天融信堡壘主機(TA-SAG)用戶操作手冊--運維管理

1、天融信網(wǎng)絡審計系統(tǒng)TA-SAG用戶操作手冊運維管理北京天融信公司二O一三年 六月 六日北京天融信公司北京（總部）咨詢熱線：400-610-5119 網(wǎng)址： 3 / 58天融信網(wǎng)絡審計系統(tǒng)TA-SAG用戶操作手冊運維管理TA-SAG用戶操作手冊運維管理更新歷史編寫人日期版本號變更內(nèi)容吳玉飛2013.06V3.0堡壘主機（TA-SAG）V3.0最新版目錄 天融信網(wǎng)絡審計系統(tǒng)TA-SAG用戶操作手冊運維管理第一章前言41.1簡介41.2文檔目的41.3讀者對象4第二章登錄系統(tǒng)52.1靜態(tài)口令認證登錄52.2字證書認證登錄62.3動態(tài)口令認證登錄72.4LDAP域認證登錄7

2、2.5單點登錄工具8第三章單點登錄103.1單點登錄103.2單點登錄工具支持列表103.3單點登錄界面介紹11第四章授權(quán)列表144.1Windows資源類（域內(nèi)主機域控制器windows20032008）144.2UnixLinux資源類154.3數(shù)據(jù)庫（獨立）資源類184.4ORACLE_PLSQL單點登錄194.5ORACLE_SQLDeveleper單點登錄214.6MSSQLServer2000查詢分析器單點登錄234.7MSSQLServer2000 企業(yè)管理器單點登錄244.8SQL Server 2005 Management Studio單點登錄264.9SQL Server

3、 2008 Management Studio單點登錄274.10Sybase Dbisqlg單點登錄294.11SQL-Front單點登錄304.12數(shù)據(jù)庫（系統(tǒng)）資源類單點登錄（DB2/informix）324.13網(wǎng)絡設備（RADIUSlocal其他）資源類344.14Web應用資源類364.15會同登錄364.16一次性會話號42第五章工單45第六章工作計劃48第七章消息50第八章自維護52第九章控件下載54北京天融信公司北京（總部）咨詢熱線：400-610-5119 網(wǎng)址： 58 / 58第一章 前言1.1 簡介TA-SAG運維管理是TA-SAG中使用最為

4、頻繁的一個平臺。它面向的對象是，企業(yè)的運維人員。該模塊是TA-SAG為運維人員提供的登錄入口。因此TA-SAG加強了登錄的認證手段，提高安全性的同時不失用戶的方便性。運維人員登錄TA-SAG認證成功后，將不會繼續(xù)認證。從TA-SAG單點登錄平臺可以登錄任意經(jīng)過授權(quán)的資源。TA-SAG為每次訪問資源都建立了唯一的授權(quán)一次性會話號，用以確保登錄會話的安全性。1.2 文檔目的TA-SAG運維管理手冊是指導運維人員如何登錄TA-SAG認證和訪問資源。在該模塊中經(jīng)常會有很多的問題出現(xiàn)。通過該手冊能夠解決運維人員的常見問題。1.3 讀者對象本文檔適用于企業(yè)運維人員使用。第二章 登錄系統(tǒng)系統(tǒng)登錄主要的工作就

5、是系統(tǒng)認證。TA-SAG登錄界面隨系統(tǒng)配置的認證方式不同而有所差異。TA-SAG支持的認證方式包括靜態(tài)口令認證、數(shù)字證書認證、動態(tài)口令認證、LDAP域認證、指紋認證等。無論TA-SAG配置哪種認證方式，登錄系統(tǒng)都需要在瀏覽器中輸入服務地址。例如:3。在該例中，192.168.23. 93為TA-SAGIP地址（TA-SAG出廠設置的管理IP為2）。當在瀏覽器中輸入示例內(nèi)容后，點擊回車（TA-SAG配置雙向認證時，如果需要域名方式訪問的情況除外）系統(tǒng)自動轉(zhuǎn)向到登錄界面。下面列舉常見的幾種常見的認證方式界面。2.1 靜態(tài)口令認證登錄靜態(tài)口

6、令登錄認證是最基本得認證方式，登錄界面入圖2.1.1所示。圖2.1.1用戶需要輸入用戶名及口令后，點擊登錄按鈕后登錄系統(tǒng)。2.2 字證書認證登錄TA-SAG證書認證登錄，支持的形式包括軟證書認證，Usbkey證書認證兩種。這兩種形式的唯一區(qū)別在于證書所依賴的存儲截止不同。Usbkey證書只是將證書導入Usb硬件Key中，安全性相應增加。但無論證書以哪種方式存在，TA-SAG都會統(tǒng)一對待。如圖2.2.1所示，當自然人在瀏覽器地址欄中輸入TA-SAG地址后，點擊回車，彈出選擇證書提示框。圖2.2.1此時用戶需要選擇所要使用的數(shù)字證書，點擊確定按鈕。此例子選擇名稱為simper的證書，點擊確定按鈕，

