麒麟开源堡垒机用户操作手册范本

麒麟开源堡‎垒机AD及‎L D AP集‎成说明
麒麟堡垒机‎支持使用外‎接的AD、LDAP进‎行认证，并且支持从‎A D、LDAP中‎导入帐号到‎堡垒机中，设置步骤如‎下：
1.在系统配置‎-参数配置-认证配置中‎点击“添加条目”按钮
2.在弹出的菜‎单中添加新‎的条目，如果是AD‎，需要在下拉‎中选择AD‎
LDAP截‎图：
AD截图：
3.如果需要手‎工导入帐号‎，点击后面的‎添加LDA‎P/AD帐号按‎钮，输入管理员‎帐号后进行‎导入，也可以自己‎用E XCE‎L方式或在‎W E B上手‎添加帐号，注:在进行认证‎前，堡垒机上必‎须存在有这‎个帐号才能‎进行AD/LDAP认‎证
4.编辑相应的‎帐号，在认证方式‎部分，勾上AD或‎L DAP认‎证，优先登录试‎，可以选择刚‎才设置的A‎D或LDA‎P认证
5.登录时，左侧选中相‎应的登录试‎，输入AD/LDAP密‎码即可以进‎行登录
注：目前AD/LDAP只‎支持WEB‎方式，不支持透明‎登录试，因此，如果非要用‎户登录，可以做如下‎设置：
1.在启用AD‎/LDAP登‎录时，将认证（使用本地密‎码认证）勾除，让用户在W‎E B登录时‎必须用LD‎AP/AD进行认‎证
2.勾上WEB‎PORTA‎L，如果勾上W‎E BPOR‎T AL，用户在进行‎透明登录时‎，必须要WE‎B在线，即用户必须‎使用WEB‎通过AD/LDAP登‎录后才能用‎透明登录。

运维安全堡垒平台用户操作手册麒麟开源堡垒机用户操作手册目录1.概述 (1)1.1.功能介绍 (1)1.2.名词解释 (1)1.3.环境要求 (2)2.登录堡垒机 (2)2.1.准备................................................................................................. 错误！未定义书签。

2.1.1.控件设置 (2)2.1.2.Java Applet支持............................................................................. 错误！未定义书签。

2.2.登录堡垒机 (3)3.设备运维 (4)3.1.Web Portal设备运维 (4)3.2.运维工具直接登录 (6)3.3.SecureCRT打开多个设备 (7)3.4.列表导出 (11)4.操作审计 (14)4.1.字符协议审计 (14)4.2.SFTP和FTP会话审计 (16)4.3.图形会话审计 (17)4.4.RDP会话审计 (18)4.5.VNC会话审计 (20)5.其他辅助功能 (22)5.1.修改个人信息 (22)5.2.网络硬盘 (22)5.3.工具下载 (23)1.概述运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。

运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1.1.功能介绍运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。

支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。

运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。

麒麟堡垒机密码定期修改手册1、堡垒机设置部分自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管，并且按运维相关要求进行口令强度和周期的修改。

堡垒机上设置一台设备自动修改密码按如下步骤：（1）设置修改密码的频率在设备管理菜单中编辑设备，其中修改方式就是自动改密的频率，按月指每月几号修改，按周是每周几修改，自定义是多少天修改一次，比如下面的设置为一天修改一次，如果把频率设置为30，则为30天修改一次，如果设备为Linux/Unix系统，并且root用户不能自动登录，则必须在这个页面输入超级管理员口令：（2）设置修改密码主帐号(Linux/Unix)如果需要一台Linux/Unix主机进行自动改密，则需要一个改密主帐号，Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的，系统是通过改密主帐号完成这一操作，即不管这台主机上有多少个用户，Linux/Unix都使用改密主帐号登录到系统上，使用passwd命令来完成所有的用户的密码修改，因此，改密主帐号必须有root权限（或可以通过上步输入的密码su成root）。

设置了修改密码的频率后，需要指定主机上的改密主帐号，即打开这个主机的帐号页面，编辑为改密主帐号的那个用户，将修改密码主帐号勾选，如果这个帐号不是root权限，则必须勾选改密时su为超级用户，如下图:（3）.选择需要修改密码的用户即使设置了改密频率和改密主帐号，系统也只修改这台主机上勾选了自动修改密码的帐号密码，即，如果用户没有勾选自动修改密码，则这个帐号即使到了改密周期，系统也不会对这个帐号进行密码修改。

