堡壘主機用戶操作手冊--運維管理

1、堡壘主機用戶操作手冊運維管理版本2.3.22011-06目 錄1.前言11.1.系統(tǒng)簡介11.2.文檔目的11.3.讀者對象22.登錄系統(tǒng)32.1.靜態(tài)口令認證登錄32.2.字證書認證登錄32.3.動態(tài)口令認證登錄42.4.LDAP域認證登錄52.5.單點登錄工具53.單點登錄（SS0）73.1.安裝控件73.2.單點登錄工具支持列表103.3.單點登錄授權資源查詢103.4.單點登錄操作113.4.1.Windows資源類（域內(nèi)主機域控制器windows20032008）113.4.2.UnixLinux資源類143.4.3.數(shù)據(jù)庫（獨立）資源類173.4.4.ORACLE_PLSQL單點登

2、錄183.4.5.ORACLE_SQLDeveleper單點登錄203.4.6.MSSQLServer2000查詢分析器單點登錄213.4.7.MSSQLServer2000 企業(yè)管理器單點登錄233.4.8.SQL Server 2005 Management Studio單點登錄243.4.9.SQL Server 2008 Management Studio單點登錄253.4.10.Sybase Dbisqlg單點登錄263.4.11.SQL-Front單點登錄273.4.12.數(shù)據(jù)庫（系統(tǒng)）資源類單點登錄（DB2/informix）283.4.13.網(wǎng)絡設備（RADIUSlocal其他

3、）資源類323.4.14.Web應用資源類34堡壘主機系統(tǒng)用戶操作手冊運維管理1. 前言1.1. 簡介堡壘主機系統(tǒng)運維管理是堡壘主機系統(tǒng)中使用最為頻繁的一個平臺。它面向的對象是，企業(yè)的運維人員。該模塊是堡壘主機系統(tǒng)為運維人員提供的登錄入口。因此堡壘主機系統(tǒng)加強了登錄的認證手段，提高安全性的同時不失用戶的方便性。運維人員登錄堡壘主機系統(tǒng)認證成功后，將不會繼續(xù)認證。從堡壘主機單點登錄平臺可以登錄任意經(jīng)過授權的資源。堡壘主機系統(tǒng)為每次訪問資源都建立了唯一的授權一次性會話號，用以確保登錄會話的安全性。1.2. 文檔目的堡壘主機系統(tǒng)運維管理手冊是指導運維人員如何登錄堡壘主機系統(tǒng)認證和訪問資源。在該模塊中

4、經(jīng)常會有很多的問題出現(xiàn)。通過該手冊能夠解決運維人員的常見問題。1.3. 讀者對象本文檔適用于企業(yè)運維人員使用。2. 登錄系統(tǒng)系統(tǒng)登錄主要的工作就是系統(tǒng)認證。堡壘主機系統(tǒng)登錄界面隨系統(tǒng)配置的認證方式不同而有所差異。堡壘主機支持的認證方式包括靜態(tài)口令認證、數(shù)字證書認證、動態(tài)口令認證、LDAP域認證、指紋認證等。無論堡壘主機配置哪種認證方式，登錄系統(tǒng)都需要在瀏覽器中輸入服務地址。例如:95。在該例中，95為堡壘主機系統(tǒng)IP地址（堡壘主機系統(tǒng)出廠設置的管理IP為2）。當在瀏覽器中輸入示例內(nèi)容后，點擊回車（堡壘主機配置雙

5、向認證時，如果需要域名方式訪問的情況除外）系統(tǒng)自動轉(zhuǎn)向到登錄界面。下面列舉常見的幾種常見的認證方式界面。2.1. 靜態(tài)口令認證登錄靜態(tài)口令登錄認證是最基本得認證方式，登錄界面入圖2.1.1所示。圖2.1.1用戶需要輸入用戶名及口令后，點擊登錄按鈕后登錄系統(tǒng)。2.2. 字證書認證登錄堡壘主機系統(tǒng)證書認證登錄，支持的形式包括軟證書認證，Usbkey證書認證兩種。這兩種形式的唯一區(qū)別在于證書所依賴的存儲截止不同。Usbkey證書只是將證書導入Usb硬件Key中，安全性相應增加。但無論證書以哪種方式存在，堡壘主機系統(tǒng)都會統(tǒng)一對待。如圖2.2.1所示，當自然人在瀏覽器地址欄中輸入堡壘主機系統(tǒng)地址后，點擊