7、進入圖2.2.2界面。圖2.2.2由于在上一操作步驟中選擇的是名稱為simper證書，所以TA-SAG此時自動將用戶名鎖定，禁止自然人修改登錄用戶名。防止身份篡改。此時，用戶需要輸入simper用戶口令即可進行靜態(tài)口令認證。靜態(tài)口令操作內(nèi)容請參考2.1章節(jié)。2.3 動態(tài)口令認證登錄動態(tài)口令認證是指可以通過OTP令牌方式通過TA-SAG認證登錄。認證界面如圖2.3.1所示。圖2.3.1 TA-SAG的動態(tài)口令登錄認證，采用的是雙因子認證方式。也就是說，用戶需要輸入動態(tài)口令的同時必須輸入自身的靜態(tài)口令作為PIN碼。當兩項認證都通過時才可以進入TA-SAG。這一點與數(shù)字證書認證方式是類似的。這種方式

8、大大增強了系統(tǒng)登錄的安全性。2.4 LDAP域認證登錄TA-SAG域認證是另外一種第三方認證方式。TA-SAG將自身的部分系統(tǒng)認證交由第三方安全平臺認證。TA-SAG中將LDAP域口令的認證指派到LDAP服務器上。LDAP域認證的操作界面入圖2.4.1所示。圖2.4.1與動態(tài)口令的認證方式類似，域口令認證需要在LDAP域認證通過的情況下同時滿足自然人的靜態(tài)口令認證認證通過，此時才可以成功進入TA-SAG。2.5 單點登錄工具介紹完TA-SAG中常見的認證方式后，用戶可能注意到圖例中【工具下載】選項。該選項為用戶提供了部分的客戶端工具，及TA-SAGSSO登錄控件的下載。點擊【工具下載】選項彈出

9、如圖2.5.1所示界面。圖2.5.1圖2.5.1只截取了部分的內(nèi)容，其中還包括單點登錄工具及客戶端工具安裝過程中常常出現(xiàn)的問題及解答。用戶可以點擊如圖2.5.1界面中的帶有“單點登錄控件”字樣的下載鏈接，下載單點登錄工具。有關(guān)單點登錄工具詳細內(nèi)容請參見TA-SAG運維工程師操作手冊。第三章 單點登錄3.1 單點登錄在自然人登錄到系統(tǒng)后，默認顯示的界面為單點登錄界面。如圖3.1所示。圖3.13.2 單點登錄工具支持列表圖 單點登錄界面介紹在單點登錄界面，“最近使用“模塊將顯示最近的運維操作資源信息，如圖3.3.1所示。圖3.3.1“最常使用”模塊顯示該自然人最常使用的授權(quán)資源列表

10、，如圖3.3.2所示。圖3.3.2“工單”模塊顯示該自然人相關(guān)的工單信息。如圖3.3.3所示。圖3.3.3“日歷”模塊可以顯示當前日期，當有工作計劃時，相應日期將顯示為黃色。如圖3.3.4所示。圖3.3.4“工作計劃”模塊顯示當天的工作計劃的執(zhí)行時間，當點擊相應日期，將顯示其日期下的工作計劃執(zhí)行時間。如圖3.3.5所示。圖3.3.5第四章 授權(quán)列表4.1 Windows資源類（域內(nèi)主機域控制器windows20032008）點擊授權(quán)列表將顯示出所以授權(quán)資源信息，如圖4.1.1所示。圖4.1.1對于部分多IP設備將從ip生成一條資源列，如圖4.1.2所示。圖4.1.2表示系統(tǒng)的連接方式。具體的登

11、錄方式可以點擊進行選擇，如圖4.1.3所示。圖4.1.3【RDP單點登錄】點擊并進行標準遠程桌面的RDP登錄【RDP控制臺單點登錄】等同于 mstsc /admin或 mstsc /console的控制臺登錄表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進行選擇，如圖4.1.4所示。圖4.1.4【windows文件共享登錄方式】與【windowsFTP登錄方式】相同，點擊登錄即可。4.2 UnixLinux資源類點擊授權(quán)列表將顯示出所以授權(quán)資源信息，如圖4.2.1所示。圖4.2.1對于部分多IP設備將從ip生成一條資源列，如圖4.2.2所示。圖4.2.2表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進

