《2022年碉堡堡垒机-配置管理员手册 .pdf》由会员分享,可在线阅读,更多相关《2022年碉堡堡垒机-配置管理员手册 .pdf(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、碉堡用户操作手册配置管理员北京维方通信息技术有限公司名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 20 页 - - - - - - - - - 碉堡堡垒机 2 目 录第一章用户手册概述. 错误!未定义书签。1.1 碉堡配置管理员权限. . 错误!未定义书签。1.2 如何阅读本手册. . 错误!未定义书签。1.3 手册阅读附加说明. . 错误!未定义书签。1.4 适用版本 . . 错误!未定义书签。第二章用户管理 . 错误!未定义书签。2.1 建立用户账户. . 错误!未
2、定义书签。2.2 用户状态管理. . 错误!未定义书签。2.3 用户导入、导出. 错误!未定义书签。2.4 用户密码管理. . 错误!未定义书签。2.4.1 密码长度 . 错误!未定义书签。2.4.2 密码有效期 . 错误!未定义书签。2.4.3 用户账户的安全. 错误!未定义书签。第三章设备管理 . 错误!未定义书签。3.1 设备添加流程. . 错误!未定义书签。3.2 设备类型和服务. . 错误!未定义书签。3.3 设备添加范例. . 错误!未定义书签。3.3.1 如何添加ssh字符终端类设备. 错误!未定义书签。3.3.2 如何添加windows 图形终端类设备. 错误!未定义书签。3.
3、4 操作设备 . . 错误!未定义书签。3.4.1 设备导入、导出. 错误!未定义书签。3.4.2 设备分组信息管理. 错误!未定义书签。3.5 设备修改 . 错误!未定义书签。第四章访问授权 . 错误!未定义书签。4.1 添加规则 . . 错误!未定义书签。4.2 操作授权 . . 错误!未定义书签。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 20 页 - - - - - - - - - 碉堡堡垒机 3 4.3 修改授权 . 错误!未定义书签。第五章策略定义 . 错
4、误!未定义书签。5.1 描述信息 . . 错误!未定义书签。5.2 操作描述信息. . 错误!未定义书签。5.3 策略信息 . . 错误!未定义书签。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 20 页 - - - - - - - - - 碉堡堡垒机 4 第一章用户手册概述本手册是“碉堡堡垒主机” (以下简称“碉堡” )配置员使用手册,可作为碉堡的日常操作参考。1.1 碉堡配置管理员权限配置管理员是碉堡中非常重要的一个角色。其职责是对普通用户和设备、规则、策略定义进行
5、全面的管理、对用户权限的控制、对设备访问的控制、对策略定义的控制。具体如下:用户角色权限列表碉堡配置员1.完成以下基本控制任务:添加角色、访问授权规则添加、设备管理、策略定义2.管理访问控制3.管理权限控制(字符设备命令防火墙)4.SSH密钥异常管理1.2 如何阅读本手册本手册各章节相互独立,您可选择感兴趣的章节进行阅读。1.3 手册阅读附加说明红色字体 表示操作中的关键点,例如:用户管理 添加用户 填写信息意为:先点击“用户管理连接”,在出现的页面中再点击“添加用户连接”,在出现的页面中“填写信息” ;带下划线的文字表示用户特别需要注意的内容,一般为注意事、提示和建议;名师资料总结 - -
6、-精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 20 页 - - - - - - - - - 碉堡堡垒机 5 1.4 适用版本本手册依据碉堡V1.0 撰写,适用于所有1.0 分支版本。第二章用户管理配置管理员可配置管理以下用户账户:碉堡配置员、普通用户、运维操作审计员、碉堡日志审计员,本章主要介绍用户账户的新建和操作。2.1 建立用户账户本小节以添加一个普通用户为例介绍如何添加用户账户。用户管理 添加用户 , 进入用户账户编辑页面。按要求填写相关信息保存 提交,如下图:依次填写图中各项,其中:
7、必填项 :姓名、角色、用户名、密码;可默认设置项 :状态(激活) 、密码期限(永不过期);其他均为填写项。注意 :如勾选下次登录修改密码,下次登录时将进入密码修改页面,超级管理员如设置密码策略 、账户锁定策略 ,将也对创建的用户有效。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 20 页 - - - - - - - - - 碉堡堡垒机 6 2.2 用户状态管理用户状态分为如下四种:激活 : “激活”状态下的用户账户才能登录“碉堡堡垒机”进行操作。锁定 :锁定状态下的用户
8、无法登录“碉堡堡垒机”。注销 :注销能够删除该用户账户,注销的用户将不存在。复制 :复制能在原有用户的基础上进行添加用户。碉堡配置员可通过以下方式修改用户账户的状态。锁定某账户: 用户管理 更多操作 页面选择要锁定的用户,点击 更多操作 选择锁定用户,点击执行把用户状态改为锁定 。如下图:激活某锁定账户: 用户管理 锁定的用户 页面查看锁定用户,选择要激活的用户点击 更多操作 选择激活用户,将账户状态改为激活。注销某账户: 用户管理 更多操作 页面选择需要注销的账户,点击 更多操作 选择注销用户,可注销选择用户。复制某用户: 用户管理 复制用户 页面选择需要复制的账户,点击 复制用户 按钮复制
