麒麟開源堡壘機(jī)管理員手冊

1、麒麟開源堡壘機(jī)管理員手冊麒麟開源目錄1 概述 51.1 功能介紹 51.2 名詞解釋 51.3 環(huán)境要求 62 管理員登錄 73 初始基本配置 104 目錄管理 124.1 目錄說明 124.2 目錄創(chuàng)建 125 賬號管理 145.1 用戶角色 145.2 運(yùn)維賬號管理 155.2.1 添加用戶 165.2.2 批量添加用戶 185.2.3 批量編輯用戶 195.3 RADIUS賬號 195.4 目錄管理 205.5 在線用戶管理 205.6 登錄策略 205.7 設(shè)備管理 215.8 設(shè)備信息導(dǎo)入導(dǎo)出 255.9 普通用戶自動登錄root賬號 265.10 目錄節(jié)點(diǎn)管理 265.11 系統(tǒng)用

2、戶組 285.12 應(yīng)用發(fā)布 305.12.1 應(yīng)用發(fā)布服務(wù)器 305.12.2 添加為資產(chǎn)設(shè)備 305.12.3 添加為應(yīng)用發(fā)布服務(wù)器 325.12.4應(yīng)用發(fā)布 325.13SSH公私鈅上傳 346 權(quán)限查詢 356.1 系統(tǒng)權(quán)限查詢 356.2 應(yīng)用權(quán)限查詢 367 策略設(shè)置 377.1 默認(rèn)策略 387.2 來源IP組 387.3 周組策略 407.4 命令組 417.5 命令權(quán)限 427.6 自動改密 437.7 系統(tǒng)類型 447.8 授權(quán)策略 448 密碼密鑰文件 459 系統(tǒng)配置 459.1 參數(shù)配置 459.2 VPN配置 469.3 系統(tǒng)參數(shù) 469.4 密碼策略 469.5

3、高可用性 479.6 告警配置 489.7 告警參數(shù) 4810 系統(tǒng)管理 4910.1 服務(wù)狀態(tài) 4910.2 系統(tǒng)狀態(tài) 4910.3 配置備份 5010.4 數(shù)據(jù)同步 5011 VPN配置 5112 動態(tài)口令 5312.1 USBKE導(dǎo)入 5312.2 USBKE綁定 5313 Lienese 管理 5314 運(yùn)維審計(jì) 5514.1 操作審計(jì) 5514.1.1 字符會話審計(jì)(Telnet/SSH ) 5514.1.2 SFTP和 FTP會話審計(jì) 5814.1.3 圖形會話審計(jì) 5814.1.4 應(yīng)用審計(jì) 6314.2 實(shí)時(shí)監(jiān)控 6414.3 審計(jì)查詢 6814.3.1 會話搜索 6814.3

4、.2 內(nèi)容搜索 6915 日志報(bào)表 7016 個(gè)人信息修改 731概述麒麟運(yùn)維安全堡壘平臺（以下簡稱麒麟運(yùn)維堡壘機(jī)）是用于對第三方或者內(nèi) 部運(yùn)維管理員的運(yùn)維操作行為進(jìn)行集中管控審計(jì)的系統(tǒng)。麒麟運(yùn)維堡壘機(jī)可以幫助客戶規(guī)范運(yùn)維操作行為、控制并降低安全風(fēng)險(xiǎn)、滿足等級保護(hù)級其他法規(guī)對 IT內(nèi)控合規(guī)性的要求。1.1功能介紹麒麟運(yùn)維堡壘機(jī)集中管理運(yùn)維賬號、資產(chǎn)設(shè)備，集中控制運(yùn)維操作行為，能 夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)控、阻斷、告警，以及事后的審計(jì)與統(tǒng)計(jì)分析。麒麟支持常用的運(yùn)維工具協(xié)議（如 SSH tel net、ftp、sftp、RDR VNC等）， 并可以應(yīng)用發(fā)布的方式支持圖形化運(yùn)維工具。麒麟運(yùn)維堡壘機(jī)支持旁路模式和

5、 VPN莫式兩種方式，物理上旁路部署，靈活 方面。麒麟運(yùn)維堡壘機(jī)在操作方式上，不改變用戶的操作習(xí)慣，仍然可以使用自己 本機(jī)的運(yùn)維工具。1.2名詞解釋控制臺指麒麟運(yùn)維堡壘機(jī)提供給管理員實(shí)現(xiàn)對它進(jìn)行管理的 Web系統(tǒng)。管理員指麒麟運(yùn)維堡壘機(jī)系統(tǒng)的管理員，按照角色分為系超級管理員、配置管理員、 組管理員、密碼管理員、審計(jì)員，按照權(quán)限分立的原則分別承擔(dān)不同的職責(zé)。超級管理員：是內(nèi)置的最高權(quán)限管理員，可以創(chuàng)建其他管理員角色用戶賬號。配置管理員：負(fù)責(zé)資產(chǎn)管理、授權(quán)管理等。組管理員：只對特定組的資產(chǎn)管理、授權(quán)管理。審計(jì)員：只負(fù)責(zé)完成審計(jì)工作；密碼管理員：負(fù)責(zé)維護(hù)資產(chǎn)設(shè)備的賬號密碼。協(xié)議指麒麟運(yùn)維堡壘機(jī)運(yùn)維工

