- 仅支持调用部分数据库客户端,详情请参见下表。
表1 支持数据库协议类型、版本和数据库客户端 数据库类型
版本
支持调用客户端
MySQL
5.5、5.6、5.7、8.0
Navicat 11、12、15、16
MySQL Administrator 1.2.17
MySQL CMD
Microsoft SQL Server
2014、2016、2017、2019、2022
Navicat 11、12、15、16
SSMS 17.6
Oracle
10g、11g、12c、19c、21c
Toad for Oracle 11.0、12.1、12.8、13.2
Navicat 11、12、15、16
PL/SQL Developer 11.0.5.1790
DB2
DB2 Express-C
DB2 CMD命令行 11.1.0
PostgreSQL
11、12、13、14、15
DBeaver22、23
GaussDB
2、3
DBeaver22、23
- 堡垒机支持的数据库及版本,需您自行前往产品官网搜索相关版本下载。
- 当您需要使用单点登录工具运维运维PostgreSQL和GaussDB时,需要在“连接属性”中添加“sslmode”属性,并且将“值”保存为:“disable”。 中的
- SsoTool.msi 远程工具安装只能选择默认的路径:C:\sso\SsoTool,若自定义安装路径可能会导致该工具无法启动。
前提条件
- 已获取“主机运维”模块管理权限。
- 已获取资源访问控制权限,即已被关联访问控制策略或访问授权工单已审批通过。
- 已在本地安装客户端工具。
- 资源主机网络连接正常,且资源账户登录账号和密码无误。
操作步骤
- 登录堡垒机系统。
- 选择 ,进入主机运维列表页面。
- 选择数据库协议类型的主机,单击“登录”,弹出客户端工具选择窗口。
- 选择本地已安装客户端工具,单击“确定”。
自动调用本地数据库客户端工具。
- 登录数据库资源进行操作。
配置SSO单点客户端
以Navicat客户端为例,示例配置客户端路径。
- 打开本地SsoDBSettings单点登录工具。
图1 单点登录工具界面
- 在“Navicat路径”栏后,单击路径配置。
- 根据本地Navicat客户端安装的绝对路径,选中Navicat工具的exe文件后,单击“打开”。
图2 查找本地工具绝对路径
- 返回SsoDBSettings单点登录工具配置界面,可查看已选择的Navicat客户端路径。
图3 确认配置路径
- 单击“保存”,返回堡垒机“主机运维”列表页面,即可登录数据库资源。