齐治堡垒机操作手册Word格式.docx

齐治堡垒机操作手册Word格式.docx

《齐治堡垒机操作手册Word格式.docx》由会员分享，可在线阅读，更多相关《齐治堡垒机操作手册Word格式.docx（27页珍藏版）》请在冰豆网上搜索。

2.2.1条件准备11

2.2.2添加设备11

2.2.3设置密码12

2.3网络设备（Telnet）13

2.3.1条件准备13

2.3.2添加设备13

2.3.3设置null账号密码14

2.3.4设置特权模式（enbale）密码15

第三章建立访问控制规则（配置管理员）16

3.1新建规则17

3.2关联用户账户17

3.3关联设备18

3.4关联系统账号18

第四章设备访问（普通用户）19

4.1环境准备19

4.2图形设备19

4.3设备访问19

4.4字符终端设备访问（Telnet、SSH）23

4.5Web终端23

4.6第三方SSH客户端24

第五章操作审计（审计管理员）27

5.1字符会话审计27

5.1.1命令列表式查看28

5.1.2命令回放28

5.1.3命令查询29

5．2图形会话审计29

5.2.1会话列表30

5.2.2会话审计30

第一章建立用户账户

1.1首次访问与默认用户账号

Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https:

//Shterm堡垒机IP地址即可，如：

https:

//10.8.251.70,

由于采用SSL技术，首次访问会出现证书错误提示，如下图：

此时点击“继续浏览此”，将出现Shterm的登录页面。

如下图：

Shterm默认管理员账号和密码均为小写“shterm”，输入用户名和密码后回车即可登录到Shterm操作界面，如下图：

1.2添加用户账号、分配用户角色

使用缺省管理员登录到Shterm，并打开基本控制-用户账户菜单，如下图：

点击“新建用户”，进入用户设置界面：

这里不需要填写全部容，但必须设置标有红色*号项，其他可根据实际情况确定是否需要填写即可：

●登录名：

登录Shterm的用户ID，可以使用数字、字母或.-_等符号，但不能以.-_符号开头作为用户名，例如这里我们设置成admin；

密码：

选择手动输入或自动设置，默认选择手动输入，依次在设置密码和确认密码栏中输入两次密码；

●权限：

系统默认有4类管理员，分别负责不同的角色，可以将不同的角色权限分配给不同用户，也可以多个管理员权限分配给同一个用户，可根据公司实际情况分配权限，例如我们这里将所有权限分配给admin这个，将这四个管理员选项都勾选上。

1.3建立普通用户账号

因为“普通用户”只有“配置管理员”的账户才有权限添加，因此需要使用配置管理员重新登陆Shterm，例如刚才建立的admin，并打开基本控制-用户菜单，点击新建用户：

与上文中方法一样，建立一个名为user的用户账户，设置其权限为“普通用户”，如下图：

建立完毕后如图：

1.4快速身份切换

如果一个用户具有多个权限，则可以在控制台中快速切换用户身份，例如从超级管理员切换成配置管理员，将鼠标移动到右上角下图位置上，选择相应的权限用户即可完成身份的切换：

