堡垒主机用户操作手册运维管理
堡垒机系统维护手册
堡垒机维护手册麒麟开源1麒麟开源堡垒机用户手册概述本手册为堡垒机运维系统维护手册,适用于没有任何堡垒机使用经验的用户。
本手册假设阅读者拥有堡垒机的全部权限。
1.1 如何阅读本手册如果已经有过堡垒机使用经验,可选取您感兴趣的章节进行阅读;如果您是堡垒机的首次使用者,建议按照顺序通读本手册。
1.2 手册使用说明带下划线表示操作中的菜单,例如:资源管理—用户列表—新建用户表示:操作为先点击“资源管理”菜单,在出现的页面中再点击“用户列表”菜单,最后点击“新建用户”菜单。
红色字体表示用户特别需要注意的内容。
1.3 麒麟开源堡垒机系统版本本手册为麒麟开源堡垒机 1.1系统版本。
2麒麟开源堡垒机维护介绍系统维护手册是系统上线运行后,对系统进行日常维护,发现问题解决问题的一个参考手册,基本的日常维护主要包括前台操作和后台维护两部分。
系统的维护主要通过后台来进行,前台操作只是为后台维护提供基本的参考。
2.1 麒麟开源堡垒机前台操作前台操作是指在进行日常后台维护操作之前或者之后,通过前台的一些基本操作来发现问题,或者查看问题是否解决。
前台的基本操作如下:2.1.1麒麟开源堡垒机登陆系统登陆系统分为web登陆和工具直接登录两种,web主要针对的是审计用户包括:操作审计、日志审计和db审计等,工具登陆是一般运维人员的常用登陆方式。
通过这两种登陆方式的检验来确保系统用户的正常基本使用。
2.1.2麒麟开源堡垒机登陆报表通过查看系统的登陆报表可以较快捷的了解到用户登陆情况和登陆失败的原因。
登陆报表在堡垒机的日志报表-审计报表-登陆明细中查看。
界面如下:2.2 麒麟开源堡垒机后台维护后台维护是对系统进行维护的常用手段,前台登陆是为后台维护的一个辅助手段。
后台维护包括对系统运行命令的查看、启动项是否正常、运行情况的查看以及硬件运行情况等参数的查看等操作。
也可以针对前台出现的问题针对性的查看。
2.2.1麒麟开源堡垒机维护账号后台维护使用root账户登陆到堡垒机,管理端口为2288(与平时使用端口22不同)。
碉堡堡垒机-运维操作审计员手册
碉堡用户操作手册——运维操作审计员北京维方通信息技术有限公司目录第一章概述........................................................................................... 错误!未定义书签。
1.1 手册阅读附加说明............. .................................................... 错误!未定义书签。
1.2 适用版本............................. .................................................... 错误!未定义书签。
第二章对设备操作的审计................................................................... 错误!未定义书签。
2.1 图形会话的审计................. .................................................... 错误!未定义书签。
2.1.1图形会话记录内容详解................................................ 错误!未定义书签。
2.1.2图形会话审计播放工具介绍........................................ 错误!未定义书签。
2.1.3实时审计........................................................................ 错误!未定义书签。
2.1.4切断实时会话................................................................ 错误!未定义书签。
天融信堡垒主机(TA-SAG)用户操作手册--运维管理
天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年六月六日TA-SAG用户操作手册——运维管理目录第一章前言 (4)1.1简介 (4)1.2文档目的 (4)1.3读者对象 (4)第二章登录系统 (5)2.1静态口令认证登录 (5)2.2字证书认证登录 (5)2.3动态口令认证登录 (6)2.4LDAP域认证登录 (7)2.5单点登录工具 (8)第三章单点登录 (9)3.1单点登录 (9)3.2单点登录工具支持列表 (9)3.3单点登录界面介绍 (10)第四章授权列表 (13)4.1Windows资源类(域内主机\域控制器\windows2003\2008) (13)4.2Unix\Linux资源类 (14)4.3数据库(独立)资源类 (17)4.4ORACLE_PLSQL单点登录 (18)4.5ORACLE_SQLDeveleper单点登录 (20)4.6MSSQLServer2000查询分析器单点登录 (21)4.7MSSQLServer2000 企业管理器单点登录 (23)4.8SQL Server 2005 Management Studio单点登录 (24)4.9SQL Server 2008 Management Studio单点登录 (25)4.10Sybase Dbisqlg单点登录 (26)4.11SQL-Front单点登录 (28)4.12数据库(系统)资源类单点登录(DB2/informix) (29)4.13网络设备(RADIUS\local\其他)资源类 (31)4.14Web应用资源类 (32)4.15会同登录 (33)4.16一次性会话号 (38)第五章工单 (40)第六章工作计划 (43)第七章消息 (45)第八章自维护 (47)第九章控件下载 (49)第一章前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
