碉堡堡垒机配置管理员手册.docx
《碉堡堡垒机配置管理员手册.docx》由会员分享,可在线阅读,更多相关《碉堡堡垒机配置管理员手册.docx(17页珍藏版)》请在冰豆网上搜索。
碉堡堡垒机配置管理员手册
碉堡用户操作手册
——配置管理员
北京维方通信息技术有限公司
目录
第一章用户手册概述4
1.1碉堡配置管理员权限.........4
1.2如何阅读本手册.................4
1.3手册阅读附加说明.............4
1.4适用版本.............................5
第二章用户管理5
2.1建立用户账户.....................5
2.2用户状态管理.....................6
2.3用户导入、导出7
2.4用户密码管理......................7
2.4.1密码长度8
2.4.2密码有效期8
2.4.3用户账户的安全8
第三章设备管理9
3.1设备添加流程......................9
3.2设备类型和服务..................10
3.3设备添加范例......................10
3.3.1如何添加ssh字符终端类设备10
3.3.2如何添加windows图形终端类设备11
3.4操作设备.............................12
3.4.1设备导入、导出13
3.4.2设备分组信息管理14
3.5设备修改15
第四章访问授权15
4.1添加规则.............................15
4.2操作授权.............................16
4.3修改授权17
第五章策略定义17
5.1描述信息.............................17
5.2操作描述信息.....................19
5.3策略信息.............................19
第1章用户手册概述
本手册是“碉堡堡垒主机”(以下简称“碉堡”)配置员使用手册,可作为碉堡的日常操作参考。
1.1碉堡配置管理员权限
配置管理员是碉堡中非常重要的一个角色。
其职责是对普通用户和设备、规则、策略定义进行全面的管理、对用户权限的控制、对设备访问的控制、对策略定义的控制。
具体如下:
用户角色
权限列表
碉堡配置员
1.完成以下基本控制任务:
添加角色、访问授权规则添加、设备管理、策略定义
2.管理访问控制
3.管理权限控制(字符设备命令防火墙)
4.SSH密钥异常管理
1.2如何阅读本手册
本手册各章节相互独立,您可选择感兴趣的章节进行阅读。
1.3手册阅读附加说明
红色字体表示操作中的关键点,例如:
用户管理—添加用户—填写信息
意为:
先点击“用户管理连接”,在出现的页面中再点击“添加用户连接”,在出现的页面中“填写信息”;
带下划线的文字
表示用户特别需要注意的内容,一般为注意事、提示和建议;
1.4适用版本
本手册依据碉堡V1.0撰写,适用于所有1.0分支版本。
第2章用户管理
配置管理员可配置管理以下用户账户:
碉堡配置员、普通用户、运维操作审计员、碉堡日志审计员,本章主要介绍用户账户的新建和操作。
2.1建立用户账户
本小节以添加一个普通用户为例介绍如何添加用户账户。
用户管理—添加用户,进入用户账户编辑页面。
按要求填写相关信息保存提交,如下图:
依次填写图中各项,其中:
必填项:
姓名、角色、用户名、密码;
可默认设置项:
状态(激活)、密码期限(永不过期);
其他均为填写项。
注意:
如勾选下次登录修改密码,下次登录时将进入密码修改页面,超级管理员如设置密码策略、账户锁定策略,将也对创建的用户有效。
2.2用户状态管理
用户状态分为如下四种:
激活:
“激活”状态下的用户账户才能登录“碉堡堡垒机”进行操作。
锁定:
锁定状态下的用户无法登录“碉堡堡垒机”。
注销:
注销能够删除该用户账户,注销的用户将不存在。
复制:
复制能在原有用户的基础上进行添加用户。
碉堡配置员可通过以下方式修改用户账户的状态。
●锁定某账户:
