《碉堡堡垒机-配置管理员手册.doc》由会员分享,可在线阅读,更多相关《碉堡堡垒机-配置管理员手册.doc(20页珍藏版)》请在金锄头文库上搜索。
1、碉堡用户操作手册配置管理员北京维方通信息技术有限公司目 录第一章 用户手册概述41.1碉堡配置管理员权限.41.2如何阅读本手册.41.3手册阅读附加说明.41.4适用版本.5第二章 用户管理52.1建立用户账户.52.2用户状态管理.62.3 用户导入、导出72.4用户密码管理.72.4.1密码长度82.4.2密码有效期82.4.3用户账户的安全8第三章 设备管理93.1设备添加流程.93.2设备类型和服务.103.3设备添加范例.103.3.1如何添加ssh字符终端类设备103.3.2如何添加windows图形终端类设备113.4操作设备.123.4.1设备导入、导出133.4.2设备分组
2、信息管理143.5 设备修改15第四章 访问授权154.1添加规则.154.2操作授权.164.3 修改授权17第五章 策略定义175.1描述信息.175.2操作描述信息.195.3策略信息.19第1章 用户手册概述本手册是“碉堡堡垒主机”(以下简称“碉堡”)配置员使用手册,可作为碉堡的日常操作参考。1.1碉堡配置管理员权限配置管理员是碉堡中非常重要的一个角色。其职责是对普通用户和设备、规则、策略定义进行全面的管理、对用户权限的控制、对设备访问的控制、对策略定义的控制。具体如下:用户角色权限列表碉堡配置员1. 完成以下基本控制任务:添加角色、访问授权规则添加、设备管理、策略定义2. 管理访问控
3、制3. 管理权限控制(字符设备命令防火墙)4. SSH密钥异常管理1.2如何阅读本手册本手册各章节相互独立,您可选择感兴趣的章节进行阅读。1.3手册阅读附加说明红色字体表示操作中的关键点,例如:用户管理添加用户填写信息意为:先点击“用户管理连接”,在出现的页面中再点击“添加用户连接”,在出现的页面中“填写信息”;带下划线的文字表示用户特别需要注意的内容,一般为注意事、提示和建议;1.4适用版本本手册依据碉堡V1.0撰写,适用于所有1.0分支版本。第2章 用户管理配置管理员可配置管理以下用户账户:碉堡配置员、普通用户、运维操作审计员、碉堡日志审计员,本章主要介绍用户账户的新建和操作。2.1建立用
4、户账户本小节以添加一个普通用户为例介绍如何添加用户账户。用户管理添加用户,进入用户账户编辑页面。按要求填写相关信息保存提交,如下图:依次填写图中各项,其中:必填项:姓名、角色、用户名、密码;可默认设置项:状态(激活)、密码期限(永不过期);其他均为填写项。注意:如勾选下次登录修改密码,下次登录时将进入密码修改页面,超级管理员如设置密码策略、账户锁定策略,将也对创建的用户有效。2.2用户状态管理用户状态分为如下四种:激活:“激活”状态下的用户账户才能登录“碉堡堡垒机”进行操作。锁定:锁定状态下的用户无法登录“碉堡堡垒机”。注销:注销能够删除该用户账户,注销的用户将不存在。复制:复制能在原有用户的
5、基础上进行添加用户。碉堡配置员可通过以下方式修改用户账户的状态。l 锁定某账户:用户管理更多操作页面选择要锁定的用户,点击更多操作选择锁定用户,点击执行把用户状态改为锁定。如下图:l 激活某锁定账户:用户管理锁定的用户页面查看锁定用户,选择要激活的用户点击更多操作选择激活用户,将账户状态改为激活。l 注销某账户:用户管理更多操作页面选择需要注销的账户,点击更多操作选择注销用户,可注销选择用户。l 复制某用户:用户管理复制用户页面选择需要复制的账户,点击复制用户按钮复制用户,进入用户信息与登录信息页面填写相关信息,点击保存即可复制成功。2.3 用户导入、导出用户管理用户导入(用户导出)能将用户选
6、择的用户导出,也可点击用户导入下载用户模板或点击浏览直接选择文件进行导入。如下图:2.4用户密码管理碉堡配置员在新建用户时需要给用户设置密码,同时碉堡配置员也可修改用户密码。用户管理用户名称页面,点击用户名称进入账户编辑页面,密码设置见下图:2.4.1密码长度密码长度:密码长度设置方式为超级管理员设置的密码策略。设置后对所有用户有效。2.4.2密码有效期密码有效期:l 碉堡配置员可设置或修改用户的密码有效期。如不设置有效期,则系统默认为永不过期;l 在密码过期前,用户可登录到“碉堡堡垒机”web界面修改自己账户的密码,系统默认过期后登录则进入密码修改界面;2.4.3用户账户的安全“碉堡堡垒机”
7、主要通过检查用户密码强度和设置密码重试限制来加强用户账户的安全。密码强度检查:用户在登录后通过个人设置修改自己的密码时,diaobao会对用户修改的密码进行判断,如密码不符合强度要求,则修改密码失败,用户需重新设置密码。如下图:密码重试限制:用户在登录时,一定时间内连续输错密码用户账户将被锁定。连续输错次数可由超级管理员进行设定。第3章 设备管理3.1设备添加流程向“碉堡堡垒机”添加设备的最终目标是使普通用户可以在无需知道设备密码的条件下自动登录到设备,因此添加设备就是通过在“碉堡堡垒机”中登记设备的相关信息达到自动登录的的目的,以下是简要的流程:1. 收集设备信息包括:设备IP、主机名、设备