6、具所用的通信協(xié)議，比如Putty使用SSH協(xié)議，CRT支持SSH和Tel net等。工具指運(yùn)維人員實(shí)現(xiàn)對設(shè)備的維護(hù)所使用的工具軟件。設(shè)備賬號指運(yùn)維目標(biāo)資產(chǎn)設(shè)備的用于維護(hù)的系統(tǒng)賬戶。自動登錄指麒麟運(yùn)維堡壘機(jī)為運(yùn)維工具實(shí)現(xiàn)自動登錄目標(biāo)被管設(shè)備，而運(yùn)維用戶不需 要輸入目標(biāo)設(shè)備的登錄賬號和密碼，也稱為單點(diǎn)登錄（SSO。命令阻斷指麒麟根據(jù)命令權(quán)限策略檢查用戶輸入的操作指令，如果策略不允許執(zhí)行此 指令，麒麟會拒絕轉(zhuǎn)發(fā)此操作命令目標(biāo)設(shè)備，同時(shí)向操作員反饋拒絕執(zhí)行的提示信息。這是實(shí)現(xiàn)實(shí)時(shí)操作控制的一種重要手段。應(yīng)用發(fā)布指通過在應(yīng)用發(fā)布服務(wù)器部署應(yīng)用程序，提供給用戶遠(yuǎn)程虛擬化方式進(jìn)行使 用，就如同安裝在本地一樣

7、的效果。1.3環(huán)境要求麒麟運(yùn)維堡壘機(jī)管理控制臺為 Web系統(tǒng)，要求客戶端采用支持IE內(nèi)核的瀏 覽器登錄，因?yàn)樾枰С?ActiveX控件，推薦使用IE瀏覽器，支持IE8、IE9、 IE10。另外，終端還需要安裝JRE環(huán)境，支持麒麟 Web Portal的Java Applet。2管理員登錄麒麟運(yùn)維堡壘機(jī)管理控制臺采用HTTPS安全通信連接，默認(rèn)端口是 443。管理員登錄控制臺的方式是，以IE為例，在瀏覽器地址欄輸入：https:/ 麒麟-ip麒麟運(yùn)維堡壘機(jī)超級管理員的賬號和密碼是“admi n/12345678。麒麟運(yùn)維堡壘機(jī)初始狀態(tài)未啟用動態(tài)口令認(rèn)證，因此初次登錄不需要輸入動態(tài)口令。另外，麒

8、麟運(yùn)維堡壘機(jī)還有兩個(gè)預(yù)設(shè)的管理員用戶，audit和password,分別是審計(jì)員賬戶和密碼管理員賬戶，默認(rèn)密碼也是“12345678”管理控制臺登錄界面如下圖所示。登錄成功后界面如下圖，進(jìn)入系統(tǒng)當(dāng)前狀態(tài)界面。然后管理員可以根據(jù)需要選擇功能菜單執(zhí)行預(yù)期的管理操作iUPmja ml?n5OWKr54-EQC冏皓話曲00Him帝it盅Qi21MTJFOt0rrt!=Nh.4S405側(cè)剛5i t an tntITfl哥矗*tf 廂即用1u”IMe.F=nEli衲q亦 Bit 用Ht tFMtr?事u嚴(yán)超級管理員可以完成其他所有管理員可以做的工作，因此超級管理員界面的 功能就是管理控制臺的所有功能，其他

9、管理員操作界面只是其的一個(gè)子集。以非超級管理員的其他管理員身份登錄，系統(tǒng)會要求首先修改個(gè)人賬戶密碼，如下圖所示:配置管理員登錄后的操作界面如下圖所示:4W 用冋uhh|LN|1AWRT- HP:列l(wèi)L.星j JCW44HIBJ曲峠勺宇I(lǐng)f.&i MW*MlB#” 滬 1:fin * A Ba? MWM”申口d.o jSjs/* hifllMtMM# 斛:鼻轉(zhuǎn)帥MW B ma#.It*曲瞬1心 XMhMliiB才亦SlflRlii MAMtnilUMfritiit js a i i * ”伺弘我111園曲pit h； *貳密碼管理員登錄后的操作界面如下圖所示:IM.IMfcP卻掠2 IH： 11

10、4-hr”科1lifcZ EM： S 4CmsNrxtAIt牛1-LE tt i *tWnM：dEUKKE11IQ： LILI uwn7B0曲丄BH#A1+N2 liBI f宣綣 蛀日13業(yè) fit E *IfMVIC頸嚴(yán)nc白垃整臭1142 kftl .+尋祟奩 上-亡1匸WhHWS小息尋&.S譏曳*t U豪血片豪KWHHt*%晝 H審計(jì)員登錄后的操作界面如下圖所示:組管理登錄后的操作界面如下圖所示:不同角色管理員功能職責(zé)允許有交叉，超級管理員可以承擔(dān)所有管理工作， 比如他可以承擔(dān)審計(jì)員的工作，其他管理員權(quán)限也可以根據(jù)需要進(jìn)行授權(quán)。本文 檔對管理員功能的介紹按照功能模塊進(jìn)行組織，不同角色管理