第二章添加目标设备（配置管理员）

2.1Windows设备（RDP）

2.1.1条件准备

进行本章您需要有准备一台符合以下条件的windows设备作为目标设备：

●Windows2012/2016（需开启RDP服务）以及系统账号和密码

●Windows服务器IP地址和RDP端口（IP可达，端口可访问）

2.1.2添加设备

利用admin账号登陆，点击基本控制-目标设备-新建，弹出新增设备配置页面

填写设备名、IP地址、选择设备类型为“MicrosoftWindows”后点击确定，如下图：

系统进入添加设备更多选项界面，如果RDP端口不是默认端口，请点击服务列表，在RDP服务项上点击编辑即可修改；

如果需要启用RDP的Console模式或客户端磁盘映射，请勾选上相应选项。

在服务列表里会看到访问该目标设备所使用的协议类型和协议名称，需要新建访问协议的话可以在右上角选择相应的协议，然后选择新增按钮。

点击编辑查看已有访问协议的基本属性，如下图：

2.1.3设置密码

点击密码管理设置该设备的系统账号密码，如下图：

提示：

Shterm默认仅置了6个常用系统账号，如果列表中没有对应的系统账号，可以在基本控制-系统账号中添加。

找到对应的系统账号，点击新建，输入相应的密码或Domain信息，如下图：

接下来建议测试验证一下系统密码和相关配置是否正确，请点击登录测试

如果在验证登录过程中，弹出安全警告信息，请勾选上“始终信任此发行者的容（A）”，并选择是

当出现目标设备桌面，表示配置和密码正确，如下图所示：

到此一台windows设备已经添加完毕。

2.2Linux设备（SSH、Xwindows）

2.2.1条件准备

●设备类型，IP地址及访问端口。

●系统账号和密码

2.2.2添加设备

以下以添加一台通过SSH协议访问的CentOS设备为例，说明具体步骤

打开基本控制-目标设备-新建，注意选择设备类型为GeneralLinux，完成后点击确定。

特权账号保持默认的root，点击服务列表，确保字符终端（ssh）和图像终端（xdmcp）在列表中。

如图：

2.2.3设置密码

点击密码管理，为设备设置系统账号密码，如下图：

输入账号密码后，点击确定。

完成后请进行登录测试，测试结果如图：

2.3网络设备（Telnet）

2.3.1条件准备

●设备类型，IP地址，访问端口。

●telnet密码和特权模式密码（分别对应null账号密码和enable账号密码）

2.3.2添加设备

以下以添加一台Cisco路由器为例说明具体步骤，

打开基本控制-目标设备-新建，如下图：

注意选择设备类型为CiscoIOSDevice，完成后点击确定。

注意特权账号为enable和服务列表中有telnet。

点击确定，如下图：

2.3.3设置null账号密码

关于null账号这是Shterm置的一种系统账号，用于Cisco等无需用户名仅需输入密码即可登录的设备。

点击密码管理，选择null账号新建密码，如下图：

完成后点击确定，并进行登录测试，测试结果如图：

2.3.4设置特权模式（enbale）密码

在密码管理中选择enable并点击新建，如下图：

设置enable切换自null，并设置密码后点击确定，进行登录测试，测试结果如图：

第三章建立访问控制规则（配置管理员）

用户账号，目标设备和系统账号都添加好了之后，我们需要建立一些访问规则让用户直接通过Shterm来登陆到设备中。

3.1新建规则

打开权限控制-访问控制-新建，如下图：

设置规则名称和选择服务类型和协议，例如这里我们选择RDP和FTP，完成后点击确定。

3.2关联用户账户

点击规则后的用户，这里的用户指的是登录Shterm系统的用户账号（非操作系统）。

选择需要关联的账号后点击建立关联，至此这个用户可以访问该规则中定义的设备或设备组，如下图中user用户。

3.3关联设备

点击新建规则后的设备按钮，弹出设备选择页面，如下图：

选择设备后，点击建立关联，即可将设备加入到该规则中。

3.4关联系统账号

点击规则后的系统账号，添加需要登录目标设备使用的系统。

如果需要的系统没在列表中，请先在基本控制-系统中添加相关信息。

勾选需要关联的账号，点击建立关联。

关于self，该账号用于用户账户和系统账号相同时，self表示用用户账户密码登录目标设备，一般用于windows域环境。

Any表示需要在目标设备登录界面手动输入登录系统和密码，不帮助用户代填任何信息。

至此，一条完整的访问权限规则定义完成，如下图所示：

第四章设备访问（普通用户）

Shterm只能让普通用户访问设备，所以登陆刚刚新建的user账号。

4.1环境准备

●浏览器：

MicrosoftInternetExplorer8.0或以上（也可以是以其为核其他浏览器）、MozillaFirefox、GoogleChrome或者Netscape7.2以上版本；

●JRE：

安装Java™RuntimeEnvironment，版本不低于6u5，Windows用户可以访问Shterm的右上角?

-工具下载，下载并安装。

其他平台用户可访问.java.下载对应版本；

4.2图形设备

普通用户登录Shterm将自动打开最近访问列表，如果是首次访问列表将为空。

4.3设备访问

打开设备访问，点击左边管理员分配给用户具体的访问规则，将会在右边展示出该规则下用户能访问的具体设备，如下图：

点击右边窗口中具体设备名，将列出该设备提供的服务信息。

如果直接用鼠标左键点击具体服务图标，将会以默认的参数启动相关服务；

如果需要修改默认参数，可以使用鼠标右键点击出现的小图标，会出现高级菜单（如下图），例如下图Windows图形界面的访问有两个选项可以选择：

console和mstsc，下面会进行详细说明。

Windows设备可设置访问使用的系统账号、屏幕分辨率和需要映射的本地磁盘。

点击启动即可，访问设备，如下图：

关于图形设备操作更多容见下文。

勾选console访问目标设备，实际上就是调用windows本地的console，界面的效果就是看到windows的本地界面，如下图（我在目标设备上已经打开了一些窗口）：

勾选mstsc则是调用本地的mstsc程序远程会话功能。

效果如下：

4.4字符终端设备访问（Telnet、SSH）

对于字符终端设备Shterm支持web终端方式和第三方SSH客户端两种方式访问。

4.5Web终端

默认的web终端是jterm，您也可以设置为putty（详细设置参考超级管理员手册关于系统策略中的相关配置）。

用普通用户登录Shterm后，选择左边规则名后，将在右边显示具体的设备名称，如下图：

点击要访问设备，将展开该设备能访问提供的服务。

在相应字符服务图标上右击鼠标右键，在弹出窗口中可选择系统账号和终端大小，如下图：

点击启动，即可访问该设备：

可使用Ctrl-Ins进行复制、Shift-Ins进行粘贴。

4.6第三方SSH客户端

任何支持SSH2协议的客户端工具均可通过Shterm访问字符终端设备，如Putty、OpenSSH、SecureCRT等。

我们以SecureCRT为例进行介绍。

打开SecureCRT，在这里设置连接的Shterm主机的地址和登录的用户名。

Shterm会限制访问GeneralLinux时的终端类型为Xterm，因此建议将该值设置为Xterm。

登录后将出现选择菜单，用户需要依次选择访问组、设备和系统账号，如果以上三者中的某一项仅有一个选项，系统将自动选择。

上图中为通过SecureCRT访问Linux系统组中的CentOS设备，并以root身份登录。

第五章操作审计（审计管理