实例管理
购买实例
租户通过本功能完成对服务实例的创建、维护和管理。
菜单路径
产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表 → 点击购买浪潮云御堡垒机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
点击"购买浪潮云御堡垒机",填写基本信息。 如下表所示:
| 属性 | 属性说明 |
|---|---|
| 服务名称 | 服务实例的名称。名称只能包含中文、数字、字母和"-",长度不超过 36。 |
| 计费模式 | 包年/包月:包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景。 |
| 区域 | 不同区域之间内网互不相通,请就近选择靠近您业务的区域,可减少网络延时,提高访问速度。 |
| 选择产品 | 选择已经定义好的产品 |
| 选择规格 | 选择对应产品下的规格 |
| 选择网络 | 选择已经定义好的网络 |
| 选择子网 | 选择已经定义好的网络对应的子网 |
| ip地址 | 允许手动分配ip地址,默认是自动分配 |
| 选择安全组 | 选择已经定义好的安全组 |
| 时长 | 选择购买服务实例的时长 |
注:安全组需要放开的端口如下:
| 访问控制方向 | 协议 | 端口号 | 用途 |
|---|---|---|---|
| 入方向 | TCP | 8443 | 单点登录页面&Web 访问 |
| 入方向 | TCP | 2222 | 云御堡垒机用户 SSH 访问云御堡垒机虚机 |
| 入方向 | TCP | 22 | SSH 访问虚机 |
| 出方向 | TCP | any | TCP 协议运维 |
| 出方向 | UDP | any | 域名解析 |
- 确认无误后,点击"立即购买",进入订单确认页, 支付成功后即完成一个浪潮云御堡垒机的购买 。
开机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
开启单个实例:勾选需要开机的,在列表顶部,单击"开机"。或在右侧操作栏中,单击"更多"-"开机"。
开启多个实例:勾选所有需要开机的实例,在列表顶部,单击"开机"。即可批量开机。
关机
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
关闭单个实例:勾选需要关机的,在列表顶部,单击"关机"。或在右侧操作栏中,单击"更多"-"关机"。
关闭多个实例:勾选所有需要关机的实例,在列表顶部,单击"关机"。即可批量关机。
重启
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
重启单个实例:勾选需要重启的,在列表顶部,单击"重启"。或在右侧操作栏中,单击"更多"-"重启"。
重启多个实例:勾选所有需要重启的实例,在列表顶部,单击"重启"。即可批量重启。
弹性公网 IP
绑定弹性公网IP可以让用户更加灵活快捷的管理云御堡垒机。
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
绑定 eip:在实例列表右侧操作栏中,单击"更多"-"弹性公网 Ip"-"绑定"。
解绑 eip:在实例列表右侧操作栏中,单击"更多"-"弹性公网 Ip"-"解绑"。
续费
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
在需要续费的实例的操作栏中,点击"更多"选择"续费",跳转到续费订单界面。
选择续费的时长,点击"去支付"。
支付成功,完成续费。
管理实例
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
实例详情
操作步骤
登录控制台。
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
点击需要查看详情的实例 ID 进入 。详情中的基本操作如下表所示
表 2 基本操作
| 操作名称 | 操作 | 详解 |
|---|---|---|
| 虚拟网络 | 点击“刷新” | 刷新虚拟网络名称 |
| 子网 | 点击“刷新” | 刷新子网名称 |
| 安全组 | 点击“刷新” | 刷新安全组名称 |
搜索实例
操作步骤
登录控制台
点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