11、員根據(jù)自己的授權(quán) 和管理界面，在對應(yīng)功能模塊章節(jié)查看操作說明。3初始基本配置開始使用堡壘機(jī)，管理員應(yīng)先進(jìn)行一下配置檢查，根據(jù)實(shí)際應(yīng)用需要配置必 要的系統(tǒng)參數(shù)，構(gòu)建適合本單位的系統(tǒng)工作環(huán)境。1、系統(tǒng)時(shí)間同步系統(tǒng)配置一參數(shù)配置中的系統(tǒng)參數(shù)選項(xiàng)卡中各項(xiàng)需要確認(rèn)，尤其是系統(tǒng)時(shí) 間，有條件的請配置合適的 NTP服務(wù)器，保證運(yùn)維堡壘機(jī)時(shí)間的準(zhǔn)確性。2、密碼策略賬號管理是麒麟運(yùn)維堡壘機(jī)的核心功能之一，賬號密碼的安全性不容忽視,應(yīng)在創(chuàng)建賬號前首先確定密碼安全策略，如下圖所以艷列0缽宜桔皚童芍附圭門尸fl-jiiiji5.fi&E舊弓理灰埶咱閆用戸元誹頃1亙雖就扌ifiSkF住礎(chǔ)和史aaF -?包含廠 Zku嗎

12、蜩 包豈河rx79已含F(xiàn)杠開30諜訐茜典3、資產(chǎn)設(shè)備系統(tǒng)類型資產(chǎn)設(shè)備管理進(jìn)行運(yùn)維安全管理的基礎(chǔ)，每臺資產(chǎn)設(shè)備都有相應(yīng)的系統(tǒng)類型，檢查和配置系統(tǒng)類型是開始資產(chǎn)管理的基礎(chǔ)，應(yīng)在添加資產(chǎn)前首先配置好資 產(chǎn)系統(tǒng)類型，如下圖所示。R Alt 7農(nóng) EHfi*4ITSBhiZ4目錄管理4.1 目錄說明目錄結(jié)構(gòu)就是LDAP的目錄，目錄中可以放置主帳號、服務(wù)器等資產(chǎn)，因?yàn)?系統(tǒng)為目錄結(jié)構(gòu)，因此，帳號和服務(wù)器可以放在同一個(gè)目錄中，即目錄與過去的 資源組不同，沒有區(qū)分是用戶的或是設(shè)備的，任何一個(gè)目錄中即可以放置主帳 號，也可以放置服務(wù)器等資產(chǎn)。目錄主要功能是方便管理，使用目錄結(jié)構(gòu)，當(dāng)需要進(jìn)行查找時(shí)可以直接以目 錄

13、為單位進(jìn)行，方便了管理人員使用。系統(tǒng)上線前必須劃分好目錄結(jié)構(gòu)，小的環(huán)境中，建議使用平裝單層結(jié)構(gòu)，即 只有一層組，大的環(huán)境中，建議使用三級目錄關(guān)系，即系統(tǒng)可以分為一級目錄 二級目錄和組三層。4.2 目錄創(chuàng)建目錄創(chuàng)建時(shí)，小的環(huán)境中，直接創(chuàng)建資源組即可，設(shè)備組與設(shè)備組之間是平 等的，用戶在創(chuàng)建主帳號或資產(chǎn)時(shí)，直接將主帳號或資產(chǎn)加入到資源組中即可。大的環(huán)境中，用戶需要先有一個(gè)規(guī)劃，一般可以按地點(diǎn)或管理結(jié)構(gòu)進(jìn)行規(guī) 劃，系統(tǒng)可以設(shè)置為一級目錄-二級目錄-資源組三層關(guān)系，二級目錄必須在一級 目錄中，資源組即可以在一級目錄中，也可以在二級目錄中，用戶在資源管理目錄管理中點(diǎn)擊新建，在節(jié)點(diǎn)類型中選擇為一級目錄，輸

14、入節(jié)點(diǎn)名稱和描述點(diǎn)確 認(rèn)即可以建立一個(gè)一級目錄備菅理目錄菅理系統(tǒng)類型海H公私鑰KADIL3用戶節(jié)點(diǎn)名-級目敘恫負(fù)載均衡無-節(jié)蟲類型一級目錄*所屬日錄級無T二級無*插述一級目錄碩加債用|鍛 認(rèn)建立一級目錄 后，用戶可以在點(diǎn)擊新建按鈕，創(chuàng)建二級目錄或資源組，并 且將新建的目錄或級加到剛才的一級目錄中。系統(tǒng)類型盟H公私鑰RADIUS用戶節(jié)點(diǎn)容二綢目錄刑試負(fù)載均備天-節(jié)憨型二級目錄-所厲目錄一級一級目錄則ift T二級無缺匚級昌錄測試使用建立好目錄關(guān)系后，在目錄管理中，可以直接查看目錄與資源組之間的關(guān)系責(zé)幫組名稱目錄級別1test11一級目錄測Jiit一級目錄00二級目錄泗骯二級目錄Q0資源組SMit