8、账号及密码、远程访问方式(RDP、SSH、Telnet、FTP、SFTP、X11、VNC);2. 填写设备名称和IP地址、选择设备类型3. 配置设备远程访问服务4. 建立系统账号和密码,进行登录测试。具体根据设备类型不同,参考3.33.2设备类型和服务添加设备时您需要选择正确的设备类型,“碉堡堡垒机”将根据您选择的设备类型配置对应的服务及各种默认参数。“碉堡堡垒机”内置了7种设备类型,见下表:设备类型适用范围服务列表 Windows主机用于windowsRDP Windows域控用于windowsRDP Windows域内主机用于windowsRDP Linux主机用于各种linux设备,如:
9、 Debian 、 Fedora 、 Gentoo 、 Red Hat 、 SUSE、 Ubuntu、 Red Flag、CentOS等SSH Unix主机用于各种UNIX设备,如IBM AIX、HP-UX、SUN Solaris、SCO等SSH 网络设备(Radius)用于交换机Telnet 网络设备(Local)用于交换机Telnet不同的设备类型有不同的服务列表,上表粗体字为默认服务。3.3设备添加范例3.3.1如何添加ssh字符终端类设备第一步、添加设备填写基本信息:设备管理添加设备,进入设备编辑页面,填写以下信息。设备名:ceshi;IP地址:192.168.1.146;设备类型:L
10、inux主机。第二步、添加设备账号,选择授权端口以及测试连接,点击保存,如下图:如上图输入设备名称,输入设备IP并点击“设备登录账号”下方的添加输入登陆账号与密码;如上图填写设备登录账号、密码点击确定点击闪电图标,如该设备可用则如下图:如返回上图提示信息则表示该设备可用,点击保存添加该设备成功。3.3.2如何添加windows图形终端类设备第一步、添加设备填写基本信息:设备管理添加设备,进入设备编辑页面,填写以下信息。设备名:ceshi;IP地址:192.168.1.1;设备类型:windows主机。第二步、添加设备账号,选择授权端口以及测试连接,点击保存,如下图:填写完毕后点击授权端口后的闪
11、电图标测试连接是否成功,如下图:如返回结果如上图则表示连接测试成功;点击设备登录账号下方的添加按钮添加登录设备账号;添加成功后点击保存,则该设备添加成功。3.4操作设备锁定设备:锁定设备后将锁定该资源。删除设备:删除设备后将无法进行单点登录激活设备:激活设备会激活该设备资源生成密码信封:将会把该设备基本信息打印或存入电脑。l 锁定某设备:设备管理更多操作,选择锁定设备,勾选设备名称,点击执行,如下图:l 激活某设备:设备管理更多操作,选择激活设备,勾选设备名称,点击执行l 删除某设备:设备管理更多操作,选择删除设备,勾选设备名称,点击执行l 生成密码信封:设备管理更多操作,选择生成密码信封,勾
12、选设备名称,点击执行,点击密码信封历史记录,打印或导出下载。3.4.1设备导入、导出设备管理设备导出(设备导入)勾选设备名称点击设备导出即可将选择的设备信息导出到本地电脑上;点击设备导入,可点击设备模板下载,自己添加信息也可点击浏览上传电脑中已有的设备信息。如下图:3.4.2设备分组信息管理设备管理设备分组信息 管理进入设备分组编辑页面。l 添加根:设备管理设备分组信息 管理添加根填写根组名称,点击保存。l 添加同级:设备管理设备分组信息 管理添加同级填写信息,点击保存。如下图:l 添加下级:设备管理设备分组信息 管理添加下级填写信息,点击保存。l 修改信息:设备管理设备分组信息 管理修改信息
13、填写修改信息,点击保存。l 删除:设备管理设备分组信息 管理删除选择节点,点击删除3.5 设备修改修改设备:进入设备管理界面,单击需要修改的设备蓝色字体名称可进入修改相应设备基本信息的界面。第4章 访问授权4.1添加规则访问授权添加规则进入添加规则界面输入规则名,单击选择添加用户信息、设备信息、策略信息l 用户信息:单击选择添加授权用户,用户获得授权后才可访问资源。l 基本信息:规则名称与规则备注。l 设备信息:单击选择添加设备,添加设备后系统才能获得该设备的资源。l 策略信息:单击选择添加策略,添加策略后可以提高单点登录的安全性,防止恶意操作。如下图:必填项:规则名称。其他项为默认项,默认不填写。注意:如不填写任意一个用户信息、设备信息、策略信息;该规则将完全无效。4.2操作授权l 锁定规则:访问授权更多操作勾选规则名称,点击更多操作选择锁定规则,点击执行。如下图:l 激活规则:访问授权更多操作勾选规则名称,点击更多操作选择激活规则,点击执行。l 注销规则:访问授权更多操作勾选规则名称,点击更多操作选择注销规则,点击执行。附:规则被注销后将无法进行单点登录。
