书签麒麟开源堡垒机管理员综合手册

目录

1 概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

1. 1 功效介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

1.2 名词解释. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

1.3 环境要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

2 管理员登录. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

3 初始基础配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

4. 1 目录说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

4.2 目录创建. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5 账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5. 1 用户角色. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.2 运维账号管理. . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.2. 1添加用户. . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.2.2批量添加用户. . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.2.3批量编辑用户. . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.3 RADIUS账号. . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.5 在线用户管理. . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.6 登录策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.7 设备管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.8 设备信息导入导出. . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5.9 一般用户自动登录root账号. . . . . . . . . . . .错误未定义书签。

5. 10 目录节点管理. . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5. 11 系统用户组. . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5. 12 应用公布. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5. 12. 1应用公布服务器. . . . . . . . . . . . . . . . . .错误未定义书签。

5. 12.2添加为资产设备. . . . . . . . . . . . . . . . . .错误未定义书签。

5. 12.3添加为应用公布服务器. . . . . . . . . . . .错误未定义书签。

5. 12.4应用公布. . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

5. 13 SSH公私鈅上传. . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6 权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6. 1 系统权限查询. . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

6.2 应用权限查询. . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7 策略设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7. 1 默认策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.2 起源IP组. . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.3 周组策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.4 命令组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.5 命令权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.6 自动改密. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.7 系统类型. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

7.8 授权策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

8 密码密钥文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9 系统配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9. 1 参数配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9.2 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9.3 系统参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9.4 密码策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9.5 高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9.6 告警配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

9.7 告警参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

10 系统管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

10. 1 服务状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

10.2 系统状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

10.3 配置备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

10.4 数据同时. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

11 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

12 动态口令. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

12. 1 USBKEY导入. . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

12.2 USBKEY绑定. . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

13 Licnese管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14 运维审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14. 1 操作审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14. 1. 1字符会话审计Telnet/SSH . . . . . .错误未定义书签。

14. 1.2 SFTP和FTP会话审计. . . . . . . . . . . . . .错误未定义书签。

14. 1.3 图形会话审计. . . . . . . . . . . . . . . . . . . .错误未定义书签。

14. 1.4应用审计. . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14.2 实时监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14.3 审计查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14.3. 1会话搜索. . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

14.3.2 内容搜索. . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

15 日志报表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

16 个人信息修改. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .错误未定义书签。

1概述

麒麟运维安全堡垒平台以下简称麒麟运维堡垒机是用于对第三方或内部运维管理员运维操作行为进行集中管控审计系统。麒麟运维堡垒机能够帮助用户规范运维操作行为、控制并降低安全风险、满足等级保护级其它法规对IT内控合规性要求。

1. 1功效介绍

麒麟运维堡垒机集中管理运维账号、资产设备集中控制运维操作行为能够实现实时监控、阻断、告警和事后审计和统计分析。

麒麟支持常见运维工具协议如SSH、 telnet、 ftp、 sftp、 RDP、 VNC等并能够应用公布方法支持图形化运维工具。

麒麟运维堡垒机支持旁路模式和VPN模式两种方法物理上旁路布署灵活方面。

麒麟运维堡垒机在操作方法上不改变用户操作习惯仍然能够使用自己本机运维工具。

1. 2名词解释

控制台

指麒麟运维堡垒机提供给管理员实现对它进行管理Web系统。

管理员

指麒麟运维堡垒机系统管理员根据角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员根据权限分立标准分别负担不一样职责。

超级管理员是内置最高权限管理员能够创建其它管理员角色用户账号。

配置管理员 负责资产管理、授权管理等。

组管理员 只对特定组资产管理、授权管理。

审计员 只负责完成审计工作

密码管理员 负责维护资产设备账号密码。

协议

指麒麟运维堡垒机运维工具所用通信协议 比如Putty使用SSH协议 CRT支持SSH和Telnet等。

工具

指运维人员实现对设备维护所使用工具软件。

设备账号

指运维目标资产设备用于维护系统账户。

自动登录

指麒麟运维堡垒机为运维工具实现自动登录目标被管设备而运维用户不需要输入目标设备登录账号和密码也称为单点登录SSO。

命令阻断

指麒麟依据命令权限策略检验用户输入操作指令假如策略不许可实施此指令麒麟会拒绝转发此操作命令目标设备同时向操作员反馈拒绝实施提醒信息。这是实现实时操作控制一个关键手段。

应用公布

指经过在应用公布服务器布署应用程序提供给用户远程虚拟化方法进行使用就如同安装在当地一样效果。

1. 3环境要求

麒麟运维堡垒机管理控制台为Web系统要求用户端采取支持IE内核浏览器登录因为需要支持ActiveX控件推荐使用IE浏览器支持IE8、IE9、IE10。 。另外终端还需要安装JRE环境支持麒麟 Web PortalJava Applet。2管理员登录

麒麟运维堡垒机管理控制台采取HT TP S安全通信连接默认端口是443。管理员登录控制台方法是 以IE为例在浏览器地址栏输入https://麒麟-ip

麒麟运维堡垒机超级管理员账号和密码是“ad min/12345678”。

麒麟运维堡垒机初始状态未启用动态口令认证所以首次登录不需要输入动态口令。

另外麒麟运维堡垒机还有两个预设管理员用户 aud it和pass word分别是审计员账户和密码管理员账户默认密码也是“12345678”。

管理控制台登录界面以下图所表示。

登录成功后界面以下图进入系统目前状态界面。然后管理员能够依据需要

选择功效菜单实施预期管理操作。

超级管理员能够完成其它全部管理员能够做工作所以超级管理员界面功效就是管理控制台全部功效其它管理员操作界面只是其一个子集。

以非超级管理员其它管理员身份登录系统会要求首先修改个人账户密码以下图所表示

配置管理员登录后操作界面以下图所表示

密码管理员登录后操作界面以下图所表示

审计员登录后操作界面以下图所表示

组管理登录后操作界面以下图所表示

不一样角色管理员功效职责许可有交叉超级管理员能够负担全部管理工

作比如她能够负担审计员工作其它管理员权限也能够依据需要进行授权。本文档对管理员功效介绍根据功效模块进行组织不一样角色管理员依据自己授权和管理界面在对应功效模块章节查看操作说明。

3初始基础配置

开始使用堡垒机管理员应优异行一下配置检验依据实际应用需要配置必需系统参数构建适合本单位系统工作环境。

1、 系统时间同时

系统配置—参数配置中系统参数选项卡中各项需要确定尤其是系统时间有条件请配置适宜NTP服务器确保运维堡垒机时间正确性。

2、密码策略

账号管理是麒麟运维堡垒机关键功效之一账号密码安全性不容忽略应在创建账号前首先确定密码安全策略 以下图所以。

3、资产设备系统类型

资产设备管理进行运维安全管理基础每台资产设备全部有对应系统类型检验和配置系统类型是开始资产管理基础应在添加资产前首先配置好资产系统类型 以下图所表示。

4 目录管理

4. 1 目录说明

目录结构就是LDAP目录 目录中能够放置主帐号、服务器等资产 因为系统为目录结构所以帐号和服务器能够放在同一个目录中即目录和过去资源组不一样没有区分是用户或是设备任何一个目录中即能够放置主帐号也能够放置服务器等资产。

目录关键功效是方便管理使用目录结构当需要进行查找时能够直接以目录为单位进行方便了管理人员使用。