运维安全堡垒平台用户透明登录操作手册
运维安全堡垒平台用户透明登录操作手册透明登录说明1.透明登录原理描述每一个设备帐号(从帐号),在堡垒机上都会标识以一个唯一的id,比如:1514是设备172.16.210.106的root用户id1502是设备172.16.210.249的root用户的id这时,如果我们使用CRT等工具登录堡垒机时,把id带到用户名中,堡垒机通过把用户名中的id分离出来,就知道我们想登录的目标服务器和用户名。
透明登录中,目标IP为堡垒机IP,登录用户名为堡垒机用户名—id,密码为堡垒机密码,这样,堡垒机通过把id号从用户名中分离出来,即可以跳过显示设备列表的菜单,一步登录到目标服务器。
2.透明登录手工连接在SecureCRT上打开“文件”-“快速连接”协议选择:“SSH2”主机名:“192.16.100.51”(主机名填写堡垒机IP地址)端口: “22”用户名:即堡垒机用户名,这里是cx用户名格式:堡垒机用户名--服务器ID 如图:查看服务器ID的方法:在WebPortal设备列表中左边第一列,如下图:点击“连接”,输入堡垒机登录密码。
3. 批量生成透明登录配置文件当设备非常多的时候,按上面每台设备添加并填入ID的方式,会给运维人员造成很大的负担,因此堡垒机提供列表导出方式,可以直接导出SecureCRT、Xshell的配置列表(ssh协议)和Mremote列表(RDP、VNC、X11协议),导入列表后,工具内就有用户可以登录所有的设备,并且已经配置好id值用户可以直接使用。
首先登录到堡垒机前台,点击列表导出菜单,得到如下界面在界面中,只需要选择SECURECRT的版本(6或7),如果版本低,必须要升级到6.x或7.x版本,然后点击后面的提交按钮,会下载一个以主帐号为命名的zip文件(有的时候,因为IE安全问题,头一次点击提交无法下载,这时只要在到这个界面,选择好版本后在点击提交按钮就可以下载了)。
将文件存到一个目录解压,会得到一个以用户名为名称的目录,里面就是所有的主机列表配置。
堡垒机使用说明
堡垒机使用说明注意:可以自行选择WEB方式使用,或通过RDP客户端远程连接WINDOWS、SSH 客户端连接LINUX。
无论哪种方式连接,都使用你的堡垒机账号连接183.168.162.8即可。
一 WEB方式使用准备工作1.1 根证书安装使用ie登录运维人员使用的PC机,需要信任ICore4A-UTM,才能安装控件,进行运维。
步骤1:普通用户登录堡垒机步骤2:单击界面右上角的【下载】步骤3:单击下载框中的“下载”,将根证书下载至本地:步骤4:双击“”,将其添加到受信任的根证书颁发机构进行安装。
1.2 IE选项设置(推荐使用IE)步骤1:单击IE浏览器中的【工具】>【Internet选项】>【安全】>【可信站点】步骤2:将“该区域的安全级别”设置为最低:步骤3:单击【站点】,将堡垒机的管理地址添加为可信站点:步骤4:最后单击【关闭】>【应用】>【确定】即可1.3 ActiveX控件安装ICore4A-UTM需要安装控件,才能调用运维人员PC机的本地运维软件,进行运维操作。
以下以IE 7.0浏览器为例:步骤1:普通用户登录到堡垒机后,IE界面中会弹出“ActiveX控件”安装选项:步骤2:单击该加载选项,再单击“为此计算机上的所有用户安装此加载项(A)…”步骤3:刷新界面后,再单击【系统运维】,页面将弹出以下提示:步骤4:单击【安装】后,页面将再次弹出“”控件安装提示:步骤5:单击【安装】后,页面将弹出“”控件安装提示步骤6:单击【安装】后即可1.4 客户端工具准备字符类工具:步骤1:检查本地是否安装了字符类工具,如putty、SecureCRT;如果未安装可从网上下载安装或由厂家提供安装程序。
步骤2:普通用户登录堡垒机后,单击界面右上角的【运维设置】步骤3:在运维设备对话框中,将本地的putty和SecureCRT等运维工具的绝对路输入到填写框中:步骤4:设置参数:步骤5:单击【保存并关闭】即可图形类工具:调用本地的远程桌面连接工具()文件传输类工具:步骤1:检查本地是否安装了文件传输类工具,如FlashFXP、WinSCP;如果未安装可从网上下载安装或由厂家提供安装程序。
LanSecS(堡垒主机)内控管理平台用户使用手册