15、資源組00用戶管理設(shè)備管理系統(tǒng)類型SSH公私鑰RADIL組茗高級撫索|添加1新節(jié)點(diǎn)5賬號管理5.1用戶角色麒麟運(yùn)維堡壘機(jī)設(shè)置了五個(gè)用戶角色：超級管理員、配置管理員、審計(jì)管理員、密碼保管員和普通用戶，各角色具體權(quán)限如下表所示用戶角色角色權(quán)限賬戶管理超級管理員資產(chǎn)管理系統(tǒng)級配置管理用戶角色角色權(quán)限運(yùn)維審計(jì)策略配置運(yùn)維操作審計(jì)配置管理員資產(chǎn)管理運(yùn)維操作審計(jì)分組管理員資產(chǎn)管理：角色類似配置管理員，但是只能對指定 設(shè)備組進(jìn)行管理運(yùn)維操作審計(jì)審計(jì)管理員運(yùn)維操作審計(jì)運(yùn)維審計(jì)報(bào)表密碼管理員密碼管理普通用戶設(shè)備運(yùn)維麒麟出廠內(nèi)置三個(gè)管理員賬戶，分別是:(1)admi n 超級管理員(2)audit-審計(jì)管理員(3

16、)password密碼管理員三個(gè)默認(rèn)用戶的默認(rèn)密碼均為12345678。5.2運(yùn)維賬號管理點(diǎn)擊左側(cè)菜單“資源管理一運(yùn)維賬號”，打開運(yùn)維賬號管理界面。初始界面 可以看到三個(gè)管理員賬號。|r| 1少略d.0aUdiSL L2-t? M.K.K審*員lrW d託走*用戶ujUrt.*-xu(m zeoc OE禍itsgll * 謂*r Amuft期 g-口 1&0E22未不it細(xì)is言用戶xmI車兩尸KidUMi畫iEI會汁臚 ii百上=S1 T-n Tr 而門：:両 S WH* 廠在運(yùn)維賬號列表底下有一排操作按鈕，用來實(shí)現(xiàn)賬號相關(guān)的管理工作521添加用戶每個(gè)運(yùn)維賬號含有大量權(quán)限信息，是理解運(yùn)維控制

17、的核心，請務(wù)必仔細(xì)領(lǐng) 會，下面詳細(xì)介紹。1、賬戶基本信息賬戶基本信息主要包括賬戶的基本1廠詞* * *列1豔ir電 iWTh1 ibJTrKiP姦囲址丨 軋口:3.怔 廠J 4A陌ii憚訶11MPPIUP曄：fa皋珂m乓JAffllQr冋|r標(biāo)識信息、對應(yīng)自然人信息、有效期和賬戶認(rèn)證相關(guān)信息。用戶組：是為了方便分組管理設(shè)置的組，可在同一界面的“目錄管理”選項(xiàng) 卡中設(shè)置用戶組，注意，用戶在添加時(shí)，必須屬于一個(gè)組。認(rèn)證方式：本地認(rèn)證、外部認(rèn)證、短信認(rèn)證。默認(rèn)采用本地認(rèn)證，如果使用 Radius賬號，用戶認(rèn)證方式就是外部認(rèn)證方式。另外，動態(tài)口令方式認(rèn)證也屬 于外部認(rèn)證。生效時(shí)間：賬號啟用的時(shí)間。過期

18、時(shí)間：設(shè)定賬號有效期。有一定使用時(shí)間期限的賬戶也稱為臨時(shí)賬戶。鎖定：是使該賬號暫時(shí)不可用，解鎖后可以正常使用。來源IP：設(shè)定給用戶的來源IP。來源IP的具體IP列表設(shè)定在“資源管理一 策略設(shè)置”界面中。周組策略：設(shè)定該賬號一周七天中，哪些天和每天什么時(shí)段可以有效訪問。 限制工具登錄：限制用戶使用工具登錄。2、權(quán)限信息eumaFMRI：Y*卻朗 r MWIrVPS氐 哥曲廿口-l hWS 創(chuàng)P. Tfi： P叵用戶權(quán)限：本行設(shè)定用戶角色和其操作權(quán)限。從下拉列表框中選擇用戶角 色，該賬號即有了角色的默認(rèn)基本權(quán)限；下拉框本行右側(cè)的各選項(xiàng)，是角色基本 權(quán)限外可擴(kuò)展的權(quán)限，如果可選表示角色可以賦予該權(quán)限

19、，如果不可選表示不能 賦予該權(quán)限。角色可擴(kuò)展權(quán)限如下圖所示。角色可擴(kuò)展權(quán)限普通用戶無管理員運(yùn)維權(quán)限、密碼權(quán)限審計(jì)員運(yùn)維權(quán)限、密碼權(quán)限密碼管理員運(yùn)維權(quán)限配置管理員運(yùn)維權(quán)限、密碼權(quán)限、審計(jì)權(quán)限組管理員運(yùn)維權(quán)限、密碼權(quán)限、設(shè)備組、用戶組數(shù)據(jù)庫運(yùn)維權(quán)限：該賬戶運(yùn)維數(shù)據(jù)局庫的時(shí)候是數(shù)據(jù)庫DBA還是普通用戶等權(quán)限登錄。日志審計(jì)權(quán)限：日志審計(jì)功能的權(quán)限設(shè)置。VPN IP:勾選“不允許使用 VPN，表示不能以VPN方式登錄堡壘機(jī)。如果 不打勾，表示允許該賬戶通過啟動堡壘機(jī)的 VPN客戶端登錄堡壘機(jī)進(jìn)行運(yùn)維VPN IP 一般不用指定，堡壘機(jī)會自動分配 VPN IP。3、其他信息設(shè)置用戶使用控件的方式。522批量

