麒麟开源堡垒机用户操作手册
麒麟开源堡垒机网络设备使用方案
麒麟开源堡垒机网络设备使用方案第1部分项目概述1.1 需求分析对于网络设备的运维管理,大部分公司目前还没有形成一套完整的管理方法,部分公司在网络设备上建立用户名密码,然后运维人员使用网络设备的本地密码登录后进行运维操作,还有一些公司建立有AAA服务器,将用户名和密码交AAA服务器统一管理,但这二种模式在运维管理中都存在相应的风险,主要风险如下:密码外泄:没有统一的密码管理机制,存在很多人员共同使用同一个系统帐号的情况 ,造成系统帐号的密码为多人所知,最终,系统密码非常容易外泄露给第三方人员;违规恶意操作:对操作人没没有统一的监控、审计系统,操作人员操作的过程无法进行回溯,容易造成操作人员越权删除、修改数据以及配置系统的情况管理授权混乱:当网络设备多,运维人员数量多的时候,管理授权容易出现混乱,没有一个统一的系统为运维人员进行授权,并且对权限进行回收管理,形成一定的运维风险上述这些问题的原因,都是因为没有一个统一的运维管理平台,造成运维管理黑盒化导致,因此建立一个安全、可靠、易用的运维管理平台,为近期企业IT运维的迫切要求。
同时国家及行业也相继出台了相关的法律法规及管理规范,如CSOX和等保规定,要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。
1.2 建设目标本方案主要是通过对人员、设备、操作的管理,实现运维管理的白盒透明化,同时将各项运维管理规章制度,能以可监控的方式进行管理落地。
项目建设目标主要是以运维过程的安全、操作管理进行,最终达到运维规章制度可能有效执行,根据这些原则,将系统建设目标明细为如下点:统一的运维管理:建立统一的运维管理平台(堡垒机系统),用户由过去直接访问网络设备,改为从堡垒机跳转登录,堡垒机上实现认证、授权、审计及帐号的管理。
认证权限集中管理:堡垒机上启动AAA服务器,将网络设备的认证统一放到AAA服务器上,AAA服务器上的密码系统可以自动按时修改,不需要运维人员知道AAA服务器上的密码,当用户想要登录网络设备时,由运维平台自动为运维人员填写登录密码,这样能保证最终设备密码的安全性。
堡垒机CA证书使用模式
堡垒机CA证书使用方法
麒麟开源堡垒机内置了CA证书方式,用户在开启CA证书时,可以实现双因素认证,以加强系统的安全性
1、麒麟堡垒机设置部分
系统配置-参数配置-系统参数菜单,找到正文的是否开启证书认证,在下拉中选择开,然后点击右侧的保存修改按钮
然后IE将无法访问堡垒机,登录到后台,运行如下命令重启httpd:
Killall -9 httpd ; /etc/init.d/httpd start
注意,证书开启后,如果未安装证书,则无法访问堡垒机界面,因此,证书开启后admin 用户将无法打开httpd界面,如果没有为用户生成证书,则只需要安装通用证书后就可以访问堡垒机,将通用证书复制到硬盘,然后双机图标
启动后点击二次下一步,跳到一个输入密码的界面,密码为22222222(8个2)
证书安装完成后,将可以访问到堡垒机前台,如果要为某个用户开启证书认证,则编辑这个用户,点击最下方的生成证书按钮。
生成完毕后,可以到用户编辑界面点证书进行下载安装,用户安装证书与安装通用证书完全一样,不同的就是密码不是8个2,是用户自己在堡垒机上的密码。
注:密码必须由管理员用户下载分发,目前不支持用户下载方式。
麒麟开源堡垒机用户操作手册.