编辑需要自动修改密码的用户，勾选自动修改密码选项2、密码策略系统可以设置自动修改密码时的密码策略，在资源管理-策略设置-自动改密菜单中，进行密码策略修改，主要包含密码长度、强度、记忆次数等，如果在这里设置了密码策略，在前台手工修改密码时，则必须符合这里的策略，否则无法修改成功3、手工修改（1）前台修改：前台可以手工进行密码修改测试，使用password用户登录到系统，在密码管理-修改密码菜单中，选择相应的设备组，如果在正文的密码对话框中输入密码，则所有的设备会被强制修改为这里输入的密码，如果输入了IP和用户，则只修改相应的IP和用户的密码，在密码修改里，如果下拉强制修改，则修改所有勾选了自动修改密码的用户（即使这个用户不到改密周期），选择好相应的条件后，点击生成密码按钮系统会列出所有的具备条件的主机列表，这时用户可以在即时修改那列选去不希望修改密码的主机，点击立即修改密码按钮，系统即会启动密码修改程序（2）后台修改：用户也可以通过ssh到堡垒机后台运行命令进行修改，后台修改的好处为可以看到系统修改的整个过程，登录到后台后运行命令1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd2.运行方法2.1 可以不加参数，表示修改所有的服务器上所有用户的密码2.2 可以加-g groupname 参数，表示可以修改名字为groupname 这个设备组的所有服务器的密码（与servergroup表相关）例如-g change2.3 可以加-s ip 参数，表示修改所有地址为ip的服务器的密码例如-s 222.35.62.1702.4 可以加-u username 参数，表示修改所有用户名等于username的帐号的密码（此参数与服务器的ip地址无关），例如-u monitor2.5 可以加-p password 参数，指定修改后的新密码为password，例如-p freesvr 没有-p参数，系统将随机生成12位密码2.6 可以加-f 参数，表示强制修改。

堡垒主机用户操作手册运维管理版本2.3.22011-06目录1. 前言 (1)1.1.系统简介 (1)1.2.文档目的 (1)1.3.读者对象 (1)2. 登录系统 (2)2.1.静态口令认证登录 (2)2.2.字证书认证登录 (3)2.3.动态口令认证登录 (4)2.4.LDAP域认证登录 (5)2.5.单点登录工具 (5)3. 单点登录（SS0） (7)3.1.安装控件 (7)3.2.单点登录工具支持列表 (10)3.3.单点登录授权资源查询 (10)3.4.单点登录操作 (11)3.4.1.Windows资源类（域内主机\域控制器\windows2003\2008） (11)3.4.2.Unix\Linux资源类 (14)3.4.3.数据库（独立）资源类 (18)3.4.4.ORACLE_PLSQL单点登录 (19)3.4.5.ORACLE_SQLDeveleper单点登录 (21)3.4.6.MSSQLServer2000查询分析器单点登录 (22)3.4.7.MSSQLServer2000 企业管理器单点登录 (24)3.4.8.SQL Server 2005 Management Studio单点登录25 3.4.9.SQL Server 2008 Management Studio单点登录26 3.4.10.Sybase Dbisqlg单点登录 (27)3.4.11.SQL-Front单点登录 (29)3.4.12.数据库（系统）资源类单点登录（DB2/informix）303.4.13.网络设备（RADIUS\local\其他）资源类 (34)3.4.14.Web应用资源类 (37)1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。

它面向的对象是，企业的运维人员。

该模块是堡垒主机系统为运维人员提供的登录入口。

因此堡垒主机系统加强了登录的认证手段，提高安全性的同时不失用户的方便性。

应用发布软件安装手册1.1 安装依赖软件包在目录，请先安装了如下五个软件：（1） 如果是Windows 2003，需要先在子目录中安装 wic_x86_chs.exe , IE8.exe，并且需要重新启动，如果2008可以直接做下面那步（2） 以下三个软件2008，2003都需要安装dotNetFx40_Full_x86_x64.exevcredist_x86 .exemysql-connector-odbc-5.1.9-win32.exe1.2 安装程序将第二步安装-应用发布程序目录中的freesvr文件夹得到到c:\目录，打开c:\freesvr目录，运行里面的grouppolicyaddbhoinstall.bat 程序即可完成安装(2008R2需要以管理员权限运行安装)1.3 安装帐号同步程序：，即可完双击第三步-帐号同步程序文件夹中的ServiceInstall.exe成安装1.4 配置1. 修改RDP的空闲断开时间为1分钟2003 配置：在管理工具-终端服务配置 中的会话选项，将结束已断开的会话设置为1分钟2008配置： 2008需要打开服务管理器，点击右键点击角色，点添加按钮，在弹出的菜单中勾上“远程桌面服务”进行安装然后在角色服务选择中选择 远程桌面会话主机、远程桌面授权二项在身份验证方法中选择不需要使用网络级别身份认证授权模式选择以后配置安装后重启主机打开管理工具-远程终端配置-远程桌面会话主机配置，右键点击RDP-TCP，点击属性，在弹出的属性里选择会话TAB，将结束已断开会话时间修改为1分钟在管理工具-远程桌面服务里打开RemoteAPP菜单，鼠标右击下方区域选择添加，弹出添加REMOTEAPP程序窗口，把程序加入REMOTEAPP，同时将下面C:\freesvr\DesktopApp\DesktopApp.exe的参数设置为允许任意参数2. 按微软RDP 授权激活攻略-傻瓜版 破解终端授权。

