堡垒主机用户操作手册--运维管理

  • 格式:doc
  • 大小:2.29 MB
  • 文档页数:39

堡垒主机用户操作手册运维管理版本2.3.22011-06目录1. 前言 (1)1.1.系统简介 (1)1.2.文档目的 (1)1.3.读者对象 (1)2. 登录系统 (2)2.1.静态口令认证登录 (2)2.2.字证书认证登录 (3)2.3.动态口令认证登录 (4)2.4.LDAP域认证登录 (5)2.5.单点登录工具 (5)3. 单点登录(SS0) (6)3.1.安装控件 (6)3.2.单点登录工具支持列表 (10)3.3.单点登录授权资源查询 (10)3.4.单点登录操作 (11)3.4.1.Windows资源类(域主机\域控制器\windows2003\2008) 113.4.2.Unix\Linux资源类 (14)3.4.3.数据库(独立)资源类 (18)3.4.4.ORACLE_PLSQL单点登录 (19)3.4.5.ORACLE_SQLDeveleper单点登录 (21)3.4.6.MSSQLServer2000查询分析器单点登录 (22)3.4.7.MSSQLServer2000 企业管理器单点登录 (24)3.4.8.SQL Server 2005 Management Studio单点登录 (25)3.4.9.SQL Server 2008 Management Studio单点登录 (26)3.4.10.Sybase Dbisqlg单点登录 (27)3.4.11.SQL-Front单点登录 (28)3.4.12.数据库(系统)资源类单点登录(DB2/informix) (30)3.4.13.网络设备(RADIUS\local\其他)资源类 (33)3.4.14.Web应用资源类 (36)1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。

它面向的对象是,企业的运维人员。

该模块是堡垒主机系统为运维人员提供的登录入口。

因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。

运维人员登录堡垒主机系统认证成功后,将不会继续认证。

从堡垒主机单点登录平台可以登录任意经过授权的资源。

堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。

1.2.文档目的堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。

在该模块中经常会有很多的问题出现。

通过该手册能够解决运维人员的常见问题。

1.3.读者对象本文档适用于企业运维人员使用。

2.登录系统系统登录主要的工作就是系统认证。

堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。

堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。

无论堡垒主机配置哪种认证方式,登录系统都需要在浏览器中输入服务地址。

例如:https://192.168.23.195。

在该例中,192.168.23.195为堡垒主机系统IP地址(堡垒主机系统出厂设置的管理IP为192.168.2.92)。

当在浏览器中输入示例容后,点击回车(堡垒主机配置双向认证时,如果需要域名方式访问的情况除外)系统自动转向到登录界面。

下面列举常见的几种常见的认证方式界面。

2.1.静态口令认证登录静态口令登录认证是最基本得认证方式,登录界面入图2.1.1所示。

图2.1.1用户需要输入用户名及口令后,点击登录按钮后登录系统。

2.2.字证书认证登录堡垒主机系统证书认证登录,支持的形式包括软证书认证,Usbkey证书认证两种。

这两种形式的唯一区别在于证书所依赖的存储截止不同。

Usbkey证书只是将证书导入Usb硬件Key中,安全性相应增加。

但无论证书以哪种方式存在,堡垒主机系统都会统一对待。

如图2.2.1所示,当自然人在浏览器地址栏中输入堡垒主机系统地址后,点击回车,弹出选择证书提示框。

图2.2.1此时用户需要选择所要使用的数字证书,点击确定按钮。

此例子选择名称为simper的证书,点击确定按钮,进入图2.2.2界面。

图2.2.2由于在上一操作步骤中选择的是名称为simper证书,所以堡垒主机系统此时自动将用户名锁定,禁止自然人修改登录用户名。

防止身份篡改。

此时,用户需要输入simper用户口令即可进行静态口令认证。

静态口令操作容请参考2.1章节。

2.3.动态口令认证登录动态口令认证是指可以通过OTP令牌方式通过堡垒认证登录。

认证界面如图2.3.1所示。

图2.3.1堡垒主机系统的动态口令登录认证,采用的是双因子认证方式。

也就是说,用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。

当两项认证都通过时才可以进入堡垒主机系统。

这一点与数字证书认证方式是类似的。

这种方式大大增强了系统登录的安全性。

2.4.LDAP域认证登录堡垒主机系统域认证是另外一种第三方认证方式。

堡垒主机系统将自身的部分系统认证交由第三方安全平台认证。

堡垒主机系统中将LDAP域口令的认证指派到LDAP服务器上。

LDAP域认证的操作界面入图2.4.1所示。

图2.4.1与动态口令的认证方式类似,域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过,此时才可以成功进入堡垒主机系统。