运维安全堡垒平台用户操作手册麒麟开源堡垒机用户操作手册目录1.概述 (1)1.1.功能介绍 (1)1.2.名词解释 (1)1.3.环境要求 (2)2.登录堡垒机 (2)2.1.准备................................................................................................. 错误!未定义书签。
2.1.1.控件设置 (2)2.1.2.Java Applet支持............................................................................. 错误!未定义书签。
2.2.登录堡垒机 (3)3.设备运维 (4)3.1.Web Portal设备运维 (4)3.2.运维工具直接登录 (6)3.3.SecureCRT打开多个设备 (7)3.4.列表导出 (11)4.操作审计 (14)4.1.字符协议审计 (14)4.2.SFTP和FTP会话审计 (16)4.3.图形会话审计 (17)4.4.RDP会话审计 (18)4.5.VNC会话审计 (20)5.其他辅助功能 (22)5.1.修改个人信息 (22)5.2.网络硬盘 (22)5.3.工具下载 (23)1.概述运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。
运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。
1.1.功能介绍运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。
支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。
运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。
4麒麟开源堡垒机LDAP及AD集成认证使用方式
麒麟开源堡垒机AD及L D AP集成说明
麒麟堡垒机支持使用外接的AD、LDAP进行认证,并且支持从A D、LDAP中导入帐号到堡垒机中,设置步骤如下:
1.在系统配置-参数配置-认证配置中点击“添加条目”按钮
2.在弹出的菜单中添加新的条目,如果是AD,需要在下拉中选择AD
LDAP截图:
AD截图:
3.如果需要手工导入帐号,点击后面的添加LDAP/AD帐号按钮,输入管理员帐号后进行导入,也可以自己用E XCEL方式或在W E B上手添加帐号,注:在进行认证前,堡垒机上必须存在有这个帐号才能进行AD/LDAP认证
4.编辑相应的帐号,在认证方式部分,勾上AD或L DAP认证,优先登录试,可以选择刚才设置的AD或LDAP认证
5.登录时,左侧选中相应的登录试,输入AD/LDAP密码即可以进行登录
注:目前AD/LDAP只支持WEB方式,不支持透明登录试,因此,如果非要用户登录,可以做如下设置:
1.在启用AD/LDAP登录时,将认证(使用本地密码认证)勾除,让用户在WE B登录时必须用LDAP/AD进行认证
2.勾上WEBPORTAL,如果勾上WE BPORT AL,用户在进行透明登录时,必须要WEB在线,即用户必须使用WEB通过AD/LDAP登录后才能用透明登录。
麒麟堡垒机使用手册
一.
安装方式分为安装包安装方式和ISO安装方式,安装包方式为先安装一个Centos 7.x系统,然后下载安装包进行安装,安装过程需要有可连接的yum源,ISO方式为下载ISO,硬件服务器只支持STAT硬盘,将ISO记录成光盘(注意不支持U盘)后,进行一键安装,或将ISO文件挂在虚机上进行一键安装
4.1.3 . Windows终端运维人员使用:20
4.2动态口令22
4.2.1动态口令说明:22
4.2.2动态口令设置管理员部分23
4.2.3动态口令设置运维用户部分:23
4.2.4.WEB登录后工具模式免动态口令25
4.3应用发布25
4.3.1应用发布说明:25
4.3.2应用发布安装步骤:26
4.3.2应用发布运维人员使用29
可使用https://ip进行登录,默认管理员用户名和密码为admin/12345678。系统设置主要包括三个步骤,为每个运维人员创建一个web用户、把需要管理的设备及设备用户(比如root/administrtor类此)录入或导入堡垒机、绑定权限,指定哪一个web登录用户能登录哪一台设备的哪个用户。