应用发布软件安装手册1.1安装依赖软件包在目录，请先安装了如下五个软件：（1）如果是Windows 2003，需要先在子目录中安装wic_x86_chs.exe , IE8.exe，并且需要重新启动，如果2008可以直接做下面那步（2）以下三个软件2008，2003都需要安装dotNetFx40_Full_x86_x64.exevcredist_x86 .exemysql-connector-odbc-5.1.9-win32.exe1.2安装程序将第二步安装-应用发布程序目录中的freesvr文件夹得到到c:\目录，打开c:\freesvr目录，运行里面的grouppolicyaddbhoinstall.bat 程序即可完成安装(2008R2需要以管理员权限运行安装)1.3安装帐号同步程序：双击第三步-帐号同步程序文件夹中的ServiceInstall.exe，即可完成安装1.4配置1.修改RDP的空闲断开时间为1分钟2003 配置：在管理工具-终端服务配置中的会话选项，将结束已断开的会话设置为1分钟2008配置：2008需要打开服务管理器，点击右键点击角色，点添加按钮，在弹出的菜单中勾上“远程桌面服务”进行安装然后在角色服务选择中选择远程桌面会话主机、远程桌面授权二项在身份验证方法中选择不需要使用网络级别身份认证授权模式选择以后配置安装后重启主机打开管理工具-远程终端配置-远程桌面会话主机配置，右键点击RDP-TCP，点击属性，在弹出的属性里选择会话TAB，将结束已断开会话时间修改为1分钟在管理工具-远程桌面服务里打开RemoteAPP菜单，鼠标右击下方区域选择添加，弹出添加REMOTEAPP程序窗口，把程序C:\freesvr\DesktopApp\DesktopApp.exe 加入REMOTEAPP，同时将下面的参数设置为允许任意参数2.按微软RDP 授权激活攻略-傻瓜版破解终端授权。

麒麟开源堡垒机管理员手册麒麟开源目录1概述 (5)1.1功能介绍 (5)1.2名词解释 (5)1.3环境要求 (6)2管理员登录 (7)3初始基本配置 (10)4目录管理 (11)4.1目录说明 (11)4.2目录创建 (12)5账号管理 (14)5.1用户角色 (14)5.2运维账号管理 (15)5.2.1添加用户 (15)5.2.2批量添加用户 (17)5.2.3批量编辑用户 (18)5.3RADIUS账号 (18)5.4目录管理 (19)5.5在线用户管理 (19)5.6登录策略 (19)5.7设备管理 (20)5.8设备信息导入导出 (24)5.9普通用户自动登录root账号 (25)5.10目录节点管理 (25)5.11系统用户组 (27)5.12应用发布 (29)5.12.1应用发布服务器 (29)5.12.2添加为资产设备 (29)5.12.3添加为应用发布服务器 (31)5.12.4应用发布 (31)5.13SSH公私鈅上传 (33)6权限查询 (34)6.1系统权限查询 (34)6.2应用权限查询 (35)7策略设置 (36)7.1默认策略 (36)7.2来源IP组 (37)7.3周组策略 (39)7.4命令组 (40)7.5命令权限 (41)7.6自动改密 (42)7.7系统类型 (43)7.8授权策略 (43)8密码密钥文件 (44)9系统配置 (44)9.1参数配置 (44)9.2VPN配置 (44)9.3系统参数 (45)9.4密码策略 (45)9.5高可用性 (46)9.6告警配置 (46)9.7告警参数 (47)10系统管理 (48)10.1服务状态 (48)10.2系统状态 (48)10.3配置备份 (49)10.4数据同步 (49)11VPN配置 (50)12动态口令 (51)12.1USBKEY导入 (51)12.2USBKEY绑定 (51)13Licnese管理 (51)14运维审计 (53)14.1操作审计 (53)14.1.1字符会话审计（Telnet/SSH） (53)14.1.2S会话审计 (55)14.1.3图形会话审计 (56)14.1.4应用审计 (60)14.2实时监控 (62)14.3审计查询 (65)14.3.1会话搜索 (66)14.3.2内容搜索 (66)15日志报表 (67)16个人信息修改 (70)1概述麒麟运维安全堡垒平台（以下简称麒麟运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。

