运维安全审计系统(HAC)_口令管理员手册

运维安全审计系统（HAC）

口令管理员手册

广州江南科友科技股份有限公司

2010年5月

版权声明

本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。

版权所有，翻版必究©

目录

1.前言 (2)

1.1 概述 (2)

1.2 阅读说明 (2)

1.3 适用版本 (2)

1.4 使用环境 (2)

2.准备工作 (3)

2.1 确定设备对应的帐户 (3)

2.2 确定统一帐户进行运维的用户 (3)

3.首次登陆 (4)

4.统一帐户管理 (6)

5.设备帐户管理 (9)

5.1 设备帐户管理 (9)

5.2 设备帐户托管 (11)

5.3 设备帐户获取 (13)

6.SSO配置 (15)

6.1 配置模板 (15)

6.2 配置内容 (17)

7.口令管理配置 (19)

8.密函打印审批 (20)

9.技术支持 (21)

1.前言

1.1 概述

本文档为运维安全审计系统的口令管理员使用手册，是口令管理员使用HAC的操作指南。

1.2 阅读说明

本手册包含口令管理员的全部日常操作，主要是与后台核心服务器的帐户密码管理相关的操作。包含如何添加统一主机帐户，如何添加设备帐户，怎样进行设备口令的托管，帐户的获取，如何根据主机的个性配置情况进行自动登录配置文件的调整，以及与口令相关的配置。

1.3 适用版本

本手册，依据HAC 3.6.5374E版本编写，适用于3.6的发布版。

1.4 使用环境

HAC的运维管理员使用WEB登录方式作为用户界面。HAC的运维管理员，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。

2.准备工作

2.1 确定设备对应的帐户

即确定核心服务器中进行运维的登录帐户，管理帐户，以及是否需要HAC进行定期自动更新这些帐户。这些帐户需要手动的添加到对应设备帐户中。

2.2 确定统一帐户进行运维的用户

统一帐户在添加时，对于其使用的用户要进行定义，所以需要提前准备。

3.首次登陆

用IE浏览器访问：https://172.16.1.162/admin；

访问过程中，如果是IE7/8，会出现证书安全警告等信息：

选择“继续浏览此网站”，进入登陆页面。

用户登录，如果是令牌模式的口令管理员，或证书认证的口令管理员，请不勾选“口令认证”。 以下以口令认证的管理员登录为例进行说明：

以下是登录成功首页：

首页内容为：当前日期、上次登录时间及登录IP、最近10次操作记录。操作记录包含操作时间、操作的客户IP、操作功能模块以及操作内容。为了安全性考虑，建议静态口令用户登录后，点击页面右上角“修改密码”，对密码进行更新。

4.统一帐户管理

统一帐户，是根据HAC用户反映的现实应用而增加的一种比较特殊的帐户，用于方便，快捷的统一管理相同帐户。

在实际应用中，会有如下情形：一个运维用户负责维护多台服务器，出于方便记忆和管理，这些服务器上的帐户和密码相同。通过统一帐户管理进行帐户、密码的分配，实现了添加一次，则自动匹配所有的符合统一帐户条件的授权，同时，可以做到多台服务器帐户密码同时进行定期更新，大大减轻了口令管理员和运维用户的工作量。

统一帐户的特殊性，添加成功有以下的前提：

1.运维管理员已经配置了运维用户对资源的授权；

2.如果是Linux和类Linux的帐户，必须满足相同操作系统，相同的登录配置（具体参

见本文的第6章节）；

3.如果是Windows帐户，在服务器端需要安装sso同步软件。见光盘。

具体操作步骤：

选择“设备口令管理/统一帐户管理”，进入统一帐户管理页面：

¾可添加、编辑、删除设备统一帐户；

¾可查看统一帐户日志；

¾可添加、删除统一帐户的隶属设备；

1）添加设备统一帐户，点击“添加”按钮，进入帐户添加页面

帐户名、密码、确认密码：即服务器的帐户和密码

密码有效期：密码有效期分为7天、15天、30天、60天、90天，默认为永久有效即不启用托管。当密码有效期设置不为永久有效时，启用密码托管功能，根据设置的时间周期，定期自动修改该帐户的密码。

运维用户：将该设备帐户关联到对应的运维用户，必填项。

帐户备注：输入该帐户的备注信息。

帐户状态：只有被激活的帐户才能在运维过程被使用。

添加完后，在“设备帐户管理”页面中，也会自动添加该设备帐户。并且该帐户不能重置密码，进入编辑页面后，只能修改帐户备注和帐户性质。

在设备帐户分配页面中，会自动完成对该运维用户的帐户分配。

2）编辑设备统一帐户，点击主机帐户后面对应操作中的“编辑”，可对帐户信息进行编辑。

3）查看设备帐户日志：

4）隶属设备，设备统一帐户添加完成，检测到用该帐户的设备会在这里显示，可添加，删除隶属设备：

5) 设备统一帐户删除，在您要删除的设备统一帐户前面复选框打钩，点击“删除”即可。

5.设备帐户管理

设备帐户管理，实现的是对单个主机帐户的配置。选择“设备口令管理/设备帐户管理”，页面如下：

¾可对主机进行添加、编辑、删除帐户；

¾可获取主机帐户；

¾可对主机帐户进行密码重置；

¾可进行帐户导出；

¾可查看主机帐户日志；

¾可进行SSO配置。

5.1 设备帐户管理

1）设备帐户添加，选择所要添加的设备：

2）点击“添加”进入添加页面：