2.2.3批量添加设备及设备帐号10
2.3授权管理10
2.3.1单个设备授权10
2.3.2批量授权11
三.运维人员使用:13
3.1工具登录方式13
3.2 WEB登录方式14
3.2.1插件安装14
3.2.2运维人员操作17
四.增强功能:19
4.1 SSL VPN19
4.1.2 .SSL VPN管理员设置部分:19
5.1.6如果在Firefox中初次选择程序选择成了CRT怎么办45
麒麟开源堡垒机密码定期修改手册
麒麟堡垒机密码定期修改手册1、堡垒机设置部分自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管,并且按运维相关要求进行口令强度和周期的修改。
堡垒机上设置一台设备自动修改密码按如下步骤:(1)设置修改密码的频率在设备管理菜单中编辑设备,其中修改方式就是自动改密的频率,按月指每月几号修改,按周是每周几修改,自定义是多少天修改一次,比如下面的设置为一天修改一次,如果把频率设置为30,则为30天修改一次,如果设备为Linux/Unix系统,并且root用户不能自动登录,则必须在这个页面输入超级管理员口令:(2)设置修改密码主帐号(Linux/Unix)如果需要一台Linux/Unix主机进行自动改密,则需要一个改密主帐号,Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的,系统是通过改密主帐号完成这一操作,即不管这台主机上有多少个用户,Linux/Unix都使用改密主帐号登录到系统上,使用passwd命令来完成所有的用户的密码修改,因此,改密主帐号必须有root权限(或可以通过上步输入的密码su成root)。
设置了修改密码的频率后,需要指定主机上的改密主帐号,即打开这个主机的帐号页面,编辑为改密主帐号的那个用户,将修改密码主帐号勾选,如果这个帐号不是root权限,则必须勾选改密时su为超级用户,如下图:(3).选择需要修改密码的用户即使设置了改密频率和改密主帐号,系统也只修改这台主机上勾选了自动修改密码的帐号密码,即,如果用户没有勾选自动修改密码,则这个帐号即使到了改密周期,系统也不会对这个帐号进行密码修改。
编辑需要自动修改密码的用户,勾选自动修改密码选项2、密码策略系统可以设置自动修改密码时的密码策略,在资源管理-策略设置-自动改密菜单中,进行密码策略修改,主要包含密码长度、强度、记忆次数等,如果在这里设置了密码策略,在前台手工修改密码时,则必须符合这里的策略,否则无法修改成功3、手工修改(1)前台修改:前台可以手工进行密码修改测试,使用password用户登录到系统,在密码管理-修改密码菜单中,选择相应的设备组,如果在正文的密码对话框中输入密码,则所有的设备会被强制修改为这里输入的密码,如果输入了IP和用户,则只修改相应的IP和用户的密码,在密码修改里,如果下拉强制修改,则修改所有勾选了自动修改密码的用户(即使这个用户不到改密周期),选择好相应的条件后,点击生成密码按钮系统会列出所有的具备条件的主机列表,这时用户可以在即时修改那列选去不希望修改密码的主机,点击立即修改密码按钮,系统即会启动密码修改程序(2)后台修改:用户也可以通过ssh到堡垒机后台运行命令进行修改,后台修改的好处为可以看到系统修改的整个过程,登录到后台后运行命令1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd2.运行方法2.1 可以不加参数,表示修改所有的服务器上所有用户的密码2.2 可以加-g groupname 参数,表示可以修改名字为groupname 这个设备组的所有服务器的密码(与servergroup表相关)例如-g change2.3 可以加-s ip 参数,表示修改所有地址为ip的服务器的密码例如-s 222.35.62.1702.4 可以加-u username 参数,表示修改所有用户名等于username的帐号的密码(此参数与服务器的ip地址无关),例如-u monitor2.5 可以加-p password 参数,指定修改后的新密码为password,例如-p freesvr 没有-p参数,系统将随机生成12位密码2.6 可以加-f 参数,表示强制修改。
堡垒机使用说明