用户管理—更多操作页面选择要锁定的用户,点击更多操作选择锁定用户,点击执行把用户状态改为锁定。
如下图:
●激活某锁定账户:
用户管理—锁定的用户页面查看锁定用户,选择要激活的用户点击更多操作选择激活用户,将账户状态改为激活。
●注销某账户:
用户管理—更多操作页面选择需要注销的账户,点击更多操作选择注销用户,可注销选择用户。
●复制某用户:
用户管理—复制用户页面选择需要复制的账户,点击复制用户按钮复制用户,进入用户信息与登录信息页面填写相关信息,点击保存即可复制成功。
2.3用户导入、导出
用户管理—用户导入(用户导出)能将用户选择的用户导出,也可点击用户导入下载用户模板或点击浏览直接选择文件进行导入。
如下图:
2.4用户密码管理
碉堡配置员在新建用户时需要给用户设置密码,同时碉堡配置员也可修改用户密码。
用户管理—用户名称页面,点击用户名称进入账户编辑页面,密码设置见下图:
2.4.1密码长度
密码长度:
密码长度设置方式为超级管理员设置的密码策略。
设置后对所有用户有效。
2.4.2密码有效期
密码有效期:
●碉堡配置员可设置或修改用户的密码有效期。
如不设置有效期,则系统默认为永不过期;
●在密码过期前,用户可登录到“碉堡堡垒机”web界面修改自己账户的密码,系统默认过期后登录则进入密码修改界面;
2.4.3用户账户的安全
“碉堡堡垒机”主要通过检查用户密码强度和设置密码重试限制来加强用户账户的安全。
密码强度检查:
用户在登录后通过个人设置修改自己的密码时,diaobao会对用户修改的密码进行判断,如密码不符合强度要求,则修改密码失败,用户需重新设置密码。
如下图:
密码重试限制:
用户在登录时,一定时间内连续输错密码用户账户将被锁定。
连续输错次数可由超级管理员进行设定。
第3章设备管理
3.1设备添加流程
向“碉堡堡垒机”添加设备的最终目标是使普通用户可以在无需知道设备密码的条件下自动登录到设备,因此添加设备就是通过在“碉堡堡垒机”中登记设备的相关信息达到自动登录的的目的,以下是简要的流程:
1.收集设备信息包括:
设备IP、主机名、设备账号及密码、远程访问方式(RDP、SSH、Telnet、FTP、SFTP、X11、VNC);
2.填写设备名称和IP地址、选择设备类型
3.配置设备远程访问服务
4.建立系统账号和密码,进行登录测试。
具体根据设备类型不同,参考3.3
3.2设备类型和服务
添加设备时您需要选择正确的设备类型,“碉堡堡垒机”将根据您选择的设备类型配置对应的服务及各种默认参数。
“碉堡堡垒机”内置了7种设备类型,见下表:
设备类型
适用范围
服务列表
Windows主机
用于windows
RDP
Windows域控
用于windows
RDP
Windows域内主机
用于windows
RDP
Linux主机
用于各种linux设备,如:
Debian、Fedora、Gentoo、RedHat、SUSE、Ubuntu、RedFlag、CentOS等
SSH
Unix主机
用于各种UNIX设备,如IBMAIX、HP-UX、SUNSolaris、SCO等
SSH
网络设备(Radius)
用于交换机
Telnet
网络设备(Local)
用于交换机
Telnet
不同的设备类型有不同的服务列表,上表粗体字为默认服务。
3.3设备添加范例
3.3.1如何添加ssh字符终端类设备
第一步、添加设备填写基本信息:
设备管理—添加设备,进入设备编辑页面,填写以下信息。
设备名:
ceshi;
IP地址:
192.168.1.146;
设备类型:
Linux主机。
第二步、添加设备账号,选择授权端口以及测试连接,点击保存,如下图:
如上图输入设备名称,输入设备IP并点击“设备登录账号”下方的添加输入登陆账号与密码;
如上图填写设备登录账号、密码点击确定点击闪电图标
,如该设备可用则如下图:
如返回上图提示信息则表示该设备可用,点击保存添加该设备成功。
3.3.2如何添加windows图形终端类设备
第一步、添加设备填写基本信息:
设备管理—添加设备,进入设备编辑页面,填写以下信息。
设备名:
ceshi;
IP地址:
192.168.1.1;