6、回車，彈出選擇證書提示框。圖2.2.1此時用戶需要選擇所要使用的數(shù)字證書，點擊確定按鈕。此例子選擇名稱為simper的證書，點擊確定按鈕，進入圖2.2.2界面。圖2.2.2由于在上一操作步驟中選擇的是名稱為simper證書，所以堡壘主機系統(tǒng)此時自動將用戶名鎖定，禁止自然人修改登錄用戶名。防止身份篡改。此時，用戶需要輸入simper用戶口令即可進行靜態(tài)口令認證。靜態(tài)口令操作內(nèi)容請參考2.1章節(jié)。2.3. 動態(tài)口令認證登錄動態(tài)口令認證是指可以通過OTP令牌方式通過堡壘認證登錄。認證界面如圖2.3.1所示。圖2.3.1 堡壘主機系統(tǒng)的動態(tài)口令登錄認證，采用的是雙因子認證方式。也就是說，用戶需要輸入動

7、態(tài)口令的同時必須輸入自身的靜態(tài)口令作為PIN碼。當兩項認證都通過時才可以進入堡壘主機系統(tǒng)。這一點與數(shù)字證書認證方式是類似的。這種方式大大增強了系統(tǒng)登錄的安全性。2.4. LDAP域認證登錄堡壘主機系統(tǒng)域認證是另外一種第三方認證方式。堡壘主機系統(tǒng)將自身的部分系統(tǒng)認證交由第三方安全平臺認證。堡壘主機系統(tǒng)中將LDAP域口令的認證指派到LDAP服務器上。LDAP域認證的操作界面入圖2.4.1所示。圖2.4.1與動態(tài)口令的認證方式類似，域口令認證需要在LDAP域認證通過的情況下同時滿足自然人的靜態(tài)口令認證認證通過，此時才可以成功進入堡壘主機系統(tǒng)。2.5. 單點登錄工具介紹完堡壘主機系統(tǒng)中常見的認證方式后

8、，用戶可能注意到圖例中【工具下載】選項。該選項為用戶提供了部分的客戶端工具，及堡壘主機系統(tǒng)SSO登錄控件的下載。點擊【工具下載】選項彈出如圖2.5.1所示界面。圖2.5.1圖2.5.1只截取了部分的內(nèi)容，其中還包括單點登錄工具及客戶端工具安裝過程中常常出現(xiàn)的問題及解答。用戶可以點擊如圖2.5.1界面中的帶有“單點登錄控件”字樣的下載鏈接，下載單點登錄工具。有關單點登錄工具詳細內(nèi)容請參見堡壘主機系統(tǒng)運維工程師操作手冊。3. 單點登錄（SS0）3.1. 安裝控件在元目錄->幫助或登錄頁->幫助頁面中按照如下操作方式安裝控件。如圖3.1.1所示。圖3.1.1使用目標另存為下載相應控件，如

9、圖3.1.2和3.1.3所示。圖3.1.2圖3.1.3運行該安裝程序。如圖3.1.4所示注意：為避免安裝失敗請關閉所有IE窗口圖3.1.4選擇安裝目錄，如圖3.1.5與圖3.1.6所示圖3.1.5圖3.1.6可以選擇要安裝的路徑，這里我們默認為當前路徑，如圖3.1.7所示。圖. 單點登錄工具支持列表圖. 單點登錄授權資源查詢在SSO列表界面點擊 按鈕進入添加命令策略界面，如圖所示，輸入基本信息。點擊提交即完成查詢操作。如圖3.3.1所示圖3.3.1如圖所示：【資源名稱查詢】依照資源名稱進行查詢?！举Y源類型查詢】依照資源類型進行查詢，具體類型包括如下

10、幾種：如圖3.3.2所示。圖3.3.2【資源IP查詢】依照資源IP進行模糊查詢。3.4. 單點登錄操作3.4.1. Windows資源類（域內(nèi)主機域控制器windows20032008）圖在SSO列表界面中選擇windows主機的 按鈕進入windows資源單點登錄界面，如上圖所示點擊相應登錄方式即完成對目標windwos資源的單點登錄。如圖所示。圖如圖所示：【資源IP選擇】對于部分多IP設備可選擇IP進行登錄?！究刂婆_選擇】等同于 mstsc /admin或 mstsc /console的控制臺登錄【RDP單點登錄】點擊并進行標準遠程桌面的RDP登錄

11、【登錄會話號登錄】依照資源IP進行會話號方式的登錄第一步：點擊 進入會話號頁面，如圖所示圖第二步：在本機運行中輸入mstsc如下圖所示：圖第三步：在彈出的遠程桌面連接中輸入頁面看到的IP與會話號，會話號填在用戶名的位置。如圖所示：圖【RDP網(wǎng)頁登錄方式】無需安裝單點登錄控件的單點登錄方式。第一步：點擊 進入無插件RDP單點登錄，第二步：點擊后可見如圖所示：圖第三步：選擇大小后點擊 按鈕【vnc登錄】參考【RDP登錄方式】【vnc網(wǎng)頁登錄方式】參見【RDP網(wǎng)頁登錄方式】?！緒indow

