齐治堡垒机操作手册Word文档下载推荐.docx
《齐治堡垒机操作手册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《齐治堡垒机操作手册Word文档下载推荐.docx(28页珍藏版)》请在冰豆网上搜索。
添加用户账号、分配用户角色
使用缺省管理员帐号登录到Shterm,并打开基本控制-用户账户菜单,如下图:
点击“新建用户”,进入用户帐号设置界面:
这里不需要填写全部内容,但必须设置标有红色*号项,其他可根据实际情况确定是否需要填写即可:
登录名:
登录Shterm的用户ID,可以使用数字、字母或.-_等符号,但不能以.-_符号开头作为用户名,例如这里我们设置成admin;
密码:
选择手动输入或自动设置,默认选择手动输入,依次在设置密码和确认密码栏中输入两次密码;
权限:
系统默认有4类管理员,分别负责不同的角色,可以将不同的角色权限分配给不同用户,也可以多个管理员权限分配给同一个用户,可根据公司实际情况分配权限,例如我们这里将所有权限分配给admin这个帐号,将这四个管理员选项都勾选上。
建立普通用户账号
因为“普通用户”只有“配置管理员”的账户才有权限添加,因此需要使用配置管理员重新登陆Shterm,例如刚才建立的admin,并打开基本控制-用户帐号菜单,点击新建用户:
与上文中方法一样,建立一个名为user的用户账户,设置其权限为“普通用户”,如下图:
建立完毕后如图:
快速身份切换
如果一个用户具有多个权限,则可以在控制台中快速切换用户身份,例如从超级管理员切换成配置管理员,将鼠标移动到右上角下图位置上,选择相应的权限用户即可完成身份的切换:
第二章添加目标设备(配置管理员)
Windows设备(RDP)
条件准备
进行本章您需要有准备一台符合以下条件的windows设备作为目标设备:
Windows2012/2016(需开启RDP服务)以及系统账号和密码
Windows服务器IP地址和RDP端口(IP可达,端口可访问)
添加设备
利用admin账号登陆,点击基本控制-目标设备-新建,弹出新增设备配置页面
填写设备名、IP地址、选择设备类型为“MicrosoftWindows”后点击确定,如下图:
系统进入添加设备更多选项界面,如果RDP端口不是默认端口,请点击服务列表,在RDP服务项上点击编辑即可修改;
如果需要启用RDP的Console模式或客户端磁盘映射,请勾选上相应选项。
在服务列表里会看到访问该目标设备所使用的协议类型和协议名称,需要新建访问协议的话可以在右上角选择相应的协议,然后选择新增按钮。
点击编辑查看已有访问协议的基本属性,如下图:
设置密码
点击密码管理设置该设备的系统账号密码,如下图:
提示:
Shterm默认仅内置了6个常用系统账号,如果列表中没有对应的系统账号,可以在基本控制-系统账号中添加。
找到对应的系统账号,点击新建,输入相应的密码或Domain信息,如下图:
接下来建议测试验证一下系统帐号密码和相关配置是否正确,请点击登录测试
如果在验证登录过程中,弹出安全警告信息,请勾选上“始终信任此发行者的内容(A)”,并选择是
当出现目标设备桌面,表示配置和密码正确,如下图所示:
到此一台windows设备已经添加完毕。
Linux设备(SSH、Xwindows)
设备类型,IP地址及访问端口。
系统账号和密码
以下以添加一台通过SSH协议访问的CentOS设备为例,说明具体步骤
打开基本控制-目标设备-新建,注意选择设备类型为GeneralLinux,完成后点击确定。
特权账号保持默认的root,点击服务列表,确保字符终端(ssh)和图像终端(xdmcp)在列表中。
如图:
点击密码管理,为设备设置系统账号密码,如下图:
输入账号密码后,点击确定。
完成后请进行登录测试,测试结果如图:
网络设备(Telnet)
设备类型,IP地址,访问端口。
telnet密码和特权模式密码(分别对应null账号密码和enable账号密码)
以下以添加一台Cisco路由器为例说明具体步骤,
打开基本控制-目标设备-新建,如下图:
注意选择设备类型为CiscoIOSDevice,完成后点击确定。
注意特权账号为enable和服务列表中有telnet。
点击确定,如下图:
设置null账号密码
关于null账号这是Shterm内置的一种系统账号,用于Cisco等无需用户名仅需输入密码即可登录的设备。
点击密码管理,选择null账号新建密码,如下图:
完成后点击确定,并进行登录测试,测试结果如图:
设置特权模式(enbale)密码
在密码管理中选择enable并点击新建,如下图:
设置enable切换自null,并设置密码后点击确定,进行登录测试,测试结果如图:
第三章建立访问控制规则(配置管理员)
用户账号,目标设备和系统账号都添加好了之后,我们需要建立一些访问规则让用户直接通过Shterm来登陆到设备中。
新建规则
打开权限控制-访问控制-新建,如下图:
设置规则名称和选择服务类型和协议,例如这里我们选择RDP和FTP,完成后点击确定。
关联用户账户
点击规则后的用户,这里的用户指的是登录Shterm系统的用户账号(非操作系统帐号)。
选择需要关联的账号后点击建立关联,至此这个用户帐号可以访问该规则中定义的设备或设备组,如下图中user用户。
关联设备
点击新建规则后的设备按钮,弹出设备选择页面,如下图:
选择设备后,点击建立关联,即可将设备加入到该规则中。
关联系统账号