堡垒机帐号同步模块使用说明和测试手册麒麟开源堡垒机帐号同步模块用于同步堡垒机到应用发布服务器之间的帐号1.相关软件：如上图所示，一共四个文件，分为两部分，其中：（1）ClientSocket.php和ClientT est.exe，是客户端软件，模拟账号同步命令的发送，用于测试服务。

前台调用方式请参考文件ClientSocket.php里的函数；（2）ServicInstall.msi和setup.exe是账号同步软件的安装文件2.ODBC数据配置：请确保本地配置好了ODBC源，数据源名称为“audit”，数据库名为“audit_sec”，如果已经配置好，则可跳过此步：3.安装账号同步软件：将文件夹“Freesvr”复制到C盘，进入该文件夹，直接双击“setup.exe 文件即可”注：双击setup.exe会自动检查依赖库，有可能会提示安装.net4.0 client profile简体中文语言包，安装即可。

安装好后，打开本地服务，可以看到名称为“AccountsSyncService”的服务，请重启该服务器，以确保程序可用，如果如下图所示重启服务：4.1 用ClientText.exe进行测试双击文件夹中的“ClientText.exe”文件，如下图所示：程序一共可以处理四种命令：命令一：扫描全表，同步账号；命令格式：async ，此命令会一次性同步数据库表中的所有账号到本地，此命令返回结果：（1）成功，返回字符串："1,已成功同步数据库的所有账号到本地！"（2）失败，返回字符串："0,同步数据库的所有账号到本地失败！"命令二：添加指定的账号；命令格式：async 1，此命令只会在本地添加指定username的账户，此命令返回结果：（1）成功，返回字符串："1,添加账号成功！"（2）失败，返回字符串："0,添加账号失败！"命令三：禁用指定的账号；命令格式：async 2，此命令只会在本地禁用指定username的账户，此命令返回结果：（1）成功，返回字符串："1,禁用账号成功！"（2）失败，返回字符串："0,禁用账号失败！"命令四：生成BHO配置文件；令格式：async 3，此命令用于生成BHO配置文，此命令返回结果：（1）成功：返回字符串："1,生成BHO配置文件成功，文件所在目录："（2）失败：返回字符串："0,生成BHO配置文件失败！"注：返回的字符串中，有返回码0和1代表执行失败和成功，以及对应的信息，二者用逗号隔开。

堡垒机操作手册内容
1. 嘿，你知道怎么登录堡垒机吗？就像打开家门一样简单！比如，你输入正确的用户名和密码，“哒”的一下就进去啦，这可不难吧？
2. 堡垒机里的各种功能就像一个百宝箱呢！比如说，你要进行权限管理，那就是找到对应的“小格子”，轻轻一点，搞定！你说神奇不神奇！
3. 哇塞，操作堡垒机进行审计的时候就像是在回顾一场精彩的演出！好比说，每一个操作步骤都是舞台上的一个动作，清晰可见啊。

4. 你想过堡垒机的配置就像是搭积木吗？一块一块地放对位置，它就能稳稳地发挥作用啦！就像你认真搭好的积木城堡一样。

5. 当你学会使用堡垒机来监控系统，那感觉就像有了一双敏锐的眼睛在时刻守护着！比如，发现任何异常都能迅速察觉呢。

6. 堡垒机的操作手册就像是你的导航地图呀！你可别小看它，按照它指引的路走，绝对不会迷路的！就像你跟着导航找到目的地一样靠谱。

7. 嘿嘿，操作堡垒机的备份功能，这不就跟给珍贵物品找个安全的地方存放一样嘛！比如说，把重要的数据备份起来，安心呀！
8. 学着用堡垒机进行远程管理，哇哦，那体验就像你在千里之外也能操控一切一样神奇！好比你在家里就能控制远方的设备呢。