在上方的搜索框中输入要搜索的实例的名称、ID 或内网 IP,点击"搜索"按钮。
产品登录
产品单点登录
具有 admin 权限的云平台用户,可通过实例的单点登录功能登录云御堡垒机系统,登录后创建资源、用户和控制策略,操作步骤如下:
- 登录控制台。
- 点击 产品与服务 → 安全(云御) → 浪潮云御堡垒机 → 服务列表,进入实例操作界面。
- 管理单个实例:在右侧操作栏中,单击"管理",即可登录到实例管理界面进行操作。
- 实例首次单点登录需要修改内置admin用户的默认密码,admin用户的默认密码是6fj1suYpw4hDfo%9
IP 地址登录
实例创建成功后超级管理员和运维人员可通过 IP 地址登录管理,登录方式有:
- 通过租户的 VPN 网关连接进入租户 VPC 内部后,通过实例 IP 地址登录。
- 已购买并绑定弹性公网IP的用户可以使用弹性公网IP方式登录。
- 默认超级管理员用户名是admin,密码是6fj1suYpw4hDfo%9
系统配置
超级管理员登录云御堡垒机后可添加运维管理人员用户账号、添加运维目标设备、创建运维管理的授权策略。
用户管理
创建用户组
用户组, 顾名思义, 给用户分组。用户组信息很有用, 在分配资源权限的时候, 针对的某个用户组下的所有用户, 可以为一个用户分配多个用户组。
进入[用户管理-->用户组],点击页面左上方的\<创建用户组>按钮,进入创建用户组页面,如图:
用户组支持批量导入与导出
添加用户
进入[用户管理-->用户列表],点击页面左上方的\<创建用户>按钮,进入创建用户页面,如图:
用户支持批量导入与导出,入口如图所示
进入[创建用户]界面,编辑用户信息,其中"*"标记的红色部分为必填项。填写好所有必填项信息后,点击\<提交>按键完成创建。如图:
系统内置 3 个角色,不同角色的功能菜单权限不同
- 系统管理员 具有全部菜单权限
- 系统审计员 具有概览页、审计管理中会话管理和命令记录、日志管理中登录日志、文件管理日志、操作日志、密码更改日志及普通用户的所有菜单权限
- 运维管理员 具有 我的资源、应用发布、运维管理的菜单权限
失效日期
可以设置该用户可以使用的日期时间,管理员可以在列表页禁用或激活普通用户
用户名 登录账号(具有唯一性, 不能重名)。名称为页面右上角用户标识(可重复)
MFA Google Authenticator, 使用此软件需要 APP 时间与浏览器时间同步
用户首次登录云御堡垒机, 会被要求完善用户信息, 按照向导操作即可
普通用户登录系统后,可以在个人信息页,更新个人密码或密钥等信息
添加角色
进入[用户管理-->角色列表],点击页面左上方的\<创建角色>按钮,进入创建角色页面,如图:
入口如图所示
进入[创建角色]界面,编辑角色信息,其中"*"标记的红色部分为必填项。如图:
填写好所有必填项信息后,点击\<下一步>按键配置权限,点击<确定>按钮配置完成。如图:
资源管理
资源用户
资源用户是作为纳管资源的访问用户,用于后续对于平台用户的资源授权。
进入[资源管理-->资源用户],点击\<创建资源用户>,如图:
资源用户支持批量导入与导出,入口如图所示
进入创建资源用户页面,填写必填项名称,注意名称系统内唯一,不要输入重复的资源用户名称,填写表单其他输入项后,点击确定,即可完成创建。
主机列表
进入[资源管理-->主机列表],支持主机资源的批量导入导出,如图:
点击<创建主机>按钮弹框,填写主机信息,点击<确定>按钮后完成创建,如图:
创建完成后点击每一行后的下拉箭头,可测试连接性。
主机组
进入[资源管理-->主机组],如图:
点击<创建主机组>弹框,选择父主机组,填写主机组名称,点击确定后完成创建。如下图:
支持主机组关联主机资源。
应用管理
使用此功能前,请确保已将应用加载器上传到应用服务器并成功发布为一个 RemoteApp 应用
进入[资源管理-->应用管理],支持应用资源的批量导入导出如图:
点击<创建应用管理>按钮弹框,填写应用资源相关内容,点击<确定>按钮后完成应用管理的创建。
创建完成相当于应用的发布,相关注意事项见列表页面上方的说明。
数据库管理
进入[资源管理-->数据库管理],点击<创建数据库>按钮,如图:
用户支持批量导入与导出,入口如图所示
- 类型 目前支持MySQL、SQL Server数据库
- 主机 填写数据库所在服务器的IP地址
- 端口 数据库的连接端口
- 数据库 填写要运维的数据库名称
填写必填项及其他输入项后,点击确定完成创建。
主机类型
进入[资源管理-->主机类型],云御堡垒机支持运维的主机资源类型列表