点击规则后的系统账号,添加需要登录目标设备使用的系统帐号。
如果需要的系统帐号没在列表中,请先在基本控制-系统帐号中添加相关帐号信息。
勾选需要关联的账号,点击建立关联。
关于self,该账号用于用户账户和系统账号相同时,self表示用用户账户密码登录目标设备,一般用于windows域环境。
Any帐号表示需要在目标设备登录界面手动输入登录系统帐号和密码,不帮助用户代填任何帐号信息。
至此,一条完整的访问权限规则定义完成,如下图所示:
第四章设备访问(普通用户)
Shterm只能让普通用户访问设备,所以登陆刚刚新建的user账号。
环境准备
浏览器:
MicrosoftInternetExplorer或以上(也可以是以其为内核其他浏览器)、MozillaFirefox、GoogleChrome或者以上版本;
JRE:
安装Java™RuntimeEnvironment,版本不低于6u5,Windows用户可以访问Shterm的右上角-工具下载,下载并安装。
其他平台用户可访问下载对应版本;
图形设备
普通用户登录Shterm将自动打开最近访问列表,如果是首次访问列表将为空。
设备访问
打开设备访问,点击左边管理员分配给用户具体的访问规则,将会在右边展示出该规则下用户能访问的具体设备,如下图:
点击右边窗口中具体设备名,将列出该设备提供的服务信息。
如果直接用鼠标左键点击具体服务图标,将会以默认的参数启动链接相关服务;
如果需要修改默认参数,可以使用鼠标右键点击出现的小图标,会出现高级菜单(如下图),例如下图Windows图形界面的访问有两个选项可以选择:
console和mstsc,下面会进行详细说明。
Windows设备可设置访问使用的系统账号、屏幕分辨率和需要映射的本地磁盘。
点击启动即可,访问设备,如下图:
关于图形设备操作更多内容见下文。
勾选console访问目标设备,实际上就是调用windows本地的console,界面的效果就是看到windows的本地界面,如下图(我在目标设备上已经打开了一些窗口):
勾选mstsc则是调用本地的mstsc程序远程会话功能。
效果如下:
字符终端设备访问(Telnet、SSH)
对于字符终端设备Shterm支持web终端方式和第三方SSH客户端两种方式访问。
Web终端
默认的web终端是jterm,您也可以设置为putty(详细设置参考超级管理员手册关于系统策略中的相关配置)。
用普通用户登录Shterm后,选择左边规则名后,将在右边显示具体的设备名称,如下图:
点击要访问设备,将展开该设备能访问提供的服务。
在相应字符服务图标上右击鼠标右键,在弹出窗口中可选择系统账号和终端大小,如下图:
点击启动,即可访问该设备:
可使用Ctrl-Ins进行复制、Shift-Ins进行粘贴。
第三方SSH客户端
任何支持SSH2协议的客户端工具均可通过Shterm访问字符终端设备,如Putty、OpenSSH、SecureCRT等。
我们以SecureCRT为例进行介绍。
打开SecureCRT,在这里设置连接的Shterm主机的地址和登录的用户名。
Shterm会限制访问GeneralLinux时的终端类型为Xterm,因此建议将该值设置为Xterm。
登录后将出现选择菜单,用户需要依次选择访问组、设备和系统账号,如果以上三者中的某一项仅有一个选项,系统将自动选择。
上图中为通过SecureCRT访问Linux系统组中的CentOS设备,并以root身份登录。
第五章操作审计(审计管理员)
本章内容需要使用审计管理员账户进行。
字符会话审计
依次打开会话审计-字符会话,如下图:
Shterm将自动打开当天的字符会话记录,其中状态栏为活动的表示这是一个活动会话,对于活动的会话可点击中断切断该会话,点击实时可实时监控该会话。
如果需要查看其它日期会话,选择对应日期,再根据实际情况选择过滤条件,点击提交即可查看选定日期的会话记录。
命令列表式查看
点击任何会话后的命令按钮将显示该会话执行的全部命令列表,如下图:
其中最左边有字母P表示从该命令开始回放;
+表示该命令有输出,点击后显示输出,并变为-。
红色表示此条命令禁止为命令防火墙禁止的
点击右上角的全部展开可展开所以命令输出,全部收拢可收拢。
命令回放
点击任何会话后的回放按钮可完整回放该会话,如下图:
回放过程中,按下空格键可按每键盘输入回放、按下回车可按每命令输入回放。
命令查询
依次打开会话审计-选择相应会话类型-命令查询,如下图:
根据实际需要设置过滤条件和关键词后可对操作日志进行全文检索
下图为其中一条检索结果:
5.2图形会话审计
依次打开会话审计-图形会话,如下图:
会话列表
Shterm默认显示当天的会话列表,如果需要查看其它日期的会话可通过选择其他时间段,按提交即可查询,也可以设置如用户、设备、类型等过滤条件进行查询。
会话审计
对于活动的会话,可通过Shterm进行详细、播放、实时监控、切断等操作,如下图所示:
点击详细,可查看会话详细记录并下载会话记录:
对于状态处于关闭的非活动会话则只可执行详细、播放操作。
关于以上操作说明:
播放:
在线播放操作日志
下载:
下载操作日志文件,下载后可离线播放,离线播放需要安装,审计管理员可访问右上角下拉菜单中的工具下载,下载并安装。
实时监控:
实时监控活动会话
切断:
切断活动会话
缩略图:
查看会话缩略图,Shterm对已关闭的会话建立缩略图,按照日志文件的大小每500KB取一张缩略图。
用户查看缩略图时可点击任何缩略图从相应的时间点开始回放
升级会员 