堡垒机使用说明1、堡垒机登录使用管理员提供的地址、帐号、密码,通过浏览器即可登录,推荐使用主流浏览器IE、chrome、firefox等。
如启用了手机动态码二次认证,需在手机端安装FreeOTP应用(支持Android、iOS系统),并按系统提示进行操作。
第一次登录时会提示安装shterm插件,一定要安装。
还要安装Java运行环境,登录后在右上角工具下载中可以下载。
安装上述软件后,重启浏览器,重新登录堡垒机。
2、服务器登录登录堡垒机后就会看到可登录的设备,点选要登录的设备,在设备对应的服务中选择远程连接的服务,通常linux为putty,Windows为rdp 。
登录后即可进行服务器操作。
3、服务器远程操作通过堡垒机进行服务器的远程操作与正常远程操作基本没有差异,正常操作即可。
由于服务器管理员帐号已经内置到堡垒机中,所以请不要修改已有管理员帐号及密码,不要修改网络配置、防火墙配置,也不要安装各类杀毒、防火墙软件,否则将影响正常登录,网信中心IDC会做统一防护。
4、退出服务器操作结束后,正常退出远程连接即可,然后注销堡垒机的登录。
注意事项:1、服务器严格执行软件最小化原则,不得安装各种与应用服务无关的软件。
2、不得将服务器用于与应用服务无关的其他用途。
3、堡垒机有详细的审计记录,所有通过堡垒机的操作都会记录在案,包括通过堡垒机输入的各类密码。
4、各类违规操作一经发现,将根据操作的危害性、造成的后果等调整或限制服务器的权限。
5、堡垒机的帐号专人专用,使用人必须提前登记,人员出现变更要及时更新登记,如出现任何不良影响,都将追究登记人责任。
麒麟开源堡垒机应用发布安装手册
应用发布软件安装手册1.1 安装依赖软件包在目录,请先安装了如下五个软件:(1) 如果是Windows 2003,需要先在子目录中安装 wic_x86_chs.exe , IE8.exe,并且需要重新启动,如果2008可以直接做下面那步(2) 以下三个软件2008,2003都需要安装dotNetFx40_Full_x86_x64.exevcredist_x86 .exemysql-connector-odbc-5.1.9-win32.exe1.2 安装程序将第二步安装-应用发布程序目录中的freesvr文件夹得到到c:\目录,打开c:\freesvr目录,运行里面的grouppolicyaddbhoinstall.bat 程序即可完成安装(2008R2需要以管理员权限运行安装)1.3 安装帐号同步程序:,即可完双击第三步-帐号同步程序文件夹中的ServiceInstall.exe成安装1.4 配置1. 修改RDP的空闲断开时间为1分钟2003 配置:在管理工具-终端服务配置 中的会话选项,将结束已断开的会话设置为1分钟2008配置: 2008需要打开服务管理器,点击右键点击角色,点添加按钮,在弹出的菜单中勾上“远程桌面服务”进行安装然后在角色服务选择中选择 远程桌面会话主机、远程桌面授权二项在身份验证方法中选择不需要使用网络级别身份认证授权模式选择以后配置安装后重启主机打开管理工具-远程终端配置-远程桌面会话主机配置,右键点击RDP-TCP,点击属性,在弹出的属性里选择会话TAB,将结束已断开会话时间修改为1分钟在管理工具-远程桌面服务里打开RemoteAPP菜单,鼠标右击下方区域选择添加,弹出添加REMOTEAPP程序窗口,把程序加入REMOTEAPP,同时将下面C:\freesvr\DesktopApp\DesktopApp.exe的参数设置为允许任意参数2. 按微软RDP 授权激活攻略-傻瓜版 破解终端授权。
麒麟开源堡垒机应用发布安装手册
应用发布软件安装手册1.1安装依赖软件包在目录,请先安装了如下五个软件:(1)如果是Windows 2003,需要先在子目录中安装wic_x86_chs.exe , IE8.exe,并且需要重新启动,如果2008可以直接做下面那步(2)以下三个软件2008,2003都需要安装dotNetFx40_Full_x86_x64.exevcredist_x86 .exemysql-connector-odbc-5.1.9-win32.exe1.2安装程序将第二步安装-应用发布程序目录中的freesvr文件夹得到到c:\目录,打开c:\freesvr目录,运行里面的grouppolicyaddbhoinstall.bat 程序即可完成安装(2008R2需要以管理员权限运行安装)1.3安装帐号同步程序:双击第三步-帐号同步程序文件夹中的ServiceInstall.exe,即可完成安装1.4配置1.