碉堡堡壘機配置管理員手冊

1、碉堡用戶操作手冊配置管理員北京維方通信息技術有限公司目 錄第一章 用戶手冊概述41.1碉堡配置管理員權限.41.2如何閱讀本手冊.41.3手冊閱讀附加說明.41.4適用版本.5第二章 用戶管理52.1建立用戶賬戶.52.2用戶狀態(tài)管理.62.3 用戶導入、導出72.4用戶密碼管理.72.4.1密碼長度82.4.2密碼有效期82.4.3用戶賬戶的安全8第三章 設備管理93.1設備添加流程.93.2設備類型和服務.103.3設備添加范例.103.3.1如何添加ssh字符終端類設備103.3.2如何添加windows圖形終端類設備113.4操作設備.123.4.1設備導入、導出133.4.2設備分組

2、信息管理143.5 設備修改15第四章 訪問授權154.1添加規(guī)則.154.2操作授權.164.3 修改授權17第五章 策略定義175.1描述信息.175.2操作描述信息.195.3策略信息.19第1章 用戶手冊概述本手冊是“碉堡堡壘主機”（以下簡稱“碉堡”）配置員使用手冊，可作為碉堡的日常操作參考。1.1碉堡配置管理員權限配置管理員是碉堡中非常重要的一個角色。其職責是對普通用戶和設備、規(guī)則、策略定義進行全面的管理、對用戶權限的控制、對設備訪問的控制、對策略定義的控制。具體如下：用戶角色權限列表碉堡配置員1. 完成以下基本控制任務：添加角色、訪問授權規(guī)則添加、設備管理、策略定義2. 管理訪問控

3、制3. 管理權限控制（字符設備命令防火墻）4. ssh密鑰異常管理1.2如何閱讀本手冊本手冊各章節(jié)相互獨立，您可選擇感興趣的章節(jié)進行閱讀。1.3手冊閱讀附加說明紅色字體表示操作中的關鍵點，例如：用戶管理添加用戶填寫信息意為：先點擊“用戶管理連接”，在出現的頁面中再點擊“添加用戶連接”，在出現的頁面中“填寫信息”；帶下劃線的文字表示用戶特別需要注意的內容，一般為注意事、提示和建議；1.4適用版本本手冊依據碉堡v1.0撰寫，適用于所有1.0分支版本。第2章 用戶管理配置管理員可配置管理以下用戶賬戶：碉堡配置員、普通用戶、運維操作審計員、碉堡日志審計員，本章主要介紹用戶賬戶的新建和操作。2.1建立用

4、戶賬戶本小節(jié)以添加一個普通用戶為例介紹如何添加用戶賬戶。用戶管理添加用戶，進入用戶賬戶編輯頁面。按要求填寫相關信息保存提交，如下圖：依次填寫圖中各項，其中：必填項：姓名、角色、用戶名、密碼；可默認設置項：狀態(tài)（激活）、密碼期限（永不過期）；其他均為填寫項。注意：如勾選下次登錄修改密碼，下次登錄時將進入密碼修改頁面，超級管理員如設置密碼策略、賬戶鎖定策略，將也對創(chuàng)建的用戶有效。2.2用戶狀態(tài)管理用戶狀態(tài)分為如下四種：激活：“激活”狀態(tài)下的用戶賬戶才能登錄“碉堡堡壘機”進行操作。鎖定：鎖定狀態(tài)下的用戶無法登錄“碉堡堡壘機”。注銷：注銷能夠刪除該用戶賬戶，注銷的用戶將不存在。復制：復制能在原有用戶的

5、基礎上進行添加用戶。碉堡配置員可通過以下方式修改用戶賬戶的狀態(tài)。l 鎖定某賬戶：用戶管理更多操作頁面選擇要鎖定的用戶，點擊更多操作選擇鎖定用戶，點擊執(zhí)行把用戶狀態(tài)改為鎖定。如下圖：l 激活某鎖定賬戶：用戶管理鎖定的用戶頁面查看鎖定用戶，選擇要激活的用戶點擊更多操作選擇激活用戶，將賬戶狀態(tài)改為激活。l 注銷某賬戶：用戶管理更多操作頁面選擇需要注銷的賬戶，點擊更多操作選擇注銷用戶，可注銷選擇用戶。l 復制某用戶：用戶管理復制用戶頁面選擇需要復制的賬戶，點擊復制用戶按鈕復制用戶，進入用戶信息與登錄信息頁面填寫相關信息，點擊保存即可復制成功。2.3 用戶導入、導出用戶管理用戶導入（用戶導出）能將用戶選