策略管理
主机授权
进入[策略管理-->主机授权],把资源授权给用户后用户才能正常访问资源,支持主机授权的批量导入导出,如下图:
点击<创建主机授权策略>弹框填写授权策略信息,如下图:
- 名称 授权的名称,不能重复
- 操作权限 可以限制对该资源的操作,默认为全部开放
- 状态 禁用、启用
- 允许登录时间段,支持鼠标滑动的形式。
支持按照用户或用户组的授权粒度。
支持按照主机或主机组进行授权。
应用授权
进入[策略管理-->应用授权],把应用授权给用户后用户才能正常访问资源,支持应用授权的批量导入导出,如下图:
点击<创建应用授权策略>按钮后弹框,填写策略信息,如下图:
- 名称 授权的名称,不能重复
- 状态 禁用、启用。
- 允许登录时间段,支持鼠标滑动的形式。
支持按照用户或用户组的授权粒度。
数据库授权
进入[策略管理-->数据库授权],把资源授权给用户后用户才能正常访问资源,支持数据库授权的批量导入导出,如下图:
点击<创建数据库授权策略>按钮弹框,填写策略信息,如下图:
- 名称 授权的名称,不能重复。
- 允许登录时间段,支持鼠标滑动的形式。
命令控制
进入[策略管理-->命令控制],系统用户可以绑定一些命令过滤器,一个过滤器可以定义一些规则 当用户使用这个系统用户登录资源,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配, 当一个规则匹配到了,如果规则的动作是允许,这个命令会被放行, 如果规则的动作是禁止,命令将会被禁止执行, 否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行。
- 在命令控制列表页面点击创建命令控制,添加一条过滤命令
录入信息后点击<确定>按钮后创建好一条命令控制策略,点击每行后面的<配置规则>按钮弹框维护命令规则,如下图:
点击<创建命令规则>按钮后弹框,创建命令规则,如下图:
如上图所示,添加过滤规则,点击提交即可完成创建。
改密策略
进入[策略管理-->改密策略],进入策略列表,管理远程主机资源的改密策略,列表页面如下图:
分策略列表和改密日志两部分。
点击页面左上角<创建改密策略>按钮弹框,填写策略信息,点击<下一步>,关联主机资源。
进入改密日志,查看所有触发改密策略后执行改密的信息,支持日志的下载,列表页如下图:
运维管理
运维管理针对纳管资源的运维进行分类管理,分为主机运维、应用运维、数据库运维三类。
主机运维
进入[运维管理-->主机运维],展示当前用户可运维的主机资源信息,支持测试资源连通性,如下图:
支持针对不同类型的主机资源选择不同的运维工具登录,支持多个资源的批量登录。
点击右上角的下载小助手按钮下载远程登录工具,安装后可用于登录远程资源。
选择右侧浏览器进行远程登录,如下图:
选择多个主机资源进行批量登录,如下图:
文件管理
l 文件管理允许对 SSH 协议主机进行文件上传、下载、创建、删除等操作;
l 登录主机后,可以进入管理员预设的SFTP管理目录 (默认目录是“/tmp”),目前仅支持 ssh 协议且资源用户要求登录方式为自动登录;
l Windows 文件上传可以直接把文件拖拽到 Windows 窗口, 下载把文件放到 G 盘的 download 目录即可弹出下载窗口, 快捷键为上传下载工具栏 Ctrl + alt + shift。
应用运维
进入[运维管理-->应用运维],展示当前用户可运维的应用资源信息,如下图:
数据库运维
进入[运维管理-->数据库运维],展示当前用户可运维的数据库资源信息,如下图:
审计管理
实时会话
进入[审计管理-->实时会话],展示正在运维的资源会话信息,如下图:
管理员和审计员可以查看当前在线的会话,可以中断其危险操作也可以只是监控该会话当前正在做的操作
历史会话
进入[审计管理-->历史会话],展示历史运维过的资源会话信息,支持下载和视频回放,如下图:
管理员和审计员可以查看历史在线的会话,主要是查看开发人员在连接跳板机时做了哪些操作
- 可以按时间进行筛选
- 可以直接在线回放视频查看
- 可以下载到本地进行查看,需要安装离线播放器
命令记录
进入[审计管理-->命令记录],命令记录里面存放的是用户在资源上执行过哪些命令, 单击一行记录, 会展示命令执行的结果,支持下载,如下图:
日志管理
进入[审计管理-->日志管理],包含登录日志、文件管理日志、操作日志、密码更改日志、系统状态日志。
登录日志
云御堡垒机登录日志,支持多种筛选方式,支持批量导出
文件管理日志
