通过SSO单点客户端登录和运维数据库资源

注意事项

在运维过程中，堡垒机会自动录制视频进行保存审计，为了防止敏感信息泄露，请避免在运维过程中输入明文回显的敏感信息。

约束限制

• 仅专业版实例支持数据库运维操作审计。
• 仅支持MySQL、SQL Server、Oracle、DB2、PostgreSQL、GaussDB类型数据库的运维管理。
  

  由于堡垒机无法校验启用了ssl的数据库，连接GaussDB时，需要在DBeaver禁用ssl，将sslmode设置成disable。

• 仅支持通过SsoDBSettings单点登录工具调用客户端。
• 仅支持调用SecureCRT和XShell主机资源运维客户端。
• 仅支持调用部分数据库客户端，详情请参见下表。

  表1 支持数据库协议类型、版本和数据库客户端

  数据库类型	版本	支持调用客户端
  MySQL	5.5、5.6、5.7、8.0	Navicat 11、12、15、16 MySQL Administrator 1.2.17 MySQL CMD
  Microsoft SQL Server	2014、2016、2017、2019、2022	Navicat 11、12、15、16 SSMS 17.6
  Oracle	10g、11g、12c、19c、21c	Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12、15、16 PL/SQL Developer 11.0.5.1790
  DB2	DB2 Express-C	DB2 CMD命令行 11.1.0
  PostgreSQL	11、12、13、14、15	DBeaver22、23
  GaussDB	2、3	DBeaver22、23

  

  • 堡垒机支持的数据库及版本，需您自行前往产品官网搜索相关版本下载。
  • 当您需要使用单点登录工具运维GaussDB数据库时，需要下载V2.0-3.x版本JDBC驱动包，需要在“数据库 - > 驱动管理器”中的“库”删除所有文件，并且添加下载的JDBC驱动包。
  • 当您需要使用单点登录工具运维运维PostgreSQL和GaussDB时，需要在“数据库 - > 驱动管理器”中的“连接属性”中添加“sslmode”属性，并且将“值”保存为：“disable”。
  • SsoTool.msi 远程工具安装只能选择默认的路径：C:\sso\SsoTool，若自定义安装路径可能会导致该工具无法启动。

前提条件

• 已获取“主机运维”模块管理权限。
• 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。
• 已在本地安装客户端工具。
• 资源主机网络连接正常，且资源账户登录账号和密码无误。

操作步骤

1. 登录堡垒机系统。
2. 选择“运维 > 主机运维”，进入主机运维列表页面。
3. 选择数据库协议类型的主机，单击“登录”，弹出客户端工具选择窗口。
   

   • 首次登录数据库资源，弹出SsoDBSettings下载窗口，可下载SsoDBSettings工具。
   • 不同堡垒机版本选择的下载工具会有差别，具体以实际堡垒机界面显示为准。

     以V.3.3.44.0版本为例：下拉框可选择单点登录工具Windows和单点登录工具UOS(arm)。

4. 选择本地已安装客户端工具，单击“确定”。

   自动调用本地数据库客户端工具。

5. 登录数据库资源进行操作。

配置SSO单点客户端

以Navicat客户端为例，示例配置客户端路径。

1. 打开本地SsoDBSettings单点登录工具。
2. 在“Navicat路径”栏后，单击路径配置。
3. 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。
4. 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。
5. 单击“保存”，返回堡垒机“主机运维”列表页面，即可登录数据库资源。