LanSecS内控管理平台(堡垒主机)用户手册目录第一章系统简介 (5)1关键字 (5)2部署结构 (6)3系统登录 (7)第二章单点登录(SSO) (9)1单点登录(SSO) (9)1.1界面 (9)1.2功能说明 (10)1.3操作描述 (10)2单点登录控件及工具安装 (10)2.1界面 (10)2.2功能说明 (10)第三章流程 (11)1概述 (11)2管理流程 (12)3登录流程 (12)第四章元目录 (13)1目录管理 (13)1.1界面 (13)1.2功能说明 (13)2自然人(主帐号)管理 (14)2.1界面 (14)2.2功能说明 (14)2.3操作描述 (15)2.4示例 (15)3资源管理 (16)3.1界面 (16)3.2功能说明 (17)3.3操作描述 (17)3.4示例 (19)4角色管理 (21)4.1界面 (21)4.2功能说明 (21)4.3操作描述 (21)5计划管理 (22)5.1界面 (22)5.2功能说明 (22)5.3操作描述 (23)6内部审计管理 (23)6.1界面 (23)6.2功能说明 (23)6.3操作描述 (24)7行为审计管理 (24)7.1界面 (24)7.2功能说明 (24)7.3操作描述 (25)8审计报表 (25)8.1界面 (25)8.2功能说明 (25)8.3操作描述 (26)第五章配置管理 (27)1策略配置 (27)1.1主机命令控制策略 (27)1.2客户端地址控制策略 (29)1.3访问时间控制策略 (30)1.4访问锁定策略 (31)1.5密码策略 (32)2服务配置 (33)2.1堡垒机管理 (33)2.2图形服务开关 (33)2.3审计服务定义 (33)2.4帐号同步计划 (34)3系统配置 (35)3.1系统监控 (35)3.2网络配置 (36)3.3环境配置 (37)第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。
帕拉迪堡垒机管理员维护手册
帕拉迪堡垒机管理员维护手册
一、堡垒机系统自身配置备份
操作步骤:
1.备份系统用户信息,“网关用户”—“批量导出”,保存到本地(不会导出用户密码),如图;
2.备份资产列表信息,“主机资产”—“批量导出”,保存到本地(不会导出账号密码),如图;
3.备份系统网卡配置信息,“系统配置管理”—“系统基本配置”,可截个图保存到本地,如图;
4.备份系统配置信息,备份完成后请点“下载”按钮,将文件保存到本地,如图,
二、日常维护注意事项
注意事项:
1.定期查看系统硬盘使用情况,重点关注储存审计日志分区,如果达到100%将影响WEB界面正常
登陆无法运维,如图;
2.根据保存审计日志要求及时删除不需要的日志,可根据时间范围进行删除不要的日志,如图;
建议确定不需要的审计日志就直接删除。
“操作”类型定义
导出:根据任务条件将审计日志导出到本机,任务完成后可提供下载以作备份,下载完成后请删除该文件,以免占用硬盘空间,审计日志数据还在,可以在线播放;
删除:根据任务条件直接将审计日志删除;
导出并删除:根据任务条件将审计日志导出到本机,任务完成后可提供下载以作备份,下载完成后请删除该文件,以免占用硬盘空间,审计日志数据任务结束后自动删除,不可在线播放;
3.如果有需要审计日志导出备份的,时间范围控制在10天以内,建议不要超过10天。
注:
如果系统硬盘存储日志分区使用率达到100%,堡垒机WEB界面将来无法正常登陆,直接影响正常运维。
有什么不清楚欢迎打我们工程师电话进行咨询。
堡垒机使用手册
7,整个堡垒主机可 5000 个并发,若果打不开新界面,请关掉多有堡垒 主机 ssh 窗口。
二、
修改密码方法
进入堡垒机
1、 点击 http://10.48.80.66/eas/
法 探 生 究 研 际 身 自 思 真 认 神 精 标 新 会 领 刻 深 论 理 育 教 的 关 有 习 学 复 反 我 , 来 以 革 改 程 课 施 实 从
2、 输入用户名后点击‘修改密码’
3、在如下界面输入新密码
4、提示修改密码成功
法 探 生 究 研 际 身 自 思 真 认 神 精 标 新 会 领 刻 深 论 理 育 教 的 关 有 习 学 复 反 我 , 来 以 革 改 程 课 施 实 从
法 探 生 究 研 际 身 自 思 真 认 神 精 标 新 会 领 刻 深 论 理 育 教 的 关 有 习 学 复 反 我 , 来 以 革 改 程 课 施 实 从
下图为服务器列表
4、选择需要登陆的服务器
法 探 生 究 研 际 身 自 思 真 认 神 精 标 新 会 领 刻 深 论 理 育 教 的 关 有 习 学 复 反 我 , 来 以 革 改 程 课 施 实 从
5、选择以何种身份登陆
6、提示输入密码
法 探 生 究 研 际 身 自 思 真 认 神 精 标 新 会 领 刻 深 论 理 育 教 的 关 有 习 学 复 反 我 , 来 以 革 改 程 课 施 实 从
堡垒机使用手册
一、 使用堡垒机登陆方法
1、 使用 Secure CRT 登陆 10.48.80.66, 选择 SSH2 登陆方式, 输入相应的用户名, 点击 connect
2、输入用户名和密码
3、选择 1 进入服务器列表
法 探 生 究 研 际 身 自 思 真 认 神 精 标 新 会 领 刻 深 论 理 育 教 的 关 有 习 学 复 反 我 , 来 以 革 改 程 课 施 实 从
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