6、擇的用戶導出，也可點擊用戶導入下載用戶模板或點擊瀏覽直接選擇文件進行導入。如下圖：2.4用戶密碼管理碉堡配置員在新建用戶時需要給用戶設置密碼，同時碉堡配置員也可修改用戶密碼。用戶管理用戶名稱頁面，點擊用戶名稱進入賬戶編輯頁面，密碼設置見下圖：2.4.1密碼長度密碼長度：密碼長度設置方式為超級管理員設置的密碼策略。設置后對所有用戶有效。2.4.2密碼有效期密碼有效期：l 碉堡配置員可設置或修改用戶的密碼有效期。如不設置有效期，則系統默認為永不過期；l 在密碼過期前，用戶可登錄到“碉堡堡壘機”web界面修改自己賬戶的密碼，系統默認過期后登錄則進入密碼修改界面；2.4.3用戶賬戶的安全“碉堡堡壘機”

7、主要通過檢查用戶密碼強度和設置密碼重試限制來加強用戶賬戶的安全。密碼強度檢查：用戶在登錄后通過個人設置修改自己的密碼時，diaobao會對用戶修改的密碼進行判斷，如密碼不符合強度要求，則修改密碼失敗，用戶需重新設置密碼。如下圖：密碼重試限制：用戶在登錄時，一定時間內連續(xù)輸錯密碼用戶賬戶將被鎖定。連續(xù)輸錯次數可由超級管理員進行設定。第3章 設備管理3.1設備添加流程向“碉堡堡壘機”添加設備的最終目標是使普通用戶可以在無需知道設備密碼的條件下自動登錄到設備，因此添加設備就是通過在“碉堡堡壘機”中登記設備的相關信息達到自動登錄的的目的，以下是簡要的流程：1. 收集設備信息包括：設備ip、主機名、設備

8、賬號及密碼、遠程訪問方式（rdp、ssh、telnet、ftp、sftp、x11、vnc）；2. 填寫設備名稱和ip地址、選擇設備類型3. 配置設備遠程訪問服務4. 建立系統賬號和密碼，進行登錄測試。具體根據設備類型不同，參考3.33.2設備類型和服務添加設備時您需要選擇正確的設備類型，“碉堡堡壘機”將根據您選擇的設備類型配置對應的服務及各種默認參數?！暗锉け緳C”內置了7種設備類型，見下表：設備類型適用范圍服務列表 windows主機用于windowsrdp windows域控用于windowsrdp windows域內主機用于windowsrdp linux主機用于各種linux設備，如：

9、 debian 、 fedora 、 gentoo 、 red hat 、 suse、 ubuntu、 red flag、centos等ssh unix主機用于各種unix設備，如ibm aix、hp-ux、sun solaris、sco等ssh 網絡設備（radius）用于交換機telnet 網絡設備（local）用于交換機telnet待添加的隱藏文字內容3不同的設備類型有不同的服務列表，上表粗體字為默認服務。3.3設備添加范例3.3.1如何添加ssh字符終端類設備第一步、添加設備填寫基本信息：設備管理添加設備，進入設備編輯頁面，填寫以下信息。設備名：ceshi；ip地址：192.168.1

10、.146；設備類型：linux主機。第二步、添加設備賬號，選擇授權端口以及測試連接，點擊保存，如下圖：如上圖輸入設備名稱，輸入設備ip并點擊“設備登錄賬號”下方的添加輸入登陸賬號與密碼；如上圖填寫設備登錄賬號、密碼點擊確定點擊閃電圖標，如該設備可用則如下圖：如返回上圖提示信息則表示該設備可用，點擊保存添加該設備成功。3.3.2如何添加windows圖形終端類設備第一步、添加設備填寫基本信息：設備管理添加設備，進入設備編輯頁面，填寫以下信息。設備名：ceshi；ip地址：；設備類型：windows主機。第二步、添加設備賬號，選擇授權端口以及測試連接，點擊保存，如下圖：填寫完

