您的位置:360文档中心› 麒麟开源堡垒机管理员手册

麒麟开源堡垒机管理员手册

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

麒麟开源堡垒机管理员手册

麒麟开源

目录

1概述 (5)

1.1功能介绍 (5)

1.2名词解释 (5)

1.3环境要求 (6)

2管理员登录 (7)

3初始基本配置 (10)

4目录管理 (11)

4.1目录说明 (11)

4.2目录创建 (12)

5账号管理 (14)

5.1用户角色 (14)

5.2运维账号管理 (15)

5.2.1添加用户 (15)

5.2.2批量添加用户 (17)

5.2.3批量编辑用户 (18)

5.3RADIUS账号 (18)

5.4目录管理 (19)

5.5在线用户管理 (19)

5.6登录策略 (19)

5.7设备管理 (20)

5.8设备信息导入导出 (24)

5.9普通用户自动登录root账号 (25)

5.10目录节点管理 (25)

5.11系统用户组 (27)

5.12应用发布 (29)

5.12.1应用发布服务器 (29)

5.12.2添加为资产设备 (29)

5.12.3添加为应用发布服务器 (31)

5.12.4应用发布 (31)

5.13SSH公私鈅上传 (33)

6权限查询 (34)

6.1系统权限查询 (34)

6.2应用权限查询 (35)

7策略设置 (36)

7.1默认策略 (36)

7.2来源IP组 (37)

7.3周组策略 (39)

7.4命令组 (40)

7.5命令权限 (41)

7.6自动改密 (42)

7.7系统类型 (43)

7.8授权策略 (43)

8密码密钥文件 (44)

9系统配置 (44)

9.1参数配置 (44)

9.2VPN配置 (44)

9.3系统参数 (45)

9.4密码策略 (45)

9.5高可用性 (46)

9.6告警配置 (46)

9.7告警参数 (47)

10系统管理 (48)

10.1服务状态 (48)

10.2系统状态 (48)

10.3配置备份 (49)

10.4数据同步 (49)

11VPN配置 (50)

12动态口令 (51)

12.1USBKEY导入 (51)

12.2USBKEY绑定 (51)

13Licnese管理 (51)

14运维审计 (53)

14.1操作审计 (53)

14.1.1字符会话审计(Telnet/SSH) (53)

14.1.2SFTP和FTP会话审计 (55)

14.1.3图形会话审计 (56)

14.1.4应用审计 (60)

14.2实时监控 (62)

14.3审计查询 (65)

14.3.1会话搜索 (66)

14.3.2内容搜索 (66)

15日志报表 (67)

16个人信息修改 (70)

1概述

麒麟运维安全堡垒平台(以下简称麒麟运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1.1功能介绍

麒麟运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。

麒麟支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。

麒麟运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。

麒麟运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。

1.2名词解释

控制台

指麒麟运维堡垒机提供给管理员实现对它进行管理的Web系统。

管理员

指麒麟运维堡垒机系统的管理员,按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员,按照权限分立的原则分别承担不同的职责。

超级管理员:是内置的最高权限管理员,可以创建其他管理员角色用户账号。

配置管理员:负责资产管理、授权管理等。

组管理员:只对特定组的资产管理、授权管理。

审计员:只负责完成审计工作;

密码管理员:负责维护资产设备的账号密码。

协议

指麒麟运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT 支持SSH和Telnet等。

工具

指运维人员实现对设备的维护所使用的工具软件。

设备账号

指运维目标资产设备的用于维护的系统账户。

自动登录

指麒麟运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。

命令阻断

指麒麟根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,麒麟会拒绝转发此操作命令目标设备,同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。

应用发布

指通过在应用发布服务器部署应用程序,提供给用户远程虚拟化方式进行使用,就如同安装在本地一样的效果。

1.3环境要求

麒麟运维堡垒机管理控制台为Web系统,要求客户端采用支持IE内核的浏览器登录,因为需要支持ActiveX控件,推荐使用IE浏览器,支持IE8、IE9、IE10。。另外,终端还需要安装JRE环境,支持麒麟 Web Portal的Java Applet。

相关文档
最新文档