Продукт · Управление доступом

JumpServer PAM

Выдавайте администраторам и подрядчикам персональный доступ без передачи паролей — с согласованием, записью действий и быстрым отзывом прав.

Свяжитесь с нами: наши специалисты помогут упаковать задачу и подобрать подходящий сценарий использования продукта.

Разработчик
Fit2Cloud
Направление
Управление доступом

Управление привилегированным доступом без раскрытия паролей

JumpServer PAM централизует доступ собственных администраторов, разработчиков и внешних подрядчиков к серверам, базам данных, сетевому оборудованию и внутренним веб-системам. Пользователь подключается через привычный клиент или браузер, а PAM проверяет его права, выполняет авторизацию в целевой системе и сохраняет историю действий.

Решение стоит рассмотреть, если используются общие административные учётные записи, подрядчикам выдаётся VPN-доступ, согласования остаются в почте, а расследование требует собирать журналы из нескольких систем. ДИБ получает воспроизводимый аудит, ДИТ — единый процесс доступа, инженеры — привычные клиенты, бизнес — меньше зависимости от неформальной передачи паролей.

Основные функции

  • обнаружение активов и учётных записей;
  • доступ по ролям, группам, времени, IP-адресу и одобренной заявке;
  • SSH, SFTP, RDP, VNC, SQL и доступ к внутренним веб-интерфейсам;
  • работа с PostgreSQL, MySQL, Oracle, MS SQL, MongoDB, Redis и другими СУБД;
  • запись, просмотр и поиск по сессиям;
  • фильтрация команд, буфера обмена и передачи файлов;
  • Active Directory, LDAP, RADIUS, TOTP/HOTP и MFA;
  • API для включения PAM в процессы выдачи доступа;
  • кластеризация, балансировка и географическое резервирование.

Редакции

Community Edition — бесплатная редакция до 5000 целевых систем без ограничений по числу пользователей и параллельных подключений. Подходит для самостоятельного внедрения; профессиональная русскоязычная поддержка приобретается отдельно.

Enterprise Edition добавляет расширенные политики доступа, дополнительные роли, нативные RDP- и SQL-клиенты, режим «Киоск» для веб-приложений и поддержку специалистов. Лицензирование привязано к числу целевых систем; доступны годовая подписка и бессрочная лицензия.

Демо и пилот

На демонстрации инженер AFI покажет подключение по нескольким протоколам, выдачу прав, работу без раскрытия пароля, запись сессии и расследование действий. После демо мы подготовим план PoC: архитектуру, ресурсы, тестовые системы, сценарии приёмки и ответственных.

Во время пилота специалисты помогают установить JumpServer, подключить каталог пользователей, настроить активы и права, проверить резервирование и оформить результаты. Цель PoC — не просто запустить интерфейс, а подтвердить ваши сценарии доступа и критерии безопасности.

Как устроен JumpServer PAM

Пользователь входит в JumpServer через веб-интерфейс или поддерживаемый нативный клиент. Платформа проверяет его роль, политику и действующее разрешение, после чего проксирует подключение к целевой системе. Пароль сервера, СУБД или сетевого устройства пользователю не передаётся. Команды, экран, операции с файлами и буфером обмена фиксируются в зависимости от протокола и настроенной политики.

Каталог активов может включать Linux- и Windows-серверы, СУБД, сетевые устройства, Kubernetes, RemoteApp и внутренние веб-приложения. Пользователи и группы загружаются вручную, через CSV/XLSX, API или LDAP/Active Directory. Активы добавляются вручную, импортом, через API, сетевое обнаружение и доступные интеграции с инфраструктурными платформами.

Записи сессий можно хранить локально либо вынести в NFS или объектное хранилище: S3/Ceph, Swift, OSS, Azure, OBS или COS. События передаются в Syslog/SIEM, уведомления — по почте; дополнительная аутентификация подключается через встроенные методы и RADIUS.

Варианты внедрения по масштабу

Малый бизнес и первый PAM-контур

Один Linux-сервер в схеме «всё в одном» позволяет закрыть доступ небольшой команды к критичным серверам и СУБД. Это подходящий старт, если требуется заменить общие пароли, зафиксировать действия подрядчика или внедрить MFA без сложной инфраструктуры. Перед промышленным запуском всё равно нужно спланировать резервное копирование конфигурации и записей.

Средняя компания

К PAM подключаются Active Directory, MFA, SIEM, несколько групп активов и процесс заявок. Роли разделяют администраторов платформы, владельцев систем, согласующих и аудиторов. Видеозаписи выносятся во внешнее хранилище, а политики формализуют доступ подрядчиков и внутренних команд.

Крупная и особо крупная инфраструктура

Для высокой доступности компоненты масштабируются горизонтально; используются внешние PostgreSQL и Redis, общее хранилище и балансировщик. Географически распределённая схема помогает обслуживать филиалы и изолированные сегменты ближе к целевым системам. Отдельно проверяются задержки, пропускная способность, хранение видео, отказ узла и разделение административных зон.

Практические сценарии

  • временный доступ подрядчика только к назначенным системам и в согласованные часы;
  • административный SSH/RDP без передачи постоянного пароля;
  • работа DBA через браузер или привычный SQL-клиент с аудитом запросов;
  • доступ к внутреннему веб-интерфейсу без его публикации во внешнюю сеть;
  • расследование по видеозаписи, командам и переданным файлам;
  • автоматическое обнаружение учётных записей и плановая ротация паролей;
  • делегирование управления доступами владельцам команд при сохранении централизованного контроля ИБ.

Что проверить до выбора редакции

Community и Enterprise различаются протоколами, клиентами, политиками, дополнительными ролями и коммерческой поддержкой. На пилоте нужно подтвердить именно вашу комбинацию RDP/RemoteApp, SSH/SFTP, СУБД и веб-доступа; работу ротации на целевых ОС и устройствах; LDAP/AD, MFA/RADIUS и SIEM; объём записей; число одновременных сессий и поведение при отказе инфраструктурного компонента. Enterprise лицензируется по числу целевых систем, а не пользователей.

Источники характеристик

Следующий шаг

Проверьте продукт до закупки

Не обязательно заранее готовить техническое задание. Опишите задачу и инфраструктуру — согласуем демонстрацию, критерии пилота или данные для предварительного расчёта.