云御堡垒机的文件管理日志,支持多种筛选方式,支持批量导出
云御堡垒机的用户登录日志,支持多种筛选方式,支持批量导出,如下图:
操作日志
云御堡垒机的系统操作日志,支持多种筛选方式,支持批量导出,如下图:
密码更改日志
云御堡垒机的系统用户的改密日志,支持多种筛选方式,支持批量导出,如下图:
系统状态日志
云御堡垒机的系统状态日志(CPU、内存、磁盘),支持多种筛选方式,支持批量导出,如下图:
系统管理
系统设置
进入[系统管理-->系统设置],系统设置包含:安全设置、授权设置、时间设置、告警规则设置、日志备份、双击备份。
安全设置
进入安全设置,配置用户登录规则等基本信息,如下图:
授权设置
进入授权设置,记录授权资源的数量和已使用授权数,如下图:
时间设置
进入授权设置,选择时间服务器设置当前系统的时间,如下图:
告警规则设置
进入告警规则设置,配置系统状态告警的阈值,如下图:
日志备份
进入日志备份,支持日志数据的本地备份和还原,如下图:
配置备份
进入配置备份,支持平台数据的本地备份和还原,如下图:
双机热备
进入双机热备,支持平台数据的双机热备,需要配置主从节点,如下图:
系统状态
进入[系统管理-->系统状态],用于记录系统状态历史数据及趋势,如下图:
网络诊断
进入[系统管理-->网络诊断],用于支持主机资源的连通性探测,支持ping、路由追踪、telnet三种方式,如下图:
系统升级
进入[系统管理-->系统升级],用于支持平台在线升级,如下图:
点击<创建系统升级>按钮上传升级包,如下图:
应用发布器安装及配置
安装
安装一台windows server 2012 R2
创建Windows用户
在应用列表点击“计算机管理”。
在计算机管理的界面当中依次选择“本地用户和组”→“用户”→“更多操作”→“新用户”,在此新建一个Windows账号。
填写用户名和密码,勾选“密码永不过期”。
点击“创建”按钮,完成Windows用户的创建。
授权用户远程登录
打开“文件资源管理器”,右键点击“计算机”,在弹出的菜单,选择“属性”
在属性的窗口依次选择“远程设置”→ “远程”→ “选择用户”→ “添加”,输入刚才设置的用户名,点击“检查名称”
检查结果如下图
点击“确定”,就可以看到相关的账号已经设置了远程桌面访问权限。
配置
安装成功后,使用administrator身份登录到应用发布服务器,勾选安装远程桌面服务,如下图。
保持默认选择,点击下一步,如下图。
在“选择角色服务”窗口中,勾选“远程桌面会话主机”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”四项,然后点击下一步,如下图。
耐心等待安装过程,等待重启后,完成远程桌面服务安装。远程桌面服务安装完毕后,将有120天的试用期,在试用期结束后,建议客户购买微软正式rd授权继续远程桌面服务的使用。
RD授权
域控作为RD授权服务器
如果域控已经购买并激活了RD授权,可以直接跳过此步骤,进入第4章的4.2。
本机作为RD授权服务器
打开[开始\管理工具\远程桌面服务\RD授权管理器]由于我们的RD授权服务器还未激活,所以授权服务器图标右下角显示红色×号,右击授权服务器“激活服务器”
点击下一步,如下图
选择“自动连接”,并点击下一步,如下图。
输入相关信息,并点击下一步,如下图。
此处留空,点击下一步,如下图。
点击下一步,如下图。
点击下一步,如下图。
选择“企业协议”,并点击下一步,如下图。
输入“协议号码”,并点击下一步,如下图。(协议号码通过购买微软官方远程桌面授权许可获得)
选择对应版本“Windows server 2012 R2”、许可类型选择“RDS 每用户 CAL”、数量填写100,点击下一步,如下图。
成功安装许可,点击完成,如下图。
修改组策略
本地组策略编辑器
命令行打开组策略
使用指定的远程桌面许可证服务器
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\授权]中,双击右侧的"使用指定的远程桌面许可证服务器”,选中“已启用”并配置本机地址,若远程桌面许可证服务器为域控服务器,则填写域控服务器地址,如下图
隐藏有关影响RD会话主机服务器的RD授权问题的通知
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\授权]中,打开"隐藏有关影响RD会话主机服务器的RD授权问题的通知"对话框,选中"己启用",后单击确定,如下图。
设置远程桌面授权模式
