碉堡堡壘機(jī)配置管理員手冊.doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系網(wǎng)站刪除碉堡用戶操作手冊配置管理員北京維方通信息技術(shù)有限公司目 錄第一章 用戶手冊概述41.1碉堡配置管理員權(quán)限.41.2如何閱讀本手冊.41.3手冊閱讀附加說明.41.4適用版本.5第二章 用戶管理52.1建立用戶賬戶.52.2用戶狀態(tài)管理.62.3 用戶導(dǎo)入、導(dǎo)出72.4用戶密碼管理.72.4.1密碼長度82.4.2密碼有效期82.4.3用戶賬戶的安全8第三章 設(shè)備管理93.1設(shè)備添加流程.93.2設(shè)備類型和服務(wù).103.3設(shè)備添加范例.103.3.1如何添加ssh字符終端類設(shè)備103.3.2如何添加windows圖形終端類設(shè)備113.4操作設(shè)備.123.4.1設(shè)備導(dǎo)入、導(dǎo)出133.4.2設(shè)備分組信息管理143.5 設(shè)備修改15第四章 訪問授權(quán)154.1添加規(guī)則.154.2操作授權(quán).164.3 修改授權(quán)17第五章 策略定義175.1描述信息.175.2操作描述信息.195.3策略信息.19第1章 用戶手冊概述本手冊是“碉堡堡壘主機(jī)”（以下簡稱“碉堡”）配置員使用手冊，可作為碉堡的日常操作參考。1.1碉堡配置管理員權(quán)限配置管理員是碉堡中非常重要的一個角色。其職責(zé)是對普通用戶和設(shè)備、規(guī)則、策略定義進(jìn)行全面的管理、對用戶權(quán)限的控制、對設(shè)備訪問的控制、對策略定義的控制。具體如下：用戶角色權(quán)限列表碉堡配置員1. 完成以下基本控制任務(wù)：添加角色、訪問授權(quán)規(guī)則添加、設(shè)備管理、策略定義2. 管理訪問控制3. 管理權(quán)限控制（字符設(shè)備命令防火墻）4. SSH密鑰異常管理1.2如何閱讀本手冊本手冊各章節(jié)相互獨立，您可選擇感興趣的章節(jié)進(jìn)行閱讀。1.3手冊閱讀附加說明紅色字體表示操作中的關(guān)鍵點，例如：用戶管理添加用戶填寫信息意為：先點擊“用戶管理連接”，在出現(xiàn)的頁面中再點擊“添加用戶連接”，在出現(xiàn)的頁面中“填寫信息”；帶下劃線的文字表示用戶特別需要注意的內(nèi)容，一般為注意事、提示和建議；1.4適用版本本手冊依據(jù)碉堡V1.0撰寫，適用于所有1.0分支版本。第2章 用戶管理配置管理員可配置管理以下用戶賬戶：碉堡配置員、普通用戶、運維操作審計員、碉堡日志審計員，本章主要介紹用戶賬戶的新建和操作。2.1建立用戶賬戶本小節(jié)以添加一個普通用戶為例介紹如何添加用戶賬戶。用戶管理添加用戶，進(jìn)入用戶賬戶編輯頁面。按要求填寫相關(guān)信息保存提交，如下圖：依次填寫圖中各項，其中：必填項：姓名、角色、用戶名、密碼；可默認(rèn)設(shè)置項：狀態(tài)（激活）、密碼期限（永不過期）；其他均為填寫項。注意：如勾選下次登錄修改密碼，下次登錄時將進(jìn)入密碼修改頁面，超級管理員如設(shè)置密碼策略、賬戶鎖定策略，將也對創(chuàng)建的用戶有效。2.2用戶狀態(tài)管理用戶狀態(tài)分為如下四種：激活：“激活”狀態(tài)下的用戶賬戶才能登錄“碉堡堡壘機(jī)”進(jìn)行操作。