天融信堡垒机配置文档
- 格式:doc
- 大小:3.18 MB
- 文档页数:18
安全运维审计配置手册
自然人:登录堡垒机使用的账号
资源:需要堡垒机管理的服务器、网络设备等等
从账号:资源本身的账号,即登录资源使用的账号
岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系
个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合
密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码
组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解
目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录
堡垒机使用前准备
1、访问堡垒机页面前浏览器配置
堡垒机使用ie浏览器访问,并需要配置加密协议
2、访问堡垒机页面,并下载安装标准版控件
注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许
管理员对堡垒机的管理操作
堡垒机管理员在管理堡垒机的时侯步骤如下:
1、添加堡垒机用户
2、添加资源(需要堡垒机管理的设备)
3、创建岗位(给资源划分组)
4、如果需要密码代填功能可以将资源的账号绑定到对应资源中
5、将岗位与堡垒机用户关联(将资源组给运维人员)
1、用户管理模块创建自然人
1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文
2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码
3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号
2、资源管理模块添加资源
添加windows资源
添加资源的账号
此处的账号是被管设备的账号,如果需要使用密码代填功能,可以将账号添加到堡垒机里面,如果不需要代填功能,此处可以略过,由于各类资源添加账号造的方式一样,此处仅以windows资源为例
添加linux资源
添加网络设备(通过ssh或者telnet管理)
添加安全设备(需要浏览器管理)
注:
1、应用地址(域名)端口处默认http对应80端口,https对应443端口,如果对应设
备端口有改动,请输入对应的访问端口即可
2、登陆(URL)此处默认填写“/”即可,如果有的设备访问的时候必须加上一个索引
关键字才能访问的花,可以在“/”后面加上对应的关键字
3、应用发布服务器需要点击添加按钮找到服务器并选择administrator账号,并绑定(这
里的administrator账号在别处都是这么实施的,至于是一定要使用administrator账号,还是使用具有管理员权限的账号就行这个没有明确的规定,建议使用administrator账
号)
4、这里的administrator账号不对任何人开放,只是访问bs资源的时候会用到,只有堡垒机可以调用
3、创建岗位将资源分类,并将资源绑定到特定的岗位
注:
1、岗位是资源的集合,可以理解为资源分组,可以将资源分为不同的组并分配给不同的人员
2、岗位绑定资源后如果需要这个分组中的某个资源在运维人员登陆的时候直接由堡垒机代填密码的话可以将资源对应的账号绑定上
3、如果运维人员登陆资源的时候需要手动输入用户名密码的话不需要绑定账号
2、将岗位授权给自然人
注:
1、此处的作用就是将资源授权给运维人员
2、绑定岗位的操作还可在用户管理模块每个用户后方岗位按钮处操作
3、如果需要密码代填功能,在创建岗位的时候
或者个人岗位授权的时候可以进行账号的绑定
操作
如何实现一些特殊功能
1、实现密码代填
密码代填功能就是运维人员在通过堡垒机管理资源的时候可以通过堡垒机代填用户名密码直接登陆使用
具体配置步骤:
1、岗位(分组)绑定资源
2、在岗位中对应的资源账号处绑定资源的账号
3、将岗位授权给堡垒机运维人员对应的账号
2、实现不同的人管理不同的资源(即给不同的人分组)
具体配置步骤:
1、岗位(分组)绑定资源
2、将岗位授权给堡垒机运维人员对应的账号
运维人员操作
运维人员登陆堡垒机后的操作如下:
1、使用个人的堡垒机账号登陆到堡垒机
2、堡垒机页面会显示该用户能管理的设备
3、点击需要远程登陆的设备后面的配置登陆按钮
4、选择相应的登陆方式进行登陆操作
1、使用个人的堡垒机账号登陆到堡垒机
2、堡垒机页面会显示该用户能管理的设备
资源的显示是以岗位的形式进行分组的,点击相应的岗位名称能够跳转到相应的资源列表
3、点击需要远程登陆的设备后面的配置登陆按钮
4、选择相应的登陆方式进行登陆操作
图片以Linux设备为例,堡垒机默认会按照资源类型的不同匹配不同的远程协议,此处Linux 设备它匹配了ssh2、ssh1以及telnet协议,用户可根据需要选择对应的协议进行远程。