Продукт · Управление доступом
JumpServer PAM
Выдавайте администраторам и подрядчикам персональный доступ без передачи паролей — с согласованием, записью действий и быстрым отзывом прав.
Свяжитесь с нами: наши специалисты помогут упаковать задачу и подобрать подходящий сценарий использования продукта.
- Разработчик
- Fit2Cloud
- Направление
- Управление доступом
Управление привилегированным доступом без раскрытия паролей
JumpServer PAM централизует доступ собственных администраторов, разработчиков и внешних подрядчиков к серверам, базам данных, сетевому оборудованию и внутренним веб-системам. Пользователь подключается через привычный клиент или браузер, а PAM проверяет его права, выполняет авторизацию в целевой системе и сохраняет историю действий.
Решение стоит рассмотреть, если используются общие административные учётные записи, подрядчикам выдаётся VPN-доступ, согласования остаются в почте, а расследование требует собирать журналы из нескольких систем. ДИБ получает воспроизводимый аудит, ДИТ — единый процесс доступа, инженеры — привычные клиенты, бизнес — меньше зависимости от неформальной передачи паролей.
Основные функции
- обнаружение активов и учётных записей;
- доступ по ролям, группам, времени, IP-адресу и одобренной заявке;
- SSH, SFTP, RDP, VNC, SQL и доступ к внутренним веб-интерфейсам;
- работа с PostgreSQL, MySQL, Oracle, MS SQL, MongoDB, Redis и другими СУБД;
- запись, просмотр и поиск по сессиям;
- фильтрация команд, буфера обмена и передачи файлов;
- Active Directory, LDAP, RADIUS, TOTP/HOTP и MFA;
- API для включения PAM в процессы выдачи доступа;
- кластеризация, балансировка и географическое резервирование.
Редакции
Community Edition — бесплатная редакция до 5000 целевых систем без ограничений по числу пользователей и параллельных подключений. Подходит для самостоятельного внедрения; профессиональная русскоязычная поддержка приобретается отдельно.
Enterprise Edition добавляет расширенные политики доступа, дополнительные роли, нативные RDP- и SQL-клиенты, режим «Киоск» для веб-приложений и поддержку специалистов. Лицензирование привязано к числу целевых систем; доступны годовая подписка и бессрочная лицензия.
Демо и пилот
На демонстрации инженер AFI покажет подключение по нескольким протоколам, выдачу прав, работу без раскрытия пароля, запись сессии и расследование действий. После демо мы подготовим план PoC: архитектуру, ресурсы, тестовые системы, сценарии приёмки и ответственных.
Во время пилота специалисты помогают установить JumpServer, подключить каталог пользователей, настроить активы и права, проверить резервирование и оформить результаты. Цель PoC — не просто запустить интерфейс, а подтвердить ваши сценарии доступа и критерии безопасности.
Как устроен JumpServer PAM
Пользователь входит в JumpServer через веб-интерфейс или поддерживаемый нативный клиент. Платформа проверяет его роль, политику и действующее разрешение, после чего проксирует подключение к целевой системе. Пароль сервера, СУБД или сетевого устройства пользователю не передаётся. Команды, экран, операции с файлами и буфером обмена фиксируются в зависимости от протокола и настроенной политики.
Каталог активов может включать Linux- и Windows-серверы, СУБД, сетевые устройства, Kubernetes, RemoteApp и внутренние веб-приложения. Пользователи и группы загружаются вручную, через CSV/XLSX, API или LDAP/Active Directory. Активы добавляются вручную, импортом, через API, сетевое обнаружение и доступные интеграции с инфраструктурными платформами.
Записи сессий можно хранить локально либо вынести в NFS или объектное хранилище: S3/Ceph, Swift, OSS, Azure, OBS или COS. События передаются в Syslog/SIEM, уведомления — по почте; дополнительная аутентификация подключается через встроенные методы и RADIUS.
Варианты внедрения по масштабу
Малый бизнес и первый PAM-контур
Один Linux-сервер в схеме «всё в одном» позволяет закрыть доступ небольшой команды к критичным серверам и СУБД. Это подходящий старт, если требуется заменить общие пароли, зафиксировать действия подрядчика или внедрить MFA без сложной инфраструктуры. Перед промышленным запуском всё равно нужно спланировать резервное копирование конфигурации и записей.
Средняя компания
К PAM подключаются Active Directory, MFA, SIEM, несколько групп активов и процесс заявок. Роли разделяют администраторов платформы, владельцев систем, согласующих и аудиторов. Видеозаписи выносятся во внешнее хранилище, а политики формализуют доступ подрядчиков и внутренних команд.
Крупная и особо крупная инфраструктура
Для высокой доступности компоненты масштабируются горизонтально; используются внешние PostgreSQL и Redis, общее хранилище и балансировщик. Географически распределённая схема помогает обслуживать филиалы и изолированные сегменты ближе к целевым системам. Отдельно проверяются задержки, пропускная способность, хранение видео, отказ узла и разделение административных зон.
Практические сценарии
- временный доступ подрядчика только к назначенным системам и в согласованные часы;
- административный SSH/RDP без передачи постоянного пароля;
- работа DBA через браузер или привычный SQL-клиент с аудитом запросов;
- доступ к внутреннему веб-интерфейсу без его публикации во внешнюю сеть;
- расследование по видеозаписи, командам и переданным файлам;
- автоматическое обнаружение учётных записей и плановая ротация паролей;
- делегирование управления доступами владельцам команд при сохранении централизованного контроля ИБ.
Что проверить до выбора редакции
Community и Enterprise различаются протоколами, клиентами, политиками, дополнительными ролями и коммерческой поддержкой. На пилоте нужно подтвердить именно вашу комбинацию RDP/RemoteApp, SSH/SFTP, СУБД и веб-доступа; работу ротации на целевых ОС и устройствах; LDAP/AD, MFA/RADIUS и SIEM; объём записей; число одновременных сессий и поведение при отказе инфраструктурного компонента. Enterprise лицензируется по числу целевых систем, а не пользователей.
Источники характеристик
Следующий шаг
Проверьте продукт до закупки
Не обязательно заранее готовить техническое задание. Опишите задачу и инфраструктуру — согласуем демонстрацию, критерии пилота или данные для предварительного расчёта.