鎖定：鎖定狀態(tài)下的用戶無法登錄“碉堡堡壘機(jī)”。注銷：注銷能夠刪除該用戶賬戶，注銷的用戶將不存在。復(fù)制：復(fù)制能在原有用戶的基礎(chǔ)上進(jìn)行添加用戶。碉堡配置員可通過以下方式修改用戶賬戶的狀態(tài)。l 鎖定某賬戶：用戶管理更多操作頁面選擇要鎖定的用戶，點擊更多操作選擇鎖定用戶，點擊執(zhí)行把用戶狀態(tài)改為鎖定。如下圖：l 激活某鎖定賬戶：用戶管理鎖定的用戶頁面查看鎖定用戶，選擇要激活的用戶點擊更多操作選擇激活用戶，將賬戶狀態(tài)改為激活。l 注銷某賬戶：用戶管理更多操作頁面選擇需要注銷的賬戶，點擊更多操作選擇注銷用戶，可注銷選擇用戶。l 復(fù)制某用戶：用戶管理復(fù)制用戶頁面選擇需要復(fù)制的賬戶，點擊復(fù)制用戶按鈕復(fù)制用戶，進(jìn)入用戶信息與登錄信息頁面填寫相關(guān)信息，點擊保存即可復(fù)制成功。2.3 用戶導(dǎo)入、導(dǎo)出用戶管理用戶導(dǎo)入（用戶導(dǎo)出）能將用戶選擇的用戶導(dǎo)出，也可點擊用戶導(dǎo)入下載用戶模板或點擊瀏覽直接選擇文件進(jìn)行導(dǎo)入。如下圖：2.4用戶密碼管理碉堡配置員在新建用戶時需要給用戶設(shè)置密碼，同時碉堡配置員也可修改用戶密碼。用戶管理用戶名稱頁面，點擊用戶名稱進(jìn)入賬戶編輯頁面，密碼設(shè)置見下圖：2.4.1密碼長度密碼長度：密碼長度設(shè)置方式為超級管理員設(shè)置的密碼策略。設(shè)置后對所有用戶有效。2.4.2密碼有效期密碼有效期：l 碉堡配置員可設(shè)置或修改用戶的密碼有效期。如不設(shè)置有效期，則系統(tǒng)默認(rèn)為永不過期；l 在密碼過期前，用戶可登錄到“碉堡堡壘機(jī)”web界面修改自己賬戶的密碼，系統(tǒng)默認(rèn)過期后登錄則進(jìn)入密碼修改界面；2.4.3用戶賬戶的安全“碉堡堡壘機(jī)”主要通過檢查用戶密碼強(qiáng)度和設(shè)置密碼重試限制來加強(qiáng)用戶賬戶的安全。密碼強(qiáng)度檢查：用戶在登錄后通過個人設(shè)置修改自己的密碼時，diaobao會對用戶修改的密碼進(jìn)行判斷，如密碼不符合強(qiáng)度要求，則修改密碼失敗，用戶需重新設(shè)置密碼。如下圖：密碼重試限制：用戶在登錄時，一定時間內(nèi)連續(xù)輸錯密碼用戶賬戶將被鎖定。連續(xù)輸錯次數(shù)可由超級管理員進(jìn)行設(shè)定。第3章 設(shè)備管理3.1設(shè)備添加流程向“碉堡堡壘機(jī)”添加設(shè)備的最終目標(biāo)是使普通用戶可以在無需知道設(shè)備密碼的條件下自動登錄到設(shè)備，因此添加設(shè)備就是通過在“碉堡堡壘機(jī)”中登記設(shè)備的相關(guān)信息達(dá)到自動登錄的的目的，以下是簡要的流程：1. 收集設(shè)備信息包括：設(shè)備IP、主機(jī)名、設(shè)備賬號及密碼、遠(yuǎn)程訪問方式（RDP、SSH、Telnet、FTP、SFTP、X11、VNC）；2. 填寫設(shè)備名稱和IP地址、選擇設(shè)備類型3. 配置設(shè)備遠(yuǎn)程訪問服務(wù)4. 建立系統(tǒng)賬號和密碼，進(jìn)行登錄測試。具體根據(jù)設(shè)備類型不同，參考3.33.2設(shè)備類型和服務(wù)添加設(shè)備時您需要選擇正確的設(shè)備類型，“碉堡堡壘機(jī)”將根據(jù)您選擇的設(shè)備類型配置對應(yīng)的服務(wù)及各種默認(rèn)參數(shù)?！