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\授权]中,双击"设置远程桌面授权模式"对话框,选中"己启用",并在"指定RD会话主机服务器的授权模式"下拉列表中选择"按用户",之后单击确定,完成设置。
限制连接的数量
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\连接]中,找到并双击“限制连接的数量”条目,修改为已启用,连接数改为999999,点击确定,如下图。
允许远程启动未列出的程序
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\连接]中,找到并双击“允许远程启动未列出的程序”条目,修改为已启用,点击确定,如下图。
将远程桌面服务用户限制到单独的远程桌面服务会话
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\连接]中,找到并双击“将远程桌面服务用户限制到单独的远程桌面服务会话”条目,修改为已禁用,点击确定,如下图。
设置已中断会话的时间限制
在[计算机配置\管理模板\Windows组件\远程桌面服务\远程桌面会话主机\会话时间限制]中,找到并双击“设置已中断会话的时间限制”条目,修改为已启用,结束已断开连接的会话改为1分钟,点击确定,如下图。
关闭根证书自动更新(可选)
在[计算机配置\管理模板\系统\Internet通信管理\Internet通信设置\关闭自动根证书更新]中,找到并双击“关闭自动根证书更新”条目,修改为已启用,点击确定,如下图。(应用发布服务器不能上Internet时设置)
证书路径验证设置(可选)
在[计算机配置\安全设置\公钥策略\证书路径验证设置]中,找到“证书路径验证设置”条目,“网络检索”→“默认URL检索超时时间”设置为1,点击确定,如下图。(应用发布服务器不能上Internet时设置)
运行-gpupdate /force
关闭本地组策略编辑器,打开运行,执行gpupdate /force,刷新本地策略。
至此应用发布服务器部署完成,需要测试功能请把此服务器添加到堡垒机
下载Brokerproxy.zip
前往浪潮云御堡垒机控制台,点击“资源管理”→“应用发布”→“下载应用加载器”,进行Brokerproxy.zip下载
下载完成后,进行解压,压缩包中包含两款软件,分别是RemoteApp Tool和BrokerProxy,如下图:
第一步:安装RemoteApp Tool
Remoteapp Tool能够帮助用户在 Windows 上快速简单地创建和管理 RemoteAPP 远程应用, 是一款非常实用的开源RemoteApp辅助配置软件。获取到Remoteapp Tool的安装包后,在应用发布服务器上安装,如下图
双击RemoteApp Tool 5300.msi根据提示进行安装即可。
最后,在桌面看到Remoteapp Tool的图标存在,即代表已经成功安装,如下图
第二步:发布Brokerproxy
Brokerproxy是堡垒机能调用起应用发布服务器上应用的关键。Brokerproxy软件本身是绿色免安装的,你仅需要通过RemoteApp Tool将其发布为一个RemoteApp 应用即可,步骤如下
双击打开桌面的RemoteApp Tool,点击左下角的“+”号添加一个新的RemoteApp 应用。
选择Brokerproxy.exe(注意:Brokerproxy.exe的位置需要所有Windows用户均有权限访问,建议将Brokerproxy.exe放置于C盘根目录),点击打开
在RemoteApp Tool控制面板能看到Brokerproxy的存在,即代表已经成功发布,如下图
到此,应用发布服务器配置已完成,接下去你便可以前往浪潮云御堡垒机控制台创建并体验远程应用了。
双因子认证配置
配置动态令牌认证
新增堡垒机用户
登录方式选择“动态令牌”;
通过动态令牌认证登录
选择“用户登录”,输入账号密码;
第一次登录,需要绑定“动态令牌”,可根据提示下载应用程序;
使用下载的应用扫描二维码,生成6位数动态口令,完成登录
配置USBKey认证
安装UsbKey驱动
驱动下载地址
驱动安装
双击安装程序即可,安装完成后,可于系统托盘看见“HaiKey用户工具”标识。
将UsbKey插入电脑
开启用户UsbKey认证登录的方式
只允许系统管理员为普通用户开关UsbKey认证登录。普通用户不能自己设置UsbKey认证登录的开关与否。
创建用户时开启
在创建用户时启用UsbKey认证登录,如下图所示