堡垒主机用户操作手册运维管理版本2.3.22011-06目录1.前言......................................................1.1.系统简介 ..............................................1.2.文档目的 ..............................................1.3.读者对象 ..............................................2.登录系统..................................................2.1.静态口令认证登录 (3)2.2.字证书认证登录 ........................................2.3.动态口令认证登录 ......................................2.4.LDAP域认证登录........................................2.5.单点登录工具 ..........................................3.单点登录(SS0)...........................................3.1.安装控件 ..............................................3.2.单点登录工具支持列表 ..................................3.3.单点登录授权资源查询 ..................................3.4.单点登录操作 ..........................................Windows资源类(域内主机\域控制器\windows2003\2008)Unix\Linux资源类...............................数据库(独立)资源类 ...........................ORACLE_PLSQL单点登录...........................ORACLE_SQLDeveleper单点登录....................MSSQLServer2000查询分析器单点登录..............MSSQLServer2000企业管理器单点登录..............SQLServer2005ManagementStudio单点登录..........SQLServer2008ManagementStudio单点登录..........SybaseDbisqlg单点登录..........................SQL-Front单点登录.............................. 数据库(系统)资源类单点登录(DB2/informix) ... 网络设备(RADIUS\local\其他)资源类 ............ Web应用资源类..................................1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
该模块是堡垒主机系统为运维人员提供的登录入口。
因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。
运维人员登录堡垒主机系统认证成功后,将不会继续认证。
从堡垒主机单点登录平台可以登录任意经过授权的资源。
堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。
1.2.文档目的堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。
在该模块中经常会有很多的问题出现。
通过该手册能够解决运维人员的常见问题。
1.3.读者对象本文档适用于企业运维人员使用。
2.登录系统系统登录主要的工作就是系统认证。
堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。
堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。
2.1.静态口令认证登录图2.1.1用户需要输入用户名及口令后,点击登录按钮后登录系统。
2.2.字证书认证登录堡垒主机系统证书认证登录,支持的形式包括软证书认证,Usbkey证书认证两种。
这两种形式的唯一区别在于证书所依赖的存储截止不同。
Usbkey证书只是将证书导入Usb硬件Key中,安全性相应增加。
但无论证书以哪种方式存在,堡垒主机系统都会统一对待。
图2.2.1图2.2.2由于在上一操作步骤中选择的是名称为simper证书,所以堡垒主机系统此时自动将用户名锁定,禁止自然人修改登录用户名。
防止身份篡改。
此时,用户需要输入simper用户口令即可进行静态口令认证。
静态口令操作内容请参考2.1章节。
2.3.动态口令认证登录图2.3.1堡垒主机系统的动态口令登录认证,采用的是双因子认证方式。
也就是说,用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。
当两项认证都通过时才可以进入堡垒主机系统。
这一点与数字证书认证方式是类似的。
这种方式大大增强了系统登录的安全性。
2.4.LDAP域认证登录图2.4.1与动态口令的认证方式类似,域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过,此时才可以成功进入堡垒主机系统。
2.5.单点登录工具图2.5.1“单点登录控件”字样的下载链接,下载单点登录工具。
有关单点登录工具详细内容请参见《堡垒主机系统运维工程师操作手册》。