设备类型:
windows主机。
第二步、添加设备账号,选择授权端口以及测试连接,点击保存,如下图:
填写完毕后点击授权端口后的闪电图标
测试连接是否成功,如下图:
如返回结果如上图则表示连接测试成功;点击设备登录账号下方的添加按钮添加登录设备账号;
添加成功后点击保存,则该设备添加成功。
3.4操作设备
锁定设备:
锁定设备后将锁定该资源。
删除设备:
删除设备后将无法进行单点登录
激活设备:
激活设备会激活该设备资源
生成密码信封:
将会把该设备基本信息打印或存入电脑。
●锁定某设备:
设备管理—更多操作,选择锁定设备,勾选设备名称,点击执行,如下图:
●激活某设备:
设备管理—更多操作,选择激活设备,勾选设备名称,点击执行
●删除某设备:
设备管理—更多操作,选择删除设备,勾选设备名称,点击执行
●生成密码信封:
设备管理—更多操作,选择生成密码信封,勾选设备名称,点击执行,点击密码信封历史记录,打印或导出下载。
3.4.1设备导入、导出
设备管理—设备导出(设备导入)勾选设备名称点击设备导出即可将选择的设备信息导出到本地电脑上;点击设备导入,可点击设备模板下载,自己添加信息也可点击浏览上传电脑中已有的设备信息。
如下图:
3.4.2设备分组信息管理
设备管理—设备分组信息管理进入设备分组编辑页面。
●添加根:
设备管理—设备分组信息管理—添加根填写根组名称,点击保存。
●添加同级:
设备管理—设备分组信息管理—添加同级填写信息,点击保存。
如下图:
●添加下级:
设备管理—设备分组信息管理—添加下级填写信息,点击保存。
●修改信息:
设备管理—设备分组信息管理—修改信息填写修改信息,点击保存。
●删除:
设备管理—设备分组信息管理—删除选择节点,点击删除
3.5设备修改
修改设备:
进入设备管理界面,单击需要修改的设备蓝色字体名称可进入修改相应设备基本信息的界面。
第4章访问授权
4.1添加规则
访问授权—添加规则进入添加规则界面输入规则名,单击选择添加用户信息、设备信息、策略信息
●用户信息:
单击选择添加授权用户,用户获得授权后才可访问资源。
●基本信息:
规则名称与规则备注。
●设备信息:
单击选择添加设备,添加设备后系统才能获得该设备的资源。
●策略信息:
单击选择添加策略,添加策略后可以提高单点登录的安全性,防止恶意操作。
如下图:
必填项:
规则名称。
其他项为默认项,默认不填写。
注意:
如不填写任意一个用户信息、设备信息、策略信息;该规则将完全无效。
4.2操作授权
●锁定规则:
访问授权—更多操作勾选规则名称,点击更多操作选择锁定规则,点击执行。
如下图:
●激活规则:
访问授权—更多操作勾选规则名称,点击更多操作选择激活规则,点击执行。
●注销规则:
访问授权—更多操作勾选规则名称,点击更多操作选择注销规则,点击执行。
附:
规则被注销后将无法进行单点登录。
4.3修改授权
访问授权—规则名称点击规则名称进入规则编辑界面,对规则进行修改,点击保存。
如下图:
第5章策略定义
5.1描述信息
策略定义下的描述信息由指令字定义、访问时间定义、源地址定义三部分组成。
●指令字定义:
策略定义—指令字定义—添加指令定义进入指令定义信息界面,输入定义名称、添加指令字,点击保存。
如下图:
●访问时间定义:
策略定义—访问时间定义定义—添加时间定义进入时间定义信息界面,输入定义名称、选择时间,点击保存。
●源地址定义:
策略定义—源地址定义—添加地址定义进入地址定义信息界面,输入定义名称、添加地址,点击保存。
5.2操作描述信息
策略定义—描述信息—更多操作勾选定义名称前的选框,点击更多操作选择启用、禁止、删除操作,点击执行。
如下图:
5.3策略信息
策略信息由允许策略和禁止策略组成,允许策略和禁止策略由指令字定义、访问时间定义、源地址定义组成。
●允许策略:
策略定义—允许策略—添加允许策略进入允许策略信息界面,输入策略名称、添加时间定义、源地址定义或指令字的定义;点击保存。
如下图:
●禁止策略:
策略定义—禁止策略—添加禁止策略进入禁止策略信息界面,输入策略名称、添加时间定义、源地址定义或指令字定义,点击保存。
升级会员 