暗锉け緳C(jī)”內(nèi)置了7種設(shè)備類型，見下表：設(shè)備類型適用范圍服務(wù)列表 Windows主機(jī)用于windowsRDP Windows域控用于windowsRDP Windows域內(nèi)主機(jī)用于windowsRDP Linux主機(jī)用于各種linux設(shè)備，如： Debian 、 Fedora 、 Gentoo 、 Red Hat 、 SUSE、 Ubuntu、 Red Flag、CentOS等SSH Unix主機(jī)用于各種UNIX設(shè)備，如IBM AIX、HP-UX、SUN Solaris、SCO等SSH 網(wǎng)絡(luò)設(shè)備（Radius）用于交換機(jī)Telnet 網(wǎng)絡(luò)設(shè)備（Local）用于交換機(jī)Telnet不同的設(shè)備類型有不同的服務(wù)列表，上表粗體字為默認(rèn)服務(wù)。3.3設(shè)備添加范例3.3.1如何添加ssh字符終端類設(shè)備第一步、添加設(shè)備填寫基本信息：設(shè)備管理添加設(shè)備，進(jìn)入設(shè)備編輯頁面，填寫以下信息。設(shè)備名：ceshi；IP地址：46；設(shè)備類型：Linux主機(jī)。第二步、添加設(shè)備賬號，選擇授權(quán)端口以及測試連接，點擊保存，如下圖：如上圖輸入設(shè)備名稱，輸入設(shè)備IP并點擊“設(shè)備登錄賬號”下方的添加輸入登陸賬號與密碼；如上圖填寫設(shè)備登錄賬號、密碼點擊確定點擊閃電圖標(biāo)，如該設(shè)備可用則如下圖：如返回上圖提示信息則表示該設(shè)備可用，點擊保存添加該設(shè)備成功。3.3.2如何添加windows圖形終端類設(shè)備第一步、添加設(shè)備填寫基本信息：設(shè)備管理添加設(shè)備，進(jìn)入設(shè)備編輯頁面，填寫以下信息。設(shè)備名：ceshi；IP地址：；設(shè)備類型：windows主機(jī)。第二步、添加設(shè)備賬號，選擇授權(quán)端口以及測試連接，點擊保存，如下圖：填寫完畢后點擊授權(quán)端口后的閃電圖標(biāo)測試連接是否成功，如下圖：如返回結(jié)果如上圖則表示連接測試成功；點擊設(shè)備登錄賬號下方的添加按鈕添加登錄設(shè)備賬號；添加成功后點擊保存，則該設(shè)備添加成功。3.4操作設(shè)備鎖定設(shè)備：鎖定設(shè)備后將鎖定該資源。刪除設(shè)備：刪除設(shè)備后將無法進(jìn)行單點登錄激活設(shè)備：激活設(shè)備會激活該設(shè)備資源生成密碼信封：將會把該設(shè)備基本信息打印或存入電腦。l 鎖定某設(shè)備：設(shè)備管理更多操作，選擇鎖定設(shè)備，勾選設(shè)備名稱，點擊執(zhí)行，如下圖：l 激活某設(shè)備：設(shè)備管理更多操作，選擇激活設(shè)備，勾選設(shè)備名稱，點擊執(zhí)行l(wèi) 刪除某設(shè)備：設(shè)備管理更多操作，選擇刪除設(shè)備，勾選設(shè)備名稱，點擊執(zhí)行l(wèi) 生成密碼信封：設(shè)備管理更多操作，選擇生成密碼信封，勾選設(shè)備名稱，點擊執(zhí)行，點擊密碼信封歷史記錄，打印或?qū)С鱿螺d。