9. 堡垒机真的超重要的呀！学会了它的操作，就等于掌握了一把厉害的钥匙，能打开好多扇门呢，你还不赶紧行动起来呀！
我的观点结论：堡垒机的操作并不复杂，只要跟着这些步骤和例子去理解和实践，很快就能轻松上手，大家一定要认真对待呀！。

麒麟开源堡垒机维护手册麒麟开源1用户手册概述本手册为堡垒机运维系统维护手册，适用于没有任何堡垒机使用经验的用户。

本手册假设阅读者拥有堡垒机的全部权限。

1.1 如何阅读本手册如果已经有过堡垒机使用经验，可选取您感兴趣的章节进行阅读；如果您是堡垒机的首次使用者，建议按照顺序通读本手册。

1.2 手册使用说明带下划线表示操作中的菜单，例如：资源管理—用户列表—新建用户表示：操作为先点击“资源管理”菜单，在出现的页面中再点击“用户列表”菜单，最后点击“新建用户”菜单。

红色字体表示用户特别需要注意的内容。

1.3 系统版本本手册为堡垒机 1.1系统版本。

2维护介绍系统维护手册是系统上线运行后，对系统进行日常维护，发现问题解决问题的一个参考手册，基本的日常维护主要包括前台操作和后台维护两部分。

系统的维护主要通过后台来进行，前台操作只是为后台维护提供基本的参考。

前台操作是指在进行日常后台维护操作之前或者之后，通过前台的一些基本操作来发现问题，或者查看问题是否解决。

前台的基本操作如下：2.1.1登陆系统登陆系统分为web登陆和工具直接登录两种，web主要针对的是审计用户包括：操作审计、日志审计和db审计等，工具登陆是一般运维人员的常用登陆方式。