11、畢后點擊授權端口后的閃電圖標測試連接是否成功，如下圖：如返回結果如上圖則表示連接測試成功；點擊設備登錄賬號下方的添加按鈕添加登錄設備賬號；添加成功后點擊保存，則該設備添加成功。3.4操作設備鎖定設備：鎖定設備后將鎖定該資源。刪除設備：刪除設備后將無法進行單點登錄激活設備：激活設備會激活該設備資源生成密碼信封：將會把該設備基本信息打印或存入電腦。l 鎖定某設備：設備管理更多操作，選擇鎖定設備，勾選設備名稱，點擊執(zhí)行，如下圖：l 激活某設備：設備管理更多操作，選擇激活設備，勾選設備名稱，點擊執(zhí)行l(wèi) 刪除某設備：設備管理更多操作，選擇刪除設備，勾選設備名稱，點擊執(zhí)行l(wèi) 生成密碼信封：設備管理更多操作

12、，選擇生成密碼信封，勾選設備名稱，點擊執(zhí)行，點擊密碼信封歷史記錄，打印或導出下載。3.4.1設備導入、導出設備管理設備導出（設備導入）勾選設備名稱點擊設備導出即可將選擇的設備信息導出到本地電腦上；點擊設備導入，可點擊設備模板下載，自己添加信息也可點擊瀏覽上傳電腦中已有的設備信息。如下圖：3.4.2設備分組信息管理設備管理設備分組信息 管理進入設備分組編輯頁面。l 添加根：設備管理設備分組信息 管理添加根填寫根組名稱，點擊保存。l 添加同級：設備管理設備分組信息 管理添加同級填寫信息，點擊保存。如下圖：l 添加下級：設備管理設備分組信息 管理添加下級填寫信息，點擊保存。l 修改信息：設備管理設備

13、分組信息 管理修改信息填寫修改信息，點擊保存。l 刪除：設備管理設備分組信息 管理刪除選擇節(jié)點，點擊刪除3.5 設備修改修改設備：進入設備管理界面，單擊需要修改的設備藍色字體名稱可進入修改相應設備基本信息的界面。第4章 訪問授權4.1添加規(guī)則訪問授權添加規(guī)則進入添加規(guī)則界面輸入規(guī)則名，單擊選擇添加用戶信息、設備信息、策略信息l 用戶信息：單擊選擇添加授權用戶，用戶獲得授權后才可訪問資源。l 基本信息：規(guī)則名稱與規(guī)則備注。l 設備信息：單擊選擇添加設備，添加設備后系統才能獲得該設備的資源。l 策略信息：單擊選擇添加策略，添加策略后可以提高單點登錄的安全性，防止惡意操作。如下圖：必填項：規(guī)則名稱。

14、其他項為默認項，默認不填寫。注意：如不填寫任意一個用戶信息、設備信息、策略信息；該規(guī)則將完全無效。4.2操作授權l(xiāng) 鎖定規(guī)則：訪問授權更多操作勾選規(guī)則名稱，點擊更多操作選擇鎖定規(guī)則，點擊執(zhí)行。如下圖：l 激活規(guī)則：訪問授權更多操作勾選規(guī)則名稱，點擊更多操作選擇激活規(guī)則，點擊執(zhí)行。l 注銷規(guī)則：訪問授權更多操作勾選規(guī)則名稱，點擊更多操作選擇注銷規(guī)則，點擊執(zhí)行。附：規(guī)則被注銷后將無法進行單點登錄。4.3 修改授權訪問授權規(guī)則名稱點擊規(guī)則名稱進入規(guī)則編輯界面，對規(guī)則進行修改，點擊保存。如下圖：第5章 策略定義5.1描述信息策略定義下的描述信息由指令字定義、訪問時間定義、源地址定義三部分組成。l 指令字定義：策略定義指令字定義添加指令定義進入指令定義信息界面，輸入定義名稱、添加指令字，點擊保存。如下圖：l 訪問時間定義：策略定義訪問時間定義定義添加時間定義進入時間定義信息界面，輸入定義名稱、選擇時間，點擊保存。l 源地址定義：策略定義源地址定義添加地址定義進入地址定義信息界面，輸入定義名稱、添加地址，點擊保存。5.2操作描述信息策略定義描述信