12、sFTP登錄方式】點擊 按鈕進行FTP登錄，并確保模式及編碼選擇正確。如圖所示。圖注意：本功能需要客戶機安裝SSO控件，并安裝JRE。【windowsFTP網(wǎng)頁登錄方式】點擊可進行無插件FTP單點登錄?！緒indows文件共享登錄方式】與【windowsFTP登錄方式】相同【windows文件共享網(wǎng)頁登錄方式】與【windowsFTP網(wǎng)頁登錄方式】相同3.4.2. UnixLinux資源類圖在SSO列表界面中選擇相應UnixLinux主機的 按鈕進入UnixLinux資源單點登錄界面，如下圖所示點擊相應登錄方式即完成對目標UnixLinux資源的單點登

13、錄。如圖所示。圖【資源IP選擇】對于部分多IP設備可選擇IP進行登錄?！就ㄓ崊f(xié)議選擇】依據(jù)需要訪問資源的通訊協(xié)議進行選擇SSHTELNET方式登錄 【CRT登錄】點擊 并進行SecureCRT單點登錄【NeTerm登錄】點擊 并進行SecureNeTerm單點登錄【會話號登錄】獲取單點登錄目標資源的一次性會話號第一步：點擊 進入會話號頁面，如圖所示。圖第二步：在本機開啟任意常用SSHTELNET工具，輸入網(wǎng)頁中看到的IP地址及用戶名。如圖所示。圖第三步：將網(wǎng)頁提供的密碼作為登錄密碼進行登錄。如圖所

14、示：圖【UNIXLINUX網(wǎng)頁登錄方式】無需安裝單點登錄控件的單點登錄方式,點擊 完成無插件單點登錄?！綰nixLinuxFTP登錄方式】點擊 按鈕進行FTP登錄，并確保模式及編碼選擇正確。如圖所示。圖注意：本功能需要客戶機安裝SSO控件，并安裝JRE?！綰nixLinuxFTP網(wǎng)頁登錄方式】點擊 可進行無插件FTP單點登錄?！綰nixLinuxSFTP登錄方式】與【UnixLinuxFTP登錄方式】相同【UnixLinuxSFTP網(wǎng)頁登錄方式】與【UnixLinuxFTP網(wǎng)頁登錄方式】相同【x-windows登錄】點擊下圖所標注的按鈕進行x-wind

15、ows登錄，具體操作方法與【RDP網(wǎng)頁登錄方式】相同圖【x-windows會話號登錄方式】參見【RDP會話號登錄方式】?！緓-windows網(wǎng)頁登錄方式】參見【RDP網(wǎng)頁登錄方式】?！緑nc登錄】參見【RDP網(wǎng)頁登錄方式】【vnc會話號登錄方式】參見【RDP會話號登錄方式】?！緑nc網(wǎng)頁登錄方式】參見【RDP網(wǎng)頁登錄方式】。3.4.3. 數(shù)據(jù)庫（獨立）資源類在介紹本部分以前請先熟悉一下應用發(fā)布的原理如下圖：對于數(shù)據(jù)庫類資源堡壘主機需要通過中間的應用發(fā)布服務器（參見下圖）完成對目標數(shù)據(jù)庫的單點登錄,通過應用發(fā)布服務器完成數(shù)據(jù)庫客戶端的單點登錄并保證審計業(yè)務完整.圖圖3

16、.4.3.2在SSO列表界面中選擇數(shù)據(jù)庫的 按鈕進入數(shù)據(jù)庫資源單點登錄界面，點擊相應登錄方式即完成對目標數(shù)據(jù)庫資源的單點登錄?！举Y源IP選擇】對于部分多IP設備可選擇IP進行登錄?！緯捥柕卿洝揩@取單點登錄目標資源的一次性會話號【應用發(fā)布服務選擇】獲在應用發(fā)布服務下拉菜單中選擇應用發(fā)布服務器的IP地址，如圖所示：圖3.4.4. ORACLE_PLSQL單點登錄自然人身份登錄，點擊相應ORACLE_PLSQL后邊的賬號按鈕，進入如圖所示頁面。圖在圖形下來菜單中選擇登錄身份 (Normal為普通身份，SYSDBA為系統(tǒng)管理員身份，SYSOPE

17、R 為系統(tǒng)操作員身份)此處我們選Normal,點擊PLSQL圖標，出現(xiàn)遠程桌面連接，如圖所示圖點擊連接，連接到數(shù)據(jù)庫oracle,體現(xiàn)為圖所示：圖3.4.5. ORACLE_SQLDeveleper單點登錄自然人身份登錄，點擊相應ORACLE_PLSQL后邊的賬號按鈕，進入如圖所示頁面圖點擊sqlDeveleper圖標（下圖紅色區(qū)域）彈出遠程桌面連接，如圖所示。圖點擊連接，連接到數(shù)據(jù)庫orcl,體現(xiàn)為圖所示：圖3.4.6. MSSQLServer2000查