12、行選擇，如圖4.2.3所示。圖4.2.3【以選項卡方式打開登錄】以選項卡的方式顯示，點擊進行SecureCRT單點登錄【以獨立窗口方式打開登錄】以獨立窗口的方式顯示，點擊進行SecureCRT單點登錄【直連方式打開登錄】通過本地的SecureCRT登錄，不通過協(xié)議代理。點擊進行登錄。表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進行選擇，如圖4.2.4所示。圖4.2.4【windows文件共享登錄方式】與【windowsFTP登錄方式】相同，點擊登錄即可?！綰nixLinuxFTP登錄方式】點擊FTP按鈕進行FTP登錄，并確保模式及編碼選擇正確。如圖4.2.5所示。圖4.2.5注意：本功能需要客戶

13、機安裝SSO控件，并安裝JRE?！綰nixLinuxSFTP登錄方式】與【UnixLinuxFTP登錄方式】相同【x-windows登錄】點擊按鈕進行選擇x-windows登錄，具體操作方法與【RDP網(wǎng)頁登錄方式】相同圖4.2.6【x-windows會話號登錄方式】參見【RDP會話號登錄方式】?！緑nc登錄】參見【RDP會話號登錄方式】4.3 數(shù)據(jù)庫（獨立）資源類在介紹本部分以前請先熟悉一下應用發(fā)布的原理如下圖：對于數(shù)據(jù)庫類資源TA-SAG需要通過中間的應用發(fā)布服務器（參見下圖）完成對目標數(shù)據(jù)庫的單點登錄,通過應用發(fā)布服務器完成數(shù)據(jù)庫客戶端的單點登錄并保證審計業(yè)務完整.圖4.3.1圖4.3.1

14、對于部分多IP設備將從ip生成一條資源列，如圖4.3.2所示。圖4.3.2【應用發(fā)布服務選擇】獲在應用發(fā)布服務下拉菜單中選擇應用發(fā)布服務器的IP地址，如圖4.3.3所示：圖 ORACLE_PLSQL單點登錄自然人身份登錄，點擊按鈕，進入如圖4.4.1所示頁面。圖4.4.1點擊PLSQL圖標，出現(xiàn)遠程桌面連接，如圖4.4.2所示圖4.4.2點擊連接，連接到數(shù)據(jù)庫oracle,體現(xiàn)為圖4.4.3所示：圖 ORACLE_SQLDeveleper單點登錄自然人身份登錄，點擊相應ORACLE_PLSQL后邊的賬號按鈕，進入如圖4.5.1所示頁面圖4.5.1點擊sqlDev

15、eleper圖標（下圖紅色區(qū)域）彈出遠程桌面連接，如圖4.5.2所示。圖4.5.2點擊連接，連接到數(shù)據(jù)庫orcl,體現(xiàn)為圖4.5.3所示：圖 MSSQLServer2000查詢分析器單點登錄自然人身份登錄，點擊MSSQLServer2000數(shù)據(jù)庫資源后面的賬號按鈕。如圖4.6.1所示。圖4.6.1點擊查詢分析器圖標，出現(xiàn)遠程桌面連接，如圖4.6.2所示。圖4.6.2點擊連接,連接成功，如圖4.6.3所示圖 MSSQLServer2000 企業(yè)管理器單點登錄自然人身份登錄，點擊相應MSSQLServer2000后邊的賬號按鈕，進入如下圖4.7.1所示頁面圖4.7.

16、1點擊企業(yè)管理器圖標,出現(xiàn)遠程桌面連接,如圖4.7.2所示。圖4.7.2點擊連接,連接成功，如圖4.7.3所示。圖 SQL Server 2005 Management Studio單點登錄自然人身份登錄，點擊相應MSSQLServer2005后邊的賬號按鈕，進入如下圖4.8.1所示頁面。圖4.8.1點擊圖標，出現(xiàn)遠程桌面連接，如圖4.8.2所示圖4.8.2點擊連接,連接成功，如圖4.8.3所示圖 SQL Server 2008 Management Studio單點登錄自然人身份登錄，點擊按鈕，進入如下圖4.9.1所示頁面圖4.9.1點擊圖標，出現(xiàn)遠程桌面連接

17、，如圖4.9.2所示。圖4.9.2點擊連接，連接成功，如圖4.9.3所示。圖0 Sybase Dbisqlg單點登錄自然人身份登錄，點擊按鈕，進入如下圖4.10.1所示頁面圖4.10.1點擊Sybase Dbisqlg 圖標，出現(xiàn)遠程桌面連接，如圖4.10.2所示。圖4.10.2點擊連接，連接成功，如圖4.10.3所示圖1 SQL-Front單點登錄自然人身份登錄，點擊相應按鈕，選擇該資源如下圖4.11.1所示頁面。圖4.11.1點擊Mysql-Front圖標，出現(xiàn)遠程桌面連接，如圖4.11.2所示。圖點擊連接，連接成功，如圖4.11.3所示圖