修改RDP的空闲断开时间为1分钟2003 配置:在管理工具-终端服务配置中的会话选项,将结束已断开的会话设置为1分钟2008配置:2008需要打开服务管理器,点击右键点击角色,点添加按钮,在弹出的菜单中勾上“远程桌面服务”进行安装然后在角色服务选择中选择远程桌面会话主机、远程桌面授权二项在身份验证方法中选择不需要使用网络级别身份认证授权模式选择以后配置安装后重启主机打开管理工具-远程终端配置-远程桌面会话主机配置,右键点击RDP-TCP,点击属性,在弹出的属性里选择会话TAB,将结束已断开会话时间修改为1分钟在管理工具-远程桌面服务里打开RemoteAPP菜单,鼠标右击下方区域选择添加,弹出添加REMOTEAPP程序窗口,把程序C:\freesvr\DesktopApp\DesktopApp.exe 加入REMOTEAPP,同时将下面的参数设置为允许任意参数2.按微软RDP 授权激活攻略-傻瓜版破解终端授权。
麒麟开源堡垒机管理员手册
麒麟开源堡垒机管理员手册麒麟开源目录1概述 (5)1.1功能介绍 (5)1.2名词解释 (5)1.3环境要求 (6)2管理员登录 (7)3初始基本配置 (10)4目录管理 (11)4.1目录说明 (11)4.2目录创建 (12)5账号管理 (14)5.1用户角色 (14)5.2运维账号管理 (15)5.2.1添加用户 (15)5.2.2批量添加用户 (17)5.2.3批量编辑用户 (18)5.3RADIUS账号 (18)5.4目录管理 (19)5.5在线用户管理 (19)5.6登录策略 (19)5.7设备管理 (20)5.8设备信息导入导出 (24)5.9普通用户自动登录root账号 (25)5.10目录节点管理 (25)5.11系统用户组 (27)5.12应用发布 (29)5.12.1应用发布服务器 (29)5.12.2添加为资产设备 (29)5.12.3添加为应用发布服务器 (31)5.12.4应用发布 (31)5.13SSH公私鈅上传 (33)6权限查询 (34)6.1系统权限查询 (34)6.2应用权限查询 (35)7策略设置 (36)7.1默认策略 (36)7.2来源IP组 (37)7.3周组策略 (39)7.4命令组 (40)7.5命令权限 (41)7.6自动改密 (42)7.7系统类型 (43)7.8授权策略 (43)8密码密钥文件 (44)9系统配置 (44)9.1参数配置 (44)9.2VPN配置 (44)9.3系统参数 (45)9.4密码策略 (45)9.5高可用性 (46)9.6告警配置 (46)9.7告警参数 (47)10系统管理 (48)10.1服务状态 (48)10.2系统状态 (48)10.3配置备份 (49)10.4数据同步 (49)11VPN配置 (50)12动态口令 (51)12.1USBKEY导入 (51)12.2USBKEY绑定 (51)13Licnese管理 (51)14运维审计 (53)14.1操作审计 (53)14.1.1字符会话审计(Telnet/SSH) (53)14.1.2S会话审计 (55)14.1.3图形会话审计 (56)14.1.4应用审计 (60)14.2实时监控 (62)14.3审计查询 (65)14.3.1会话搜索 (66)14.3.2内容搜索 (66)15日志报表 (67)16个人信息修改 (70)1概述麒麟运维安全堡垒平台(以下简称麒麟运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。
堡垒机帐号同步模块使用说明和测试手册
堡垒机帐号同步模块使用说明和测试手册麒麟开源堡垒机帐号同步模块用于同步堡垒机到应用发布服务器之间的帐号1.相关软件:如上图所示,一共四个文件,分为两部分,其中:(1)ClientSocket.php和ClientT est.exe,是客户端软件,模拟账号同步命令的发送,用于测试服务。
前台调用方式请参考文件ClientSocket.php里的函数;(2)ServicInstall.msi和setup.exe是账号同步软件的安装文件2.ODBC数据配置:请确保本地配置好了ODBC源,数据源名称为“audit”,数据库名为“audit_sec”,如果已经配置好,则可跳过此步:3.安装账号同步软件:将文件夹“Freesvr”复制到C盘,进入该文件夹,直接双击“setup.exe 文件即可”注:双击setup.exe会自动检查依赖库,有可能会提示安装.net4.0 client profile简体中文语言包,安装即可。