20、添加用戶點(diǎn)擊“批量添加”可以快速添加多個(gè)用戶，如下圖所示i丸創(chuàng)冃k 叩汕 11 4 /r 11 - jrwiL L*.紐思IM自上出朋展戶日骨盼IM】星否蜚錄iK in rr k頂5 ItoJ Inft樣臨總百弟b*啟r收伽 Q _12口_LJ她虬pF3袖錨rr可軸仙ltd邂Ajgfi!三1賬號是否被鎖定：一般不要勾選，勾選后這個(gè)系統(tǒng)賬號將不能登錄磁盤映射、剪切板對 RDP有效。周組策略：選擇預(yù)設(shè)的周組策略。來源IP組：限定運(yùn)維登錄的合法IP組。命令權(quán)限：選擇預(yù)設(shè)的命令權(quán)限組。如下圖所示，如果一個(gè)命令組的名稱后 面標(biāo)有“（禁止）”表示是一個(gè)命令黑名單，標(biāo)有“（允許）”說明是一個(gè)白名 單。周組策

21、略、來源IP組和命令權(quán)限都說是在“資源管理一策略設(shè)置”菜單界 面中。來源命令權(quán)眼ILinux_Blacklist（iE） ILinuX-WhtteHH（応許）|5.8設(shè)備信息導(dǎo)入導(dǎo)出麒麟運(yùn)維堡壘機(jī)支持設(shè)備導(dǎo)入導(dǎo)出，采用Excel CSV文件格式。如下圖所示占】* . IlJlfi；ic-1 ITJlF眼務(wù)器罵2 Hi 1KL61.1, tni stra.TKr錄01NS話吾a i 址口 竝制必URdwii-Sffirvirr M：Rh 耽祁 nd 曲應(yīng)用眼:器L6B. 1.73Tlrd-rsLJnVXl1V. L* ?. 1 MS Llr7.iF L- M L：E區(qū)4 C n31 sm RCf

22、tQalbfi-主用戶踐4血TviGJiTlvIeTKddhi jdnt-力昨芒匹上1?用.如下圖中，設(shè)備列表底下的“導(dǎo)入用戶”、“導(dǎo)出用戶”兩個(gè)按鈕就是用來導(dǎo) 入和導(dǎo)出設(shè)備資產(chǎn)信息的，包含設(shè)備用戶信息。點(diǎn)擊“導(dǎo)出用戶”按鈕，可以得到一個(gè) Excel CSV文件，可以作為模板，用來填寫需要導(dǎo)入的設(shè)備用戶信息。設(shè)備導(dǎo)入時(shí)，在資產(chǎn) CSV中添寫的是明文密碼，貝嚅要將加密項(xiàng)勾選，系 統(tǒng)入庫時(shí)會自動將密碼進(jìn)行加密保存，如下圖所示。5.9普通用戶自動登錄root賬號如果您設(shè)備不允許的root賬號遠(yuǎn)程登錄，需要使用從普通賬號自動SU到root賬號的功能。首先在設(shè)備添加時(shí)需要輸入超級管理員口令,然后將建好的

23、普通賬號綁定給指定堡壘機(jī)用戶，點(diǎn)擊堡壘機(jī)用戶名進(jìn)行策略設(shè)置，選擇自動登錄為超級用戶, 設(shè)置界面如下:貳羸l=L*145 晉耐詩曜比旳審耳廉LIW如 旳注意：su切換僅對telnet、ssh有效，對其它協(xié)議無效5.10目錄節(jié)點(diǎn)管理點(diǎn)擊“目錄節(jié)點(diǎn)”選項(xiàng)卡，進(jìn)入目錄節(jié)點(diǎn)管理界面，如下圖所示。點(diǎn)擊添加，可以添加設(shè)備目錄節(jié)點(diǎn)，設(shè)備目錄節(jié)點(diǎn)可以分為一級節(jié)點(diǎn)、二級節(jié)點(diǎn)、設(shè)備組三個(gè)級別，其中二級節(jié)點(diǎn)必須屬于一個(gè)一級節(jié)點(diǎn)系統(tǒng)用戶組SSH公私鑰上傳備儲管哩過檢管遲脳箔器組宮設(shè)爸目錄一級I無二級I無二:扁涓節(jié)點(diǎn)服勢器組 所屬目錄在設(shè)備組目錄中，點(diǎn)擊一個(gè)目錄，例如點(diǎn)擊上圖中“ Win dows設(shè)備組”，系 統(tǒng)顯示出改

24、組設(shè)備的列表，如下圖所示?？梢詫υ摻M設(shè)備進(jìn)行操作，或者為當(dāng)前 組添加、刪除設(shè)備5.11系統(tǒng)用戶組通過系統(tǒng)用戶組可以快速地將多個(gè)設(shè)備的系統(tǒng)賬號綁定給堡壘機(jī)自然人運(yùn) 維賬號。系統(tǒng)用戶組是指將已經(jīng)添加的資源的系統(tǒng)賬號以列表的形式展現(xiàn)出來，方便分組綁定操作，不用再繁瑣的選擇資源再選擇系統(tǒng)用戶然后再進(jìn)行綁定，簡化綁定操作。點(diǎn)擊添加新組就可以添加一個(gè)新的系統(tǒng)用戶組，界面如下:*妊卩卜記錄酉帀二一亡r m下點(diǎn)擊“添加新組”進(jìn)入新組創(chuàng)建頁面，如下圖所示。輸入IP地址段可以對備選設(shè)備系統(tǒng)賬號進(jìn)行過濾篩選。選中要添加的賬戶，點(diǎn)擊“添加”按鈕，添加 到組中的賬號顯示在右側(cè)列表中，初始為空2 =2S3田包歸|1詢曰p