2.5.单点登录工具介绍完堡垒主机系统中常见的认证方式后,用户可能注意到图例中【工具下载】选项。

该选项为用户提供了部分的客户端工具,及堡垒主机系统SSO登录控件的下载。

点击【工具下载】选项弹出如图2.5.1所示界面。

图2.5.1图2.5.1只截取了部分的容,其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。

用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载,下载单点登录工具。

有关单点登录工具详细容请参见《堡垒主机系统运维工程师操作手册》。

3.单点登录(SS0)3.1.安装控件在元目录->帮助或登录页->帮助页面中按照如下操作方式安装控件。

如图3.1.1所示。

图3.1.1使用目标另存为下载相应控件,如图3.1.2和3.1.3所示。

图3.1.2图3.1.3 运行该安装程序。

如图3.1.4所示注意:为避免安装失败请关闭所有IE窗口图3.1.4 选择安装目录,如图3.1.5与图3.1.6所示图3.1.5图3.1.6可以选择要安装的路径,这里我们默认为当前路径,如图3.1.7所示。

图3.1.73.2. 单点登录工具支持列表资源类型windows资源mstsc ftpunix资源SecureCRT SecureNetTerm FTP SFTP Xwindow数据库(独立)oracle PL/SQLsqlserver2000查询分析器企业管理器sqlserver2005sqlserver2008sybase Sybase Dbisqlgmysql SQL-Front数据库(系统)DB2DB2控制中心INFORMIX Winsql网络设备(RADIUS)SecureCRT SecureNetTerm网络设备(LOCAL)SecureCRT SecureNetTerm支持的单点登录工具SQL Server 2005 Management StudioSQL Server 2008 Management Studio图3.2.1 3.3. 单点登录授权资源查询在SSO 列表界面点击 按钮进入添加命令策略界面,如图3.2.1.1所示,输入基本信息。

点击提交即完成查询操作。

如图3.3.1所示图3.3.1如图所示:【资源名称查询】依照资源名称进行查询。

【资源类型查询】依照资源类型进行查询,具体类型包括如下几种:如图3.3.2所示。

图3.3.2【资源IP查询】依照资源IP进行模糊查询。

3.4.单点登录操作3.4.1.Windows资源类(域主机\域控制器\windows2003\2008)图3.4.1.1在SSO列表界面中选择windows主机的按钮进入windows资源单点登录界面,如上图所示点击相应登录方式即完成对目标windwos资源的单点登录。

如图3.4.1.2所示。

图3.4.1.2如图所示:【资源IP选择】对于部分多IP设备可选择IP进行登录。

【控制台选择】等同于mstsc /admin或mstsc /console的控制台登录【RDP单点登录】点击并进行标准远程桌面的RDP登录【登录会话号登录】依照资源IP进行会话号方式的登录第一步:点击进入会话号页面,如图3.4.1.3所示图3.4.1.3第二步:在本机运行中输入mstsc如下图3.4.1.4所示:图3.4.1.4第三步:在弹出的远程桌面连接中输入页面看到的IP与会话号,会话号填在用户名的位置。

如图3.4.1.5所示:图3.4.1.5【RDP网页登录方式】无需安装单点登录控件的单点登录方式。

第一步:点击进入无插件RDP单点登录,第二步:点击后可见如图3.4.1.6所示:图3.4.1.6第三步:选择大小后点击按钮【vnc登录】参考【RDP登录方式】【vnc网页登录方式】参见【RDP网页登录方式】。

【windowsFTP登录方式】点击按钮进行FTP登录,并确保模式及编码选择正确。

如图3.4.1.7所示。

图3.4.1.7注意:本功能需要客户机安装SSO控件,并安装JRE。

【windowsFTP网页登录方式】点击可进行无插件FTP单点登录。

【windows文件共享登录方式】与【windowsFTP登录方式】相同【windows文件共享网页登录方式】与【windowsFTP网页登录方式】相同3.4.2.Unix\Linux资源类图3.4.1.8在SSO列表界面中选择相应Unix\Linux主机的按钮进入Unix\Linux 资源单点登录界面,如下图所示点击相应登录方式即完成对目标Unix\Linux资源的单点登录。

如图3.4.2.1所示。

图3.4.2.1【资源IP选择】对于部分多IP设备可选择IP进行登录。

【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录【CRT登录】点击并进行SecureCRT单点登录【NeTerm登录】点击并进行SecureNeT erm单点登录【会话号登录】获取单点登录目标资源的一次性会话号第一步:点击进入会话号页面,如图3.4.2.2所示。

图3.4.2.2第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP地址及用户名。

如图3.4.2.3所示。

图3.4.2.3第三步:将网页提供的密码作为登录密码进行登录。

如图3.4.2.4所示:图3.4.2.4【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,点击完成无插件单点登录。

【Unix\LinuxFTP登录方式】点击按钮进行FTP登录,并确保模式及编码选择正确。