安装好后,打开本地服务,可以看到名称为“AccountsSyncService”的服务,请重启该服务器,以确保程序可用,如果如下图所示重启服务:4.1 用ClientText.exe进行测试双击文件夹中的“ClientText.exe”文件,如下图所示:程序一共可以处理四种命令:命令一:扫描全表,同步账号;命令格式:async ,此命令会一次性同步数据库表中的所有账号到本地,此命令返回结果:(1)成功,返回字符串:"1,已成功同步数据库的所有账号到本地!"(2)失败,返回字符串:"0,同步数据库的所有账号到本地失败!"命令二:添加指定的账号;命令格式:async 1,此命令只会在本地添加指定username的账户,此命令返回结果:(1)成功,返回字符串:"1,添加账号成功!"(2)失败,返回字符串:"0,添加账号失败!"命令三:禁用指定的账号;命令格式:async 2,此命令只会在本地禁用指定username的账户,此命令返回结果:(1)成功,返回字符串:"1,禁用账号成功!"(2)失败,返回字符串:"0,禁用账号失败!"命令四:生成BHO配置文件;令格式:async 3,此命令用于生成BHO配置文,此命令返回结果:(1)成功:返回字符串:"1,生成BHO配置文件成功,文件所在目录:"(2)失败:返回字符串:"0,生成BHO配置文件失败!"注:返回的字符串中,有返回码0和1代表执行失败和成功,以及对应的信息,二者用逗号隔开。
麒麟开源堡垒机后台系统维护手册
麒麟开源堡垒机维护手册麒麟开源1用户手册概述本手册为堡垒机运维系统维护手册,适用于没有任何堡垒机使用经验的用户。
本手册假设阅读者拥有堡垒机的全部权限。
1.1 如何阅读本手册如果已经有过堡垒机使用经验,可选取您感兴趣的章节进行阅读;如果您是堡垒机的首次使用者,建议按照顺序通读本手册。
1.2 手册使用说明带下划线表示操作中的菜单,例如:资源管理—用户列表—新建用户表示:操作为先点击“资源管理”菜单,在出现的页面中再点击“用户列表”菜单,最后点击“新建用户”菜单。
红色字体表示用户特别需要注意的内容。
1.3 系统版本本手册为堡垒机 1.1系统版本。
2维护介绍系统维护手册是系统上线运行后,对系统进行日常维护,发现问题解决问题的一个参考手册,基本的日常维护主要包括前台操作和后台维护两部分。
系统的维护主要通过后台来进行,前台操作只是为后台维护提供基本的参考。
前台操作是指在进行日常后台维护操作之前或者之后,通过前台的一些基本操作来发现问题,或者查看问题是否解决。
前台的基本操作如下:2.1.1登陆系统登陆系统分为web登陆和工具直接登录两种,web主要针对的是审计用户包括:操作审计、日志审计和db审计等,工具登陆是一般运维人员的常用登陆方式。
通过这两种登陆方式的检验来确保系统用户的正常基本使用。
2.1.2登陆报表通过查看系统的登陆报表可以较快捷的了解到用户登陆情况和登陆失败的原因。
登陆报表在堡垒机的日志报表-审计报表-登陆明细中查看。
界面如下:后台维护是对系统进行维护的常用手段,前台登陆是为后台维护的一个辅助手段。
后台维护包括对系统运行命令的查看、启动项是否正常、运行情况的查看以及硬件运行情况等参数的查看等操作。
也可以针对前台出现的问题针对性的查看。
2.2.1维护账号后台维护使用root账户登陆到堡垒机,管理端口为2288(与平时使用端口22不同)。
2.2.2查看系统目前运行的进程使用ps –ef|grep 进程名,可以查看系统运行的进程。
麒麟堡垒机使用手册
PC需要可以访问到堡垒机的TCP 22、443、1080、3389、3390端口
堡垒机需要能连接到被管理服务器的ssh、rdp等端口
PC不需要能访问到被管理的服务器
二.堡垒机管理员操作
4.4麒麟堡垒机公私钥透传设置30
4.5麒麟堡垒机HA设置文档33
4.6堡垒机Radius/AD/LDAP认证配置34
4.6.1 Radius认证配置34
4.6.2外接AD、LDAP认证配置35
4.7麒麟堡垒机SSH/TELNET命令操作列表限制37
4.8麒麟堡垒机邮件发送配置说明40
五故障排除42
5.6 RDP报错“由于安全设置错误,客户端无法连接到远程计算机”52
一.