3.4.1設(shè)備導(dǎo)入、導(dǎo)出設(shè)備管理設(shè)備導(dǎo)出（設(shè)備導(dǎo)入）勾選設(shè)備名稱點擊設(shè)備導(dǎo)出即可將選擇的設(shè)備信息導(dǎo)出到本地電腦上；點擊設(shè)備導(dǎo)入，可點擊設(shè)備模板下載，自己添加信息也可點擊瀏覽上傳電腦中已有的設(shè)備信息。如下圖：3.4.2設(shè)備分組信息管理設(shè)備管理設(shè)備分組信息 管理進(jìn)入設(shè)備分組編輯頁面。l 添加根：設(shè)備管理設(shè)備分組信息 管理添加根填寫根組名稱，點擊保存。l 添加同級：設(shè)備管理設(shè)備分組信息 管理添加同級填寫信息，點擊保存。如下圖：l 添加下級：設(shè)備管理設(shè)備分組信息 管理添加下級填寫信息，點擊保存。l 修改信息：設(shè)備管理設(shè)備分組信息 管理修改信息填寫修改信息，點擊保存。l 刪除：設(shè)備管理設(shè)備分組信息 管理刪除選擇節(jié)點，點擊刪除3.5 設(shè)備修改修改設(shè)備：進(jìn)入設(shè)備管理界面，單擊需要修改的設(shè)備藍(lán)色字體名稱可進(jìn)入修改相應(yīng)設(shè)備基本信息的界面。第4章 訪問授權(quán)4.1添加規(guī)則訪問授權(quán)添加規(guī)則進(jìn)入添加規(guī)則界面輸入規(guī)則名，單擊選擇添加用戶信息、設(shè)備信息、策略信息l 用戶信息：單擊選擇添加授權(quán)用戶，用戶獲得授權(quán)后才可訪問資源。l 基本信息：規(guī)則名稱與規(guī)則備注。l 設(shè)備信息：單擊選擇添加設(shè)備，添加設(shè)備后系統(tǒng)才能獲得該設(shè)備的資源。l 策略信息：單擊選擇添加策略，添加策略后可以提高單點登錄的安全性，防止惡意操作。如下圖：必填項：規(guī)則名稱。其他項為默認(rèn)項，默認(rèn)不填寫。注意：如不填寫任意一個用戶信息、設(shè)備信息、策略信息；該規(guī)則將完全無效。4.2操作授權(quán)l(xiāng) 鎖定規(guī)則：訪問授權(quán)更多操作勾選規(guī)則名稱，點擊更多操作選擇鎖定規(guī)則，點擊執(zhí)行。如下圖：l 激活規(guī)則：訪問授權(quán)更多操作勾選規(guī)則名稱，點擊更多操作選擇激活規(guī)則，點擊執(zhí)行。l 注銷規(guī)則：訪問授權(quán)更多操作勾選規(guī)則名稱，點擊更多操作選擇注銷規(guī)則，點擊執(zhí)行。附：規(guī)則被注銷后將無法進(jìn)行單點登錄。4.3 修改授權(quán)訪問授權(quán)規(guī)則名稱點擊規(guī)則名稱進(jìn)入規(guī)則編輯界面，對規(guī)則進(jìn)行修改，點擊保存。如下圖：第5章 策略定義5.1描述信息策略定義下的描述信息由指令字定義、訪問時間定義、源地址定義三部分組成。l 指令字定義：策略定義指令字定義添加指令定義進(jìn)入指令定義信息界面，輸入定義名稱、添加指令字，點擊保存。如下圖：l 訪問時間定義：策略定義訪問時間定義定義添加時間定義進(jìn)入時間定義信息界面，輸入定義名稱、選擇時間，點擊保存。l 源地址定義：策略定義源地址定義添加地址定義進(jìn)入地址定義信息界面，輸入定義名稱、添加地址，點擊保存。5.2操作描述信息策略定義描述信息更多操作勾選定義