25、t訥毎2術(shù):”:5D1 42_17忙？1 $1 T? 2 * 1 ； 1 址芝“：卩_的護(hù) r ! - .4 - _72 10嚴(yán)i i_曲 皿的A L=弊_*護(hù)QR茁11n ?1f竹？11書化岸-滬.巧彌話眸Elt臣its 鬧?11 中 v*ia DW3工173 軸=2i1.i（iii1*Ei2*GAiLBCP_H3JMLalniWaiMiDLJt!E1T2 M ni iUMMuaKSMIKF.nUMBJffif W* IM*!世11避J!ElaSEfcill泄贓口蜩!b砂型出皿LB詳要為一個(gè)系統(tǒng)設(shè)備組綁定用戶，請單擊系統(tǒng)用戶組列表操作欄的“授權(quán)”操 作下圖所示。 tH*WrwrLXmt比*y

26、 口 t-a i r-i3 ur 口 m l as “呻記衆(zhòng)門 柴坷 n點(diǎn)擊“綁定”后，進(jìn)入運(yùn)維賬號選擇綁定操作界面，如下圖所示，選擇需要綁定的組與用戶，點(diǎn)擊“保存修改”即可0CHt|課帶輙.使用系統(tǒng)用戶組來進(jìn)行綁定可以避免系統(tǒng)賬號綁定給自然人賬號時(shí)的誤操 作，提供了一個(gè)更加清晰高效的綁定界面。5.12應(yīng)用發(fā)布應(yīng)用發(fā)布系統(tǒng)可以管理http/https或C/S應(yīng)用，比如Juniper防火墻，前置交 換機(jī)等所使用的運(yùn)維管理工具軟件。5.12.1 應(yīng)用發(fā)布服務(wù)器應(yīng)用發(fā)布系統(tǒng)運(yùn)行在 Windows平臺，推薦 Windows Server 2008, Windows 2003也可以支持。在應(yīng)用發(fā)布服務(wù)器

27、上部署麒麟應(yīng)用發(fā)布模塊，將運(yùn)維需要的 各種應(yīng)用程序安裝在應(yīng)用發(fā)布服務(wù)器上。5.12.2 添加為資產(chǎn)設(shè)備應(yīng)用發(fā)布服務(wù)器需要先添加到系統(tǒng)資產(chǎn)里，過程與添加一臺普通Win dows服務(wù)器類似，唯一的區(qū)別是選擇登陸方式為apppud,將該設(shè)備綁定給所有需要使用應(yīng)用發(fā)布的賬號。1、添加設(shè)備刑幻V18亦=6-12SJewe冋扁主！ ?心 7Wfr-x口甘苗月J 日寧言NI讖區(qū)!a”V *；：=亠:丁於.-：匸.X；r：F=：凹：_ r：w 殳沖 |. mh：E -.:-E?- - -?UWiAMQ區(qū)II11XETM 皿口&3LlITE認(rèn)購口硏I酬4t認(rèn)潔口tiw：趙11.賈口wwOncWSf,cg2、設(shè)置

28、為應(yīng)用發(fā)布登錄模式在設(shè)備列表中，為應(yīng)用發(fā)布設(shè)備添加一個(gè)用戶，用戶名和密碼可以為空，選 擇“應(yīng)用發(fā)布”登錄方式，保存修改。如下圖所示。5.12.3添加為應(yīng)用發(fā)布服務(wù)器打開“資源管理-設(shè)備管理”，打開應(yīng)用發(fā)布選項(xiàng)卡，進(jìn)入應(yīng)用發(fā)布服務(wù)器管 理界面。可以看到應(yīng)用發(fā)布服務(wù)器列表，如下圖。點(diǎn)擊“增加”按鈕，可以添加新的應(yīng)用發(fā)布服務(wù)器：1 1保祥凝/npifni rjinvf卜丿 nua盤i月川岡和5.12.4 應(yīng)用發(fā)布攔臨門自點(diǎn)盤X-S1宅罠卡臣盤L . 2 1：#B-j E HffiE E打開應(yīng)用發(fā)布服務(wù)器列表，在操作欄中點(diǎn)擊“應(yīng)用發(fā)布”，進(jìn)入應(yīng)用發(fā)布界 面。如下圖所示顯示已經(jīng)發(fā)布的應(yīng)用列表點(diǎn)擊“添加”