3.单点登录(SS0)3.1.安装控件在元目录->帮助或登录页->图3.1.1图3.1.2注意:为避免安装失败请关闭所有IE 窗口图3.1.4图3.1.5图3.1.6图3.1.73.2. 单点登录工具支持列表 资源类型windows资源mstsc ftpunix资源SecureCRT SecureNetTerm FTP SFTP Xwindow数据库(独立)oracle PL/SQLsqlserver2000查询分析器企业管理器sqlserver2005sqlserver2008sybase Sybase Dbisqlgmysql SQL-Front数据库(系统)DB2DB2控制中心INFORMIX Winsql网络设备(RADIUS)SecureCRT SecureNetTerm网络设备(LOCAL)SecureCRT SecureNetTerm支持的单点登录工具SQL Server 2005 Management StudioSQL Server 2008 Management Studio图3.2.13.3. 单点登录授权资源查询 在SSO 列表界面点击如图所示:【资源名称查询】依照资源名称进行查询。
图3.3.2【资源IP查询】依照资源IP进行模糊查询。
3.4.单点登录操作3.4.1.Windows资源类(域内主机\域控制器\windows2003\2008)在SSO列表界面中选择windows主机的图3.4.1.2如图所示:【资源IP选择】对于部分多IP设备可选择IP进行登录。
【控制台选择】等同于mstsc/admin或mstsc/console的控制台登录【RDP单点登录】点击并进行标准远程桌面的RDP登录【登录会话号登录】依照资源IP进行会话号方式的登录第一步:点击【RDP网页登录方式】无需安装单点登录控件的单点登录方式。
第一步:点击进入无插件RDP单点登录,第三步:选择大小后点击按钮【vnc登录】参考【RDP登录方式】【vnc网页登录方式】参见【RDP网页登录方式】。
【windowsFTP登录方式】点击注意:本功能需要客户机安装SSO控件,并安装JRE。
【windowsFTP网页登录方式】点击可进行无插件FTP单点登录。
【windows文件共享登录方式】与【windowsFTP登录方式】相同【windows文件共享网页登录方式】与【windowsFTP网页登录方式】相同3.4.2.Unix\Linux资源类在SSO列表界面中选择相应Unix\Linux主机的图3.4.2.1【资源IP选择】对于部分多IP设备可选择IP进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录【CRT登录】点击并进行SecureCRT单点登录【NeTerm登录】点击并进行SecureNeTerm单点登录【会话号登录】获取单点登录目标资源的一次性会话号第一步:点击【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,点击完成无插件单点登录。
【Unix\LinuxFTP登录方式】点击注意:本功能需要客户机安装SSO控件,并安装JRE。
【Unix\LinuxFTP网页登录方式】点击可进行无插件FTP单点登录。
【Unix\LinuxSFTP登录方式】与【Unix\LinuxFTP登录方式】相同【Unix\LinuxSFTP网页登录方式】与【Unix\LinuxFTP网页登录方式】相同【x-windows登录】点击下图所标注的按钮进行x-windows登录,具体操作方法与【RDP网页登录方式】相同【x-windows会话号登录方式】参见【RDP会话号登录方式】。
【x-windows网页登录方式】参见【RDP网页登录方式】。
【vnc登录】参见【RDP网页登录方式】【vnc会话号登录方式】参见【RDP会话号登录方式】。
【vnc网页登录方式】参见【RDP网页登录方式】。
3.4.3.数据库(独立)资源类在介绍本部分以前请先熟悉一下应用发布的原理如下图:对于数据库类资源堡垒主机需要通过中间的应用发布服务器(参见下图)完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整.在SSO列表界面中选择数据库的按钮进入数据库资源单点登录界面,点击相应登录方式即完成对目标数据库资源的单点登录。
【资源IP选择】对于部分多IP设备可选择IP进行登录。
【会话号登录】获取单点登录目标资源的一次性会话号【应用发布服务选择】3.4.4.ORACLE_PLSQL单点登录在图形下来菜单中选择登录身份(Normal为普通身份,SYSDBA为系统管理员身份,SYSOPER为系统操作员身份)3.4.5.ORACLE_SQLDeveleper单点登录3.4.6.MSSQLServer2000查询分析器单点登录3.4.7.MSSQLServer2000企业管理器单点登录自然人身份登录,点击相应MSSQLServer20003.4.8.SQLServer2005ManagementStudio单点登录自然人身份登录,点击相应MSSQLServer2003.4.9.SQLServer2008ManagementStudio单点登录自然人身份登录,点击相应MSSQLServer2003.4.10.SybaseDbisqlg单点登录自然人身份登录,点击相应Sybase点击[Sybase3.4.11.SQL-Front单点登录3.4.12.数据库(系统)资源类单点登录(DB2/informix)自然人身份登录,点击相应数据库后边的图3.4.12.2【资源IP选择】对于部分多IP设备可选择IP进行登录。