不同权限账号免密登录

在实际运维场景中，管理员往往希望根据用户的身份给不同的用户分配不同的权限，防止越权行为的出现，保证主机安全，同时又希望用户能够以免密的方式登陆主机，提高远程登陆的便捷性，下面的文章将从管理员的角度和普通运维的角度说明如何在CloudLinker上进行设置以满足上述需求。

# 管理员篇

管理员在「集群管理」中创建好集群后，针对不同权限主机帐号都添加一条资源信息，也就意味着一个主机帐号一条资源记录，CloudLinker的集群中是允许同一个资源添加多次的

![](https://static.cloudcare.cn/cloudcare-mrdoc/img/2023-03-13_152739_5882620.12383108308677382.png)

然后在工作组管理中创建多个工作组，将不同权限的主机添加到对应的工作组中，比如带root权限的资源添加到可以通过root权限访问的工作组，在工作组的「成员」或「群组」添加允许拥有root权限的「用户」或「群组」，则这些用户就可以以root的权限访问主机，其他权限也创建对应工作组，添加对应权限的「成员」或「群组」则可实现不同的用户只能以赋予他的权限访问主机，实现了权限隔离

![](https://static.cloudcare.cn/cloudcare-mrdoc/img/2023-03-13_152749_0007360.5164067845509149.png)

创建好集群和工作组后，如果要要让用户实现免密登陆，则需要在集群管理中进行如下设置：

进入集群管理，点击需要免密登录的主机的「设置」项，点「更多」，开启「CloudLinker权限认证」和「目标机Key认证」，并且点击上次，输入该主机帐号的密码，上传堡垒机的公钥到目标机器上，注意，这里需要保证目标机的.ssh目录的权限是 700，上传成功可点击「测试」确认是否可用 。

![](https://static.cloudcare.cn/cloudcare-mrdoc/img/2023-03-28_133318_6162320.09181136172195314.png)

# 普通成员篇

管理员配置好集群和工作组，并分配给了相应的普通成员，普通成员登录CloudLinker平台既可以看到管理员分配的工作组，点击工作组，找到需要连接的主机，点列表上的「连接」,复制连接字符串到终端中

![](https://static.cloudcare.cn/cloudcare-mrdoc/img/2023-03-13_152804_6789410.8773947793680504.png)

这个时候终端会提示输入密码，但这个密码不是主机的登录密码而是当前普通成员的CloudLinker登录密码，如果普通成员需要免密登陆，则可以生成一对密钥，将公钥上传至CloudLinker中，点击「个人」中的SSH KEY，点击「添加」，取个名称，复制公钥到Key输入框中，保存好，再通过ssh指令进行登录时选择刚才生成的密钥则可实现免密登录

![](https://static.cloudcare.cn/cloudcare-mrdoc/img/2023-03-23_113748_3429450.14050233106207854.png)