18、詢分析器單點登錄自然人身份登錄，點擊MSSQLServer2000數(shù)據(jù)庫資源后面的賬號按鈕。如圖所示。圖點擊查詢分析器圖標，出現(xiàn)遠程桌面連接，如圖所示。圖點擊連接,連接成功，如圖所示圖3.4.7. MSSQLServer2000 企業(yè)管理器單點登錄自然人身份登錄，點擊相應MSSQLServer2000后邊的賬號按鈕，進入如下圖所示頁面圖點擊企業(yè)管理器圖標,出現(xiàn)遠程桌面連接,如圖所示。圖點擊連接,連接成功，如圖所示。圖3.4.8.

19、 SQL Server 2005 Management Studio單點登錄自然人身份登錄，點擊相應MSSQLServer2005后邊的賬號按鈕，進入如下圖所示頁面。圖點擊SQL Server Management Studio Express圖標，出現(xiàn)遠程桌面連接，如圖所示圖點擊連接,連接成功，如圖所示圖3.4.9. SQL Server 2008 Management Studio單點登錄自然人身份登錄，點擊相應MSSQLServer2008數(shù)據(jù)庫后邊的賬號按鈕，進入如下圖所示頁面圖3.4.9

20、.1點擊SQL Server Management Studio Express圖標，出現(xiàn)遠程桌面連接，如圖所示。圖點擊連接，連接成功，如圖所示。圖3.4.10. Sybase Dbisqlg單點登錄自然人身份登錄，點擊相應Sybase數(shù)據(jù)庫后邊的賬號按鈕，進入如下圖所示頁面圖點擊Sybase Dbisqlg 圖標，出現(xiàn)遠程桌面連接，如圖所示。圖點擊連接，連接成功，如圖所示圖3.4.11. SQL-Front單點登錄自然人身份登錄，點擊相應My

21、sql數(shù)據(jù)庫后邊的賬號按鈕，進入如下圖所示頁面。圖點擊Mysql-Front圖標，出現(xiàn)遠程桌面連接，如圖所示。圖點擊連接，連接成功，如圖所示圖3.4.12. 數(shù)據(jù)庫（系統(tǒng)）資源類單點登錄（DB2/informix）自然人身份登錄，點擊相應數(shù)據(jù)庫后邊的 按鈕，如圖所示圖點擊賬號按鈕后既可看到如下單點登錄頁面。如圖所示圖【資源IP選擇】對于部分多IP設備可選擇IP進行登錄?！就ㄓ崊f(xié)議選擇】依據(jù)需要訪問資源的通訊協(xié)議進行選擇SSHTELNET

22、方式登錄 【CRT登錄】點擊 并進行SecureCRT單點登錄登錄主機后輸入dbaccess（informix）命令既可訪問數(shù)據(jù)庫如圖所示：圖【NeTerm登錄】點擊 并進行SecureNeTerm單點登錄，同【CRT登錄】【會話號登錄】獲取單點登錄目標資源的一次性會話號第一步：點擊 進入會話號頁面，如圖所示。圖第二步：在本機開啟任意常用SSHTELNET工具，輸入網(wǎng)頁中看到的IP地址及用戶名。如圖所示。圖第三步：將網(wǎng)頁提供的密碼作為登錄密碼進行登錄。如圖所示：圖【U

23、NIXLINUX網(wǎng)頁登錄方式】無需安裝單點登錄控件的單點登錄方式,點擊 完成無插件單點登錄?！緒insql登錄方式】對于informix數(shù)據(jù)庫點擊 按鈕進行winsql工具登錄登錄。如圖所示 圖【DB2控制中心登錄方式】對于DB2點擊 按鈕進行DB2控制中心工具登錄。 登錄后如圖所示：圖【winsql/DB2控制中心網(wǎng)頁登錄方式】點擊 可進行無插件winSQL/DB2控制中心單點登錄, 【winsql/DB2控制中心會話號登錄方式】參見【RDP會話號登錄方式】。3.4.13. 網(wǎng)絡設備（RADIUSlocal其他）資源類在介紹這一部分之前先簡單說明RADIUS方式的原理：Raidus（Remote Authentication Dial In User Service）是對遠端撥號接入用戶的認證服務，Radius服務分客戶端和服務器端，通常我們公司的接入產(chǎn)品支持的是客戶端，負責將認證等信息按照協(xié)議的格式通過UDP包送到服務器，同時對服務器返回的信息解釋