29、按鈕，發(fā)布一個(gè)新的應(yīng)用，注意，發(fā)布應(yīng)用前，應(yīng)用必須已經(jīng) 安裝在服務(wù)器上。發(fā)布一個(gè)新應(yīng)用的界面如下圖所示。應(yīng)用名稱：名稱是唯一的，不能重復(fù)。用戶名和密碼：是針對IE應(yīng)用的，例如發(fā)布了一個(gè)郵件應(yīng)用，填寫郵箱的 用戶名和密碼后可以將郵件的用戶名密碼自動填寫。服務(wù)器列表：選擇應(yīng)用在哪臺服務(wù)器上。程序列表：堡壘機(jī)系統(tǒng)維護(hù)的常用應(yīng)用程序的列表，在當(dāng)前界面的最后一個(gè)選項(xiàng)卡“應(yīng)用程序”中可以查看和維護(hù)，如下圖所示n *C Eik? FfT 4mSr叵i血施C hpvi F i. riijxfft fwii:可住C !h廊fl F#上sw Ei陽1(知 住WXHiEl raC. ?rFHi Tiw Tfi it

30、riBrnw Eiptenr 網(wǎng)舟代 svr耶KHV7lv|udu -ejL *ExHapa u-a劭卻XI*-F=my-LaHCc VIF丄嘔_1W：隅 |j3.2IM才LS.彌ion*NUUoxwuwEEEl1WT1W 141. |WILNUtLKRl叩i實(shí)乗雨L卻】T 7i十幣幣.i匪f轉(zhuǎn)錄而*品舉西如果要修改授權(quán)，點(diǎn)擊上圖列表右側(cè)操作欄中的“編輯”，進(jìn)入與編輯系統(tǒng) 用戶相同的界面，可以改變權(quán)限綁定關(guān)系出冃-wilb柑舸掃Uru5d.iiti O耳書環(huán)姙口事車嶂申礎(chǔ)*|a.fisHws.n.H戶時(shí)弧 Js占*|瞬囲L_lNK拙豐刪1#gBUbAf沁屏胡Sv dktTBfei電曲住班OsM

31、Qk-juifiiWruIQiidF iiifcri口乞 dMNijukM剛址 d末書覽Qi;tri.sijaarii1丄6.2應(yīng)用權(quán)限查詢在“資源管理-授權(quán)查詢”菜單頁面中，點(diǎn)擊“應(yīng)用權(quán)限”選項(xiàng)卡，顯示應(yīng)用權(quán)限查詢頁面，如下圖所示可以在上圖中輸入查詢條件重新進(jìn)行篩選。如果要調(diào)整修改應(yīng)用授權(quán)，請?jiān)谏蠄D中選擇目標(biāo)行，在右側(cè)操作欄點(diǎn)擊“編輯”，進(jìn)入應(yīng)用發(fā)布權(quán)限修改界面，如下圖所示7策略設(shè)置策略是實(shí)現(xiàn)運(yùn)維控制機(jī)制的關(guān)鍵，“策略設(shè)置”就是管理員根據(jù)實(shí)際需要設(shè) 置各種測試的集中管理模塊7.1默認(rèn)策略點(diǎn)擊“資源管理-策略設(shè)置”菜單打開策略設(shè)置界面，如下圖所示，顯示當(dāng)前 默認(rèn)策略設(shè)置。|束卻1*41言對至眾

32、*F用戶回廠r|r.1瓷Ft -自KirF7盟螂上亓GTTff.叵誦“恣首先看到的是系統(tǒng)默認(rèn)策略。系統(tǒng)默認(rèn)策略就是一個(gè)模板，在真正綁定策略 的時(shí)候，可以不加修改地使用它，也可以進(jìn)行按需的調(diào)整后綁定。 比如在系統(tǒng)賬 號綁定運(yùn)維賬號的時(shí)候，講過如何通過點(diǎn)擊用戶名設(shè)置具體的策略。默認(rèn)策略中的“周組策略”、“來源 IP組”、“命令權(quán)限”等都需在本頁 面的其他選項(xiàng)卡中設(shè)置好以后才可用。7.2來源IP組來源IP組的作用是為了對運(yùn)維終端IP進(jìn)行限制。來源地址限制分為WebPortal登錄限制和直接使用運(yùn)維工具限制二部分，WebPortal登錄限制，可以限制用戶登錄 WE界面時(shí)的來源地址，運(yùn)維工具限制可以限制

33、用戶使用運(yùn)維工 具直接連接系統(tǒng)時(shí)的來源地址，一般情況下，如果對用戶來源地址進(jìn)行限制，建議將WebPortal和運(yùn)維工具限制方式都進(jìn)行設(shè)定。一個(gè)來源IP組就是包含多個(gè)源IP地址的組。下圖定義了一個(gè)名稱為“內(nèi)網(wǎng) 組”的來源IP組在來源IP組管理界面列表操作欄中點(diǎn)擊“ ip ”操作，可以對對應(yīng)行的來源IP組進(jìn)行編輯，添加或者刪除該IP組中的IP地址，如下圖所示。世畦誓侖詰輛制0呈獨(dú)砒牌AH 11址.1舐E盤出XMfftWtltAC.4闔ItiCiHr t 吊 I 一一疋 +：5I:亡茁f迅幣（K*紹 幣點(diǎn)擊“添加”按鈕可以網(wǎng)組中添加一個(gè)新的ip地址。注意ip地址的表示方式，是要帶掩碼的，如 127.

