PAM（（Privileged Account Management，即特权账号管理)，是组织信息安全体系中至关重要的一环，主要用于管理和监控具有高权限账号的用户访问权限。简单来说，PAM就像是一个“超级管理员”，专门负责管理那些拥有高权限账号（例如Root、Administrator、免密sudo账号等）用户的登录和操作行为，确保这些高权限账号的用户访问不会被滥用。

在2025年5月发布的JumpServer v4.10 LTS版本中，JumpServer真正将“PAM”与“堡垒机审计”合二为一，通过PAM模块提供一整套高效的特权账号管理功能，包括自动发现、批量推送、密码备份、账号改密、风险检测以及与第三方系统的集成。

2025年10月16日，飞致云开源技术播客火热开麦！首期内容聚焦“JumpServer的PAM功能设计”主题，受访嘉宾是JumpServer开源项目创始人及产品总监广宏伟。在本期播客中，广宏伟分享了JumpServer的PAM（特权账号管理）功能“从0到1”的设计心路和核心功能。

Q1：JumpServer在2025年5月发布了v4.10 LTS版本，我们看到在这个版本中支持了PAM功能，能跟我们聊一下当初为什么会考虑在这个版本中增加PAM功能吗？

广宏伟：JumpServer其实很早就想做PAM功能，也进行了长期的调研。在v4.10 LTS版本中支持PAM功能主要有三方面的原因：第一，我们经常收到前端用户的一些需求反馈，尤其是跨国企业对PAM功能更加在意；第二，国外没有“堡垒机”这个赛道，都是使用PAM产品，所以我们支持PAM功能也是JumpServer国际化进程中非常关键的一步；第三，目前国内企业对等保越来越重视，而等保对“账号”这块的要求也更多了，所以我们做PAM功能的决心也就更大了。

Q2：国外用户使用的PAM产品主要有哪些？在设计过程中，是否有考察其他的产品？可以分享一下JumpServer PAM功能的设计思路吗？

广宏伟：我们参考了一些国外比较知名的PAM产品，比如CyberArk和Password Manager Pro。其实PAM这个概念就是由CyberArk定义的，更加强调“最小安全、最小权限”，其产品设计的重心集中在安全方面，整体架构偏重。

而JumpServer的PAM功能主要强调的是整个账号的生命周期管理，其次才是安全管理，比如风险扫描、弱密码等。我们研究发现，Password Manager Pro的设计思路更加贴近JumpServer的技术演进路径。

在之前，JumpServer一直以来的产品思路就是“堡垒机”，资产是第一资源，更多是对资产的管理和使用。但是现在，越来越多的企业开始重视账号安全这方面的工作，甚至超过了对资产的重视程度，所以面向账号安全管理的PAM功能变得更加重要了。

大家知道，堡垒机的使用离不开账号，所以堡垒机的研发天生就具有开发PAM功能的冲动。我们完全可以围绕账号在JumpServer原有的基础上进行扩展，而且本身JumpServer就有账号管理功能。

我们并没有将PAM做成一个独立的产品，而是跟堡垒机结合起来。在设计过程中，我们把原先的“资产”作为账号的一个目标。在PAM产品中，我们将账号提升至最高优先级，形成“访问控制+特权管理”的一体化解决方案，既能发现并管理特权账号，同时也能对运维操作进行审计管控，所有操作在一套JumpServer系统内实现。

Q3：现在JumpServer PAM主要有哪些核心功能？相比其他产品，JumpServer的PAM功能在哪些方面更贴近用户的需求？

广宏伟：我们在产品设计阶段调研了多款PAM产品，最终为JumpServer的PAM功能确立了六大核心能力，分别是账号发现、账号推送、账号备份、账号改密、风险检测和应用集成。其中，账号发现和账号推送功能特别值得一提，账号发现功能可以帮助管理员自动采集资产上的所有账号信息，而账号推送功能则可以把所需账号统一推送出去，实现集中管理。

相较于CyberArk这类设计比较复杂、平台操作也不够简便的PAM产品，JumpServer的PAM功能是在堡垒机的基础上进行延伸开发的，所以大大降低了用户使用和学习PAM的成本。尤其对于国内用户来说，JumpServer的PAM功能更加易用，用户上手更快。

在功能上，JumpServer拥有强大的自动化能力（基于Ansible实现），用户能够轻松实现一些批量操作，比如账号发现和账号推送。大家知道，JumpServer把一切东西，包括Linux、Windows、交换机，甚至是数据库，都视作“资产”，所以管理员可以在这些“资产”上统一执行账号发现和账号推送，甚至是改密等操作，大幅提升了运维工作的效率。