9、用户,进入用户信息与登录信息页面填写相关信息,点击保存即可复制成功。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 20 页 - - - - - - - - - 碉堡堡垒机 7 2.3 用户导入、导出用户管理 用户导入(用户导出)能将用户选择的用户导出,也可点击用户导入 下载用户模板或点击浏览直接选择文件进行导入。如下图:2.4 用户密码管理碉堡配置员在新建用户时需要给用户设置密码,同时碉堡配置员也可修改用户密码。用户管理 用户名称 页面,点击用户名称进入账户编辑页面,密
10、码设置见下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 20 页 - - - - - - - - - 碉堡堡垒机 8 2.4.1 密码长度密码长度 :密码长度设置方式为超级管理员 设置的 密码策略 。设置后对所有用户有效。2.4.2 密码有效期密码有效期:碉堡配置员可设置或修改用户的密码有效期。如不设置有效期,则系统默认为永不过期;在密码过期前,用户可登录到“碉堡堡垒机”web 界面修改自己账户的密码,系统默认过期后登录则进入密码修改界面;2.4.3 用户账户的安全
11、“碉堡堡垒机”主要通过检查用户密码强度和设置密码重试限制来加强用户账户的安全。密码强度检查:用户在登录后通过个人设置修改自己的密码时,diaobao 会对用户修改的密码进行判断, 如密码不符合强度要求,则修改密码失败, 用户需重新设置密码。如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 20 页 - - - - - - - - - 碉堡堡垒机 9 密码重试限制:用户在登录时,一定时间内连续输错密码用户账户将被锁定。连续输错次数可由超级管理员进行设定。第三章设备管理
12、3.1 设备添加流程向 “碉堡堡垒机” 添加设备的最终目标是使普通用户可以在无需知道设备密码的条件下自动登录到设备, 因此添加设备就是通过在“碉堡堡垒机” 中登记设备的相关信息达到自动名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 20 页 - - - - - - - - - 碉堡堡垒机 10 登录的的目的,以下是简要的流程:1.收集设备信息包括:设备IP、主机名、设备账号及密码、远程访问方式(RDP、SSH、Telnet、FTP、SFTP、 X11、VNC ) ;2.填
13、写设备名称和IP 地址、选择设备类型3.配置设备远程访问服务4.建立系统账号和密码,进行登录测试。具体根据设备类型不同,参考3.3 3.2 设备类型和服务添加设备时您需要选择正确的设备类型,“碉堡堡垒机”将根据您选择的设备类型配置对应的服务及各种默认参数。“碉堡堡垒机”内置了7 种设备类型,见下表:设备类型适用范围服务列表 Windows主机用于 windowsRDP Windows域控用于 windowsRDP Windows 域内主机用于 windowsRDP Linux主机用于各种linux设备,如: Debian 、Fedora 、 Gentoo 、 Red Hat 、 SUSE 、U
14、buntu、 Red Flag 、CentOS等SSH Unix主机用于各种UNIX设备,如IBM AIX 、HP-UX 、SUN Solaris 、SCO 等SSH 网络设备( Radius )用于交换机Telnet 网络设备( Local )用于交换机Telnet 不同的设备类型有不同的服务列表,上表粗体字为默认服务。3.3 设备添加范例3.3.1 如何添加ssh字符终端类设备第一步、添加设备填写基本信息:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 20 页 -
15、 - - - - - - - - 碉堡堡垒机 11 设备管理添加设备 ,进入设备编辑页面,填写以下信息。设备名: ceshi;IP 地址: 192.168.1.146;设备类型: Linux 主机。第二步、添加设备账号,选择授权端口以及测试连接,点击保存,如下图:如上图输入设备名称,输入设备IP 并点击“设备登录账号”下方的添加输入登陆账号与密码;如上图填写设备登录账号、密码点击确定点击闪电图标,如该设备可用则如下图:如返回上图提示信息则表示该设备可用,点击保存添加该设备成功。3.3.2 如何添加windows 图形终端类设备第一步、添加设备填写基本信息:设备管理添加设备 ,进入设备编辑页面,
16、填写以下信息。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 20 页 - - - - - - - - - 碉堡堡垒机 12 设备名: ceshi;IP 地址: 192.168.1.1;设备类型: windows 主机。第二步、添加设备账号,选择授权端口以及测试连接,点击保存,如下图:填写完毕后点击授权端口后的闪电图标测试连接是否成功,如下图:如返回结果如上图则表示连接测试成功;点击设备登录账号下方的添加按钮添加登录设备账号;添加成功后点击保存,则该设备添加成功。3.4