18、2 數(shù)據(jù)庫（系統(tǒng)）資源類單點登錄（DB2/informix）自然人身份登錄，點擊按鈕，如圖4.12.1所示圖4.12.1對于部分多IP設備將從ip生成一條資源列?！緒insql登錄方式】對于informix數(shù)據(jù)庫點擊 按鈕進行winsql工具登錄登錄。如圖4.12.7所示 。圖4.12.7【DB2控制中心登錄方式】對于DB2點擊 按鈕進行DB2控制中心工具登錄。 登錄后如圖4.12.8所示：圖4.12.8【winsql/DB2控制中心會話號登錄方式】參見【RDP會話號登錄方式】。4.13 網(wǎng)絡設備（RADIUSlocal其他）資源類在介紹這一部分之前先簡單說明RADIUS方式

19、的原理：Raidus（Remote Authentication Dial In User Service）是對遠端撥號接入用戶的認證服務，Radius服務分客戶端和服務器端，通常我們公司的接入產(chǎn)品支持的是客戶端，負責將認證等信息按照協(xié)議的格式通過UDP包送到服務器，同時對服務器返回的信息解釋處理。圖4.13.1而對于TA-SAG機方案來說就是由TA-SAG開啟Radius服務，而將網(wǎng)絡設備的3A指向TA-SAG機。在自然人登錄到系統(tǒng)后，點擊按鈕。如圖4.13.2所示。圖4.13.2如下圖所示點擊相應登錄方式即完成對網(wǎng)絡設備資源的單點登錄。如圖4.13.3所示。圖4.13.3對于部分多IP設備

20、將從ip生成一條資源列，如圖4.13.4所示。圖4.13.4【通訊協(xié)議選擇】依據(jù)需要訪問資源的通訊協(xié)議進行選擇SSHTELNET方式登錄 ，如圖4.13.5所示。圖4.13.5【以選項卡方式打開登錄】以選項卡的方式顯示，點擊進行SecureCRT單點登錄【以獨立窗口方式打開登錄】以獨立窗口的方式顯示，點擊進行SecureCRT單點登錄【直連方式打開登錄】通過本地的SecureCRT登錄，不通過協(xié)議代理。點擊進行登錄。4.14 Web應用資源類自然人登錄系統(tǒng)后，點擊按鈕，如圖4.14.1所示。如下圖所示點擊相應登錄方式即完成對目標Web應用資源的單點登錄。圖4.14.1對于部分多IP設備將從ip

21、生成一條資源列。【W(wǎng)eb應用單點登錄】點擊 并進行標準遠程桌面的RDP登錄，同【RDP單點登錄】。4.15 會同登錄【功能簡介】：自然人運維登錄資源時，需其他自然人的同意才能登錄。首先在資源添加時，將需要會同登錄的賬號勾選會同登錄，如圖4.15.1所示。圖4.15.1將參與會同登錄審批的人員勾選上會同審批人選項（例如：李明和王紅），如圖4.15.2所示。圖4.15.2給自然人李明授權(quán)79（ftp服務器）的會同登錄賬號，如圖4.15.3所示。圖4.15.3用自然人李明登錄做運維操作79（ftp服務器），如圖4.15.4所示。圖4.15.4點擊RDP

22、登錄時，彈出復選框選擇審批人（例如：王紅），如圖4.15.5所示。圖4.15.5點擊按鈕后，彈出提示內(nèi)容如圖4.15.6所示。圖4.15.6此時審批人（例如：王紅）收到審批申請，可以同意或拒絕會話，如圖4.15.7所示。圖4.15.6審批人點擊按鈕，提示內(nèi)容如圖4.15.7所示。圖4.15.7自然人李明可以RDP登錄FTP服務器，點擊按鈕可以登錄到資源上，如圖4.15.8所示。圖4.15.8此時審批人（例如：王紅）可以進行監(jiān)控、阻斷會話。審批人可以監(jiān)視運維人員操作，并且可以阻斷其會話。如圖4.15.9所示。圖6 一次性會話號當?shù)卿浀较到y(tǒng)后，在桌面點擊【單點登錄】按鈕，進入工單

23、管理界面。如圖4.16.1所示。圖4.16.1點擊按鈕，獲取一次性會話號，如圖4.16.2所示。圖4.16.2可以通過圖4.16.2中的會話信息利用本地的mstsc進行連接，在開始運行中輸入mstsc呼起遠程桌面連接，如圖4.16.3所示。圖4.16.3如圖4.16.3將登錄IP和登錄會話號分別填寫到計算機（c）和用戶名后面，點擊連接后即可登錄到資源上。第五章 工單當?shù)卿浀较到y(tǒng)后，在桌面點擊按鈕，進入工單管理界面。如圖5.1所示。圖5.1在工單管理界面，點擊按鈕，進入工單編輯界面。如圖5.2所示。圖5.2在工單編輯界面點擊工單類型后的下拉鍵。選擇工單類型。如圖5.3所示。圖5.3如圖5.4所示為填寫資源信息點擊【提交】即可添加該工單。圖5.4