34、0.0.0/8 或 4/。添加IP地址需要符合標(biāo)準(zhǔn)掩碼模式，比如/24等，如果想添加一個(gè)單獨(dú)的IP到地址組，則只需要將掩碼設(shè)置為 32位即可。WebPortal登錄限制在新建和編輯用戶時(shí)可以設(shè)置，如下圖所示。點(diǎn)擊保存修改按鈕后，以后這個(gè)用戶只能從綁定的地址組來源里登錄，當(dāng)從其它地址登錄時(shí)，系統(tǒng)會自動提示并退出。WebPortal模式不能禁止運(yùn)維人員直接使用運(yùn)維工具登錄到目標(biāo)服務(wù)器的方 式，如果開啟了直接登錄方式，則除了 WebPortal綁定外，還需要對用戶登錄權(quán) 限進(jìn)行綁定限制，可以在系統(tǒng)用戶綁定給用戶、系統(tǒng)用戶組綁定給用

35、戶、設(shè)備組 綁定給用戶時(shí)的任何一個(gè)地方進(jìn)行來源地址組綁定， 如果權(quán)限沖突，則系統(tǒng)會遵 循以下優(yōu)先原則，即系統(tǒng)用戶組的權(quán)限覆蓋設(shè)備組的，系統(tǒng)用戶的覆蓋系統(tǒng)用戶 組的。在做任何一個(gè)綁定時(shí)，都可以單擊用戶名或用戶組名（為了避免操作混亂， 推薦在系統(tǒng)用戶組處綁定），用戶權(quán)限綁定對話框如下圖所示。18/ .7!= =n prn&Jai-,自趨錄為刪用戶是盃翌錄時(shí)進(jìn)行釣七呻告誓1二因組莆略V“ 1元無上T伽瀚1選中來源IP組后，點(diǎn)擊保存修改按鈕，返回到上層權(quán)限綁定界面，再次點(diǎn) 擊保存修改按鈕，才可以使設(shè)置生效（注意，如果在權(quán)限綁定界面沒有點(diǎn)擊保存 修改按鈕，則配置不會保存）。7.3周組策略周組策略是一周為

36、周設(shè)定訪問時(shí)間策略的一種方式，可以規(guī)定一周中每一天 的有效時(shí)段，比如定義一個(gè)周一至周五每天上午9點(diǎn)到下午18點(diǎn)的時(shí)間策略。下圖是已經(jīng)定義的周組策略列表顯示，可以修改或者添加新的。華略設(shè)蠱耒唾建占* 命專檄限目功說密金令期乗疑類型羥報(bào)第略貂共04記錄酋丈上一更下_31末頁下圖是建立一個(gè)新的周組策略的界面，可以很清楚看出周組策略的定義方 式。每一天或者給出有效時(shí)段，或者選擇后面的“全部允許”或“全部禁止”時(shí)段的表示，采用開始時(shí)間和結(jié)束時(shí)間來定義，時(shí)間格式是:hh:mm:s s。1 .里新1 1圭部Jtit廠主引堆早咗1 1片1F臨全*丘1卜H換1 1Ek)ci；空卽崢屋手匹1 11廣MSW廣全祁荼

37、止EWK1叵k舸弗厶割刈M曲1 1lr空華尢許r全卻坯止虧目1 11廣kt樂廣淫印君止【賦*蛛】7.4命令組命令組就是設(shè)置的一組命令，可以在“命令權(quán)限”策略設(shè)置中使用這些命令 組，在那里稱為命令模板。點(diǎn)擊上圖中命令組列表右側(cè)操作欄中的“命令編輯”，可以對現(xiàn)有命令組進(jìn) 行編輯修改，點(diǎn)擊“添加”按鈕可以建立一個(gè)新的命令組。下圖是編輯一個(gè)命令 組的頁面。獲令価眸彌列siulornitjnn_xrWf曲MlLnnx_耳冊aLuiaiJSBr iJUMlihi侖舍丹r-=予1下頁呼帀百F; 3 H 1希電迂皆科軍點(diǎn)擊“添加”可以為改組添加命令，一次可以添加多個(gè)命令，如下圖所示刪1和*fc-atr-*止由

38、發(fā)frl-.rKWi “，益岳b，彌7.5命令權(quán)限“命令權(quán)限”策略設(shè)置就是通過設(shè)置命令黑白名單，實(shí)現(xiàn)命令防火墻的功能， 堡壘機(jī)根據(jù)命令權(quán)限策略實(shí)時(shí)監(jiān)控操作指令， 并根據(jù)命令危險(xiǎn)級別做出響應(yīng)。白 名單為用戶只能執(zhí)行的命令，即只要做了綁定以后，用戶不能執(zhí)行白名單之外的 命令，黑名單為用戶不能執(zhí)行的命令，即做了綁定以后，用戶只能運(yùn)行黑名單之 外的命令。對命令的控制，分為斷開連接、阻斷執(zhí)行和告警三種方式。下圖是“命 令權(quán)限”配置管理頁面。ri*fc4rda新盧xwtbn血Isn 1 Indp二氐戶J*歸耳*Lssc MUlALi;*黒命Ljbdi UkHc甲戶業(yè)建業(yè)XHHLjtJS ；理曲.社它青上一證i y-s點(diǎn)擊“添加”按鈕，可以添加一個(gè)新的命令組權(quán)限策略，如下圖所示，可以 選擇是白名單還是黑名單。自更兀*在命令權(quán)限列表頁