17、 操作设备锁定设备 :锁定设备后将锁定该资源。删除设备 :删除设备后将无法进行单点登录激活设备 :激活设备会激活该设备资源名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 20 页 - - - - - - - - - 碉堡堡垒机 13 生成密码信封 :将会把该设备基本信息打印或存入电脑。锁定某设备: 设备管理 更多操作 ,选择 锁定设备 ,勾选设备名称,点击执行,如下图:激活某设备: 设备管理 更多操作 ,选择 激活设备 ,勾选设备名称,点击执行删除某设备: 设备管理 更
18、多操作 ,选择 删除设备 ,勾选设备名称,点击执行生成密码信封:设备管理 更多操作 ,选择 生成密码信封,勾选设备名称,点击执行,点击密码信封历史记录,打印或导出下载。3.4.1 设备导入、导出设备管理 设备导出(设备导入)勾选设备名称点击设备导出 即可将选择的设备信息导出到本地电脑上;点击 设备导入 ,可点击设备模板下载,自己添加信息也可点击浏览上传电脑中已有的设备信息。如下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 20 页 - - - - - - - -
19、- 碉堡堡垒机 14 3.4.2 设备分组信息管理设备管理设备分组信息管理进入设备分组编辑页面。添加根: 设备管理 设备分组信息管理 添加根 填写根组名称, 点击保存。添加同级: 设备管理 设备分组信息管理 添加同级 填写信息, 点击保存。如下图:添加下级: 设备管理 设备分组信息管理 添加下级 填写信息, 点击保存。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 20 页 - - - - - - - - - 碉堡堡垒机 15 修改信息: 设备管理 设备分组信息管理 修
20、改信息 填写修改信息, 点击保存。删除: 设备管理 设备分组信息管理 删除选择节点,点击删除3.5 设备修改修改设备:进入设备管理界面,单击需要修改的设备蓝色字体名称可进入修改相应设备基本信息的界面。第四章访问授权4.1 添加规则访问授权添加规则 进入添加规则界面输入规则名,单击选择添加用户信息、设备信息、策略信息用户信息:单击选择添加授权用户,用户获得授权后才可访问资源。基本信息:规则名称与规则备注。设备信息:单击选择添加设备,添加设备后系统才能获得该设备的资源。策略信息:单击选择添加策略,添加策略后可以提高单点登录的安全性,防止恶意操作。如下图:名师资料总结 - - -精品资料欢迎下载 -
21、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 20 页 - - - - - - - - - 碉堡堡垒机 16 必填项 :规则名称。其他项为默认项,默认不填写。注意 :如不填写任意一个用户信息、设备信息、策略信息;该规则将完全无效。4.2 操作授权锁定规则: 访问授权 更多操作 勾选规则名称,点击更多操作选择锁定规则,点击执行。如下图:激活规则: 访问授权 更多操作 勾选规则名称,点击更多操作选择激活规则,点击执行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -
22、- - - - 名师精心整理 - - - - - - - 第 16 页,共 20 页 - - - - - - - - - 碉堡堡垒机 17 注销规则: 访问授权 更多操作 勾选规则名称,点击更多操作选择注销规则,点击执行。附:规则被注销后将无法进行单点登录。4.3 修改授权访问授权 规则名称 点击规则名称进入规则编辑界面,对规则进行修改,点击保存。 如下图:第五章策略定义5.1 描述信息策略定义下的描述信息由指令字定义、访问时间定义、源地址定义三部分组成。指令字定义: 策略定义 指令字定义 添加指令定义进入指令定义信息界面,输入定义名称、添加指令字,点击保存。如下图:名师资料总结 - - -精
23、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 20 页 - - - - - - - - - 碉堡堡垒机 18 访问时间定义:策略定义 访问时间定义定义添加时间定义进入时间定义信息界面,输入定义名称、选择时间,点击保存。源地址定义: 策略定义 源地址定义 添加地址定义进入地址定义信息界面,输入定义名称、添加地址,点击保存。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 2
24、0 页 - - - - - - - - - 碉堡堡垒机 19 5.2 操作描述信息策略定义描述信息更多操作勾选定义名称前的选框,点击更多操作选择启用、禁止、删除操作,点击执行。如下图:5.3 策略信息策略信息由允许策略和禁止策略组成,允许策略和禁止策略由指令字定义、访问时间定义、源地址定义组成。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 20 页 - - - - - - - - - 碉堡堡垒机 20 允许策略: 策略定义允许策略添加允许策略进入允许策略信息界面,输入策略名称、添加时间定义、源地址定义或指令字的定义;点击保存。如下图:禁止策略: 策略定义禁止策略添加禁止策略进入禁止策略信息界面,输入策略名称、添加时间定义、源地址定义或指令字定义,点击保存。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 20 页 - - - - - - - - -