通过这两种登陆方式的检验来确保系统用户的正常基本使用。

2.1.2登陆报表通过查看系统的登陆报表可以较快捷的了解到用户登陆情况和登陆失败的原因。

登陆报表在堡垒机的日志报表-审计报表-登陆明细中查看。

界面如下：后台维护是对系统进行维护的常用手段，前台登陆是为后台维护的一个辅助手段。

后台维护包括对系统运行命令的查看、启动项是否正常、运行情况的查看以及硬件运行情况等参数的查看等操作。

也可以针对前台出现的问题针对性的查看。

2.2.1维护账号后台维护使用root账户登陆到堡垒机，管理端口为2288（与平时使用端口22不同）。

2.2.2查看系统目前运行的进程使用ps –ef|grep 进程名，可以查看系统运行的进程。

堡垒机使用手册第一部分：介绍堡垒机是一种网络安全设备，用于管理和控制网络中的各种终端设备及其访问权限。

它可以帮助企业实现对网络资源的集中管理和安全控制，提高网络访问的可控性和安全性。

本手册将详细介绍堡垒机的功能和使用方法，帮助用户快速上手并灵活应用。

第二部分：安装与配置1. 系统要求在安装堡垒机之前，需要确保满足以下系统要求：- 操作系统：建议使用Linux操作系统，如CentOS、Ubuntu等。

- 硬件配置：至少有2个网卡，并且具备足够的计算和存储能力。

2. 安装步骤按照以下步骤进行堡垒机的安装：- 下载堡垒机安装包。

- 解压安装包并执行安装脚本。

- 配置基本参数，如IP地址、端口号等。

- 配置管理员账号和密码。

- 完成安装并启动堡垒机服务。

第三部分：基本功能1. 用户管理堡垒机支持用户的注册、认证和授权，可以细分用户角色和权限，并提供用户操作日志的记录和审计功能。

2. 会话管理堡垒机可以监控和记录用户终端登录会话的详细信息，包括IP 地址、登录时间、命令执行情况等，可用于审计和追溯。

3. 终端访问控制堡垒机可以对终端设备进行访问控制，包括白名单、黑名单机制、访问时间策略等，有效防止未授权设备的访问。

4. 远程管理堡垒机提供基于Web或SSH等协议的远程管理功能，可以对远程终端进行批量管理、远程协作和命令执行等操作。

5. 安全审计堡垒机具备安全审计功能，可以将各种操作和事件进行记录和审计，包括用户登录、命令执行、文件传输等，保证网络安全可追溯。

第四部分：高级功能1. 单点登录（SSO）堡垒机支持单点登录，用户只需登录一次堡垒机即可访问所有被授权的终端设备，提高用户体验和工作效率。

2. 会话录像堡垒机可以对用户的会话进行录像和回放，不仅方便用户进行回顾和总结，也为后续的安全审计提供重要依据。

3. 业务系统集成堡垒机支持与企业内的业务系统进行集成，如LDAP、AD等，实现用户认证的统一管理和终端权限的集中控制。

麒麟堡垒机SSL VPN使用说明书一.SSL VPN说明：麒麟堡垒机内置SSL VPN为OPENVPN rebuild 软件，在openvpn基础上主要完成了如下工作：1.ssl vpn 客户端重写代码，使客户使用更容易、更方便2.ssl vpn 服务器修改认证方式为堡垒机认证方式，即使用堡垒机帐号进行认证（当堡垒机帐号绑定动态口令时，也需要使用动态口令进行认证）3.ssl vpn前台WEB配置界面。

二.SSL VPN管理员设置部分：SSL VPN管理员设置部分主要在VPN菜单，主要分为VPN设置和VPN路由二部分。

1.VPN设置界面，建议不要进行修改，这个界面已经进行了调优和与LINUX后台的整合，不需要任何修改即可以使用(包括IP地址池)IP地址池为VPN分配给用户的IP池，这个网段不能与用户内网重合，一但这段地址与内网重合，将会发生通过堡垒机不能访问重合的IP地址段现象，如果与用户内网重合时，IP地址池可以修改为与用户内网不重合的任意IP地址断。

注意:VPN如果进行修改后，需要到系统管理-服务管理中重启VPN服务2.VPN路VPN路由为设置注入到PC终端的路由，一般为内网IP或网段，PC终端只有注入路由后，才能访问到内网IP，一般情况下，这里只需要将堡垒机内网的IP添加即可，注意掩码为255.255.255.255注意:VPN如果进行修改后，需要到系统管理-服务管理中重启VPN服务3.打开用户的VPN功能，编辑或新建用户时，在权限信息下面的，不允许使用VPN 复选为未勾中状态，即表示这个用户可以使用VPN三. Windows终端运维人员使用:1.在其它-工具下载菜单下载VPN-2016-04-12.ZIP包，-32为32位版本，-64为64位版本解压选择相应的位数以管理员权限安装2.系统安装后将在菜单中产生一个VPN的菜单，点击可以启动VPN，VPN启动后会在右下角有一个VPN的图标蓝色表示已经连接成功灰色表示未连接黄色表示正在连接用鼠标右击按钮，会出现设置菜单，设置菜单中登录连接是用于输入用户名和密码登录VPN 的，系统配置是用于设置VPN服务器IP的，查看日志，当有问题连不上的时候，点这个菜单可以查看VPN的LOG点系统配置按钮，弹出VPN配置的界面，在服务器1中添入堡垒机外网口IP，如果做负载均衡时，可填入服务器2、服务器3等IP地址，然后点击确认即可3.VPN连接，右键点右下角VPN图标，点击登录连接按钮，弹出VPN登录的菜单，输入堡垒机用户名和密码，即可以连接到VPN系统4.如果连接不上时，请点击查看日志菜单，将弹出的notepad中的内容发送给麒麟堡垒机厂商进行故障排除四.苹果MACOS系统终端使用:MAC系统装vpn过程说明：使用的软件名称是Tunnelblick，到官方网站或者其他网站下载，网址：https://。

堡垒机CA证书使用方法
麒麟开源堡垒机内置了CA证书方式，用户在开启CA证书时，可以实现双因素认证，以加强系统的安全性
1、麒麟堡垒机设置部分
系统配置-参数配置-系统参数菜单，找到正文的是否开启证书认证，在下拉中选择开，然后点击右侧的保存修改按钮
然后IE将无法访问堡垒机，登录到后台，运行如下命令重启httpd:
Killall -9 httpd ; /etc/init.d/httpd start
注意，证书开启后，如果未安装证书，则无法访问堡垒机界面，因此，证书开启后admin 用户将无法打开httpd界面，如果没有为用户生成证书，则只需要安装通用证书后就可以访问堡垒机，将通用证书复制到硬盘，然后双机图标
启动后点击二次下一步，跳到一个输入密码的界面，密码为22222222（8个2）
证书安装完成后，将可以访问到堡垒机前台，如果要为某个用户开启证书认证，则编辑这个用户，点击最下方的生成证书按钮。

生成完毕后，可以到用户编辑界面点证书进行下载安装，用户安装证书与安装通用证书完全一样，不同的就是密码不是8个2，是用户自己在堡垒机上的密码。

注：密码必须由管理员用户下载分发，目前不支持用户下载方式。