编辑用户时开启
在编辑用户时启用UsbKey认证登录
更新用户UsbKey登录证书
在一个用户已经开启了UsbKey认证登录时,想更新用户的UsbKey登录证书(即让该用户下次使用另一个Usbkey登录),可通过编辑按钮,刷新证书。
点击编辑按钮
打开更新UsbKey开关,点击确定。
通过UsbKey认证登录
首先在电脑上插入UsbKey,在登录页面选择“用户登录”的tab页,输入用户名+密码+验证码进行登录
用户名+密码+验证码校验成功后,会弹出“PIN码”输入框
提示:PIN码连续输错6次就会自动锁定UsbKey,且不会自动解锁,请牢记PIN码。
配置RADIUS认证
开启RADIUS认证
使用具有“系统管理员”角色的用户登录堡垒机,前往 “系统管理” — “系统设置” — “安全设置”—“RADIUS认证设置”,开启“RADIUS认证”开关;
开启之后,填写RADIUS认证相关配置
| 名称 | 属性 |
|---|---|
| 服务器地址 | RADIUS认证服务器的IP或者域名(RADIUS认证采用PAP协议或者CHAP协议,这个在下面可以选,因此服务器地址里面不需要包含协议) |
| 端口 | RADIUS认证服务器的访问端口 |
| 认证协议 | PAP协议:密码验证协议 CHAP协议:质询握手验证协议 |
| 更新密钥 | 首次开启RADIUS认证时不显示,只有需要更新认证共享密钥时才开启 |
| 认证共享密钥 | 需要先在RADIUS认证服务器里设置认证共享密钥,然后此处属性的值要与3A认证服务器设置的认证共享密钥的值保持一致 |
新增RADIUS认证登录的用户
只允许系统管理员为普通用户选择是否开启RADIUS认证登录。普通用户自己不能设置是否开启RADIUS认证登录。
创建用户时开启
前往“用户管理” — “用户列表”,点击“创建用户”按钮,在“登录方式”一栏选择“RADIUS登录”
编辑用户时开启
前往“用户管理”—“用户列表”,点击要修改用户记录末尾的“编辑”按钮,在“登录方式”一栏选择“RADIUS登录”,点击确定,即可使当前用户改为RADIUS登录。
)
导入用户时开启
在导入用户时,为该用户填写“RADIUS”登录方式,当使用该登录方式时,可以不填密码
| 登录方式 | 含义 |
|---|---|
| STANDARD | 标准登录 |
| OTP | 动态令牌 |
| USB_KEY | UsbKey登录 |
| AD | AD域登录 |
| RADIUS | RADIUS登录 |
新增RADIUS用户
示例:填写用户身份信息,本地认证模式通常使用“验证静态密码和OTP”
然后绑定相应的OTP令牌;
通过RADIUS认证登录
填写认证信息,点击“登录”按钮,实现登录
注意:静态密码后紧跟着填入OTP工具的6位数字口令;
配置AD域认证
开启AD域认证登录
使用具有“系统管理员”角色的用户登录堡垒机,前往 “系统管理” — “系统设置” — “安全设置”—“AD域认证设置”,开启“AD域认证”开关;
开启之后,填写AD域认证相关配置
| 名称 | 属性 |
|---|---|
| 服务器地址 | AD域认证服务器的访问地址(以ldap://或ldaps://开头) |
| 端口 | AD域认证服务器的访问端口 |
| AD域名 | AD域用户的域名(一旦填写,在进行AD域用户认证时,如果用户名不以“@AD域名”结尾,系统将在认证时自动在用户名后填充“@AD域名”) |
新增AD域认证登录的用户
只允许系统管理员为普通用户选择是否开启AD域认证登录。普通用户自己不能设置是否开启AD域认证登录。
创建用户时开启
前往“用户管理” — “用户列表”,点击“创建用户”按钮,在“登录方式”一栏选择“AD域登录”
在填写用户名时,可以勾选“是否添加AD域名”,勾选过后,生成的用户名将自带“@AD域名”
编辑用户时开启
前往“用户管理” — “用户列表”,点击要修改用户记录末尾的“编辑”按钮,在“登录方式”一栏选择“AD域登录”,点击确定,即可使当前用户改为AD域登录。
导入用户时开启
在导入用户时,为该用户填写“AD”登录方式,当使用该登录方式时,可以不填密码
| 登录方式 | 含义 |
|---|---|
| STANDARD | 标准登录 |
| OTP | 动态令牌 |
| USB_KEY | UsbKey登录 |
| AD | AD域登录 |
| RADIUS | RADIUS登录 |
通过AD域认证登录
在登录页面,选择“AD域登录”栏,填写认证信息,点击“登录”按钮,实现登录