安装方式分为安装包安装方式和ISO安装方式,安装包方式为先安装一个Centos 7.x系统,然后下载安装包进行安装,安装过程需要有可连接的yum源,ISO方式为下载ISO,硬件服务器只支持STAT硬盘,将ISO记录成光盘(注意不支持U盘)后,进行一键安装,或将ISO文件挂在虚机上进行一键安装
录入完成后,另存为CSV格式并且在 资源管理-资产管理-设备管理 中点击导入按钮进行批量创建。
另外导出时密码为密文,导入时请修改为明文进行导入。
2.3 授权管理
授权分为批量授权和单个设备授权二个模式,临时授权建议使用单个授权模式,日常管理建议使用批量授权模式
2.3.1 单个设备授权
单个设备授权可以把单个设备帐号授权给运维人员的Web用户,让运维人员登录,单个授权只用于临时授权时,比如我暂时将一个设备授权给一个用户,使用一段时间后会取消,因为这种授权模式为点到点模式,如果用户和设备多的时候,授权条目会非常多,最终造成权限混乱
13麒麟开源堡垒机内置SSL VPN使用说明书
麒麟堡垒机SSL VPN使用说明书一.SSL VPN说明:麒麟堡垒机内置SSL VPN为OPENVPN rebuild 软件,在openvpn基础上主要完成了如下工作:1.ssl vpn 客户端重写代码,使客户使用更容易、更方便2.ssl vpn 服务器修改认证方式为堡垒机认证方式,即使用堡垒机帐号进行认证(当堡垒机帐号绑定动态口令时,也需要使用动态口令进行认证)3.ssl vpn前台WEB配置界面。
二.SSL VPN管理员设置部分:SSL VPN管理员设置部分主要在VPN菜单,主要分为VPN设置和VPN路由二部分。
1.VPN设置界面,建议不要进行修改,这个界面已经进行了调优和与LINUX后台的整合,不需要任何修改即可以使用(包括IP地址池)IP地址池为VPN分配给用户的IP池,这个网段不能与用户内网重合,一但这段地址与内网重合,将会发生通过堡垒机不能访问重合的IP地址段现象,如果与用户内网重合时,IP地址池可以修改为与用户内网不重合的任意IP地址断。
注意:VPN如果进行修改后,需要到系统管理-服务管理中重启VPN服务2.VPN路VPN路由为设置注入到PC终端的路由,一般为内网IP或网段,PC终端只有注入路由后,才能访问到内网IP,一般情况下,这里只需要将堡垒机内网的IP添加即可,注意掩码为255.255.255.255注意:VPN如果进行修改后,需要到系统管理-服务管理中重启VPN服务3.打开用户的VPN功能,编辑或新建用户时,在权限信息下面的,不允许使用VPN 复选为未勾中状态,即表示这个用户可以使用VPN三. Windows终端运维人员使用:1.在其它-工具下载菜单下载VPN-2016-04-12.ZIP包,-32为32位版本,-64为64位版本解压选择相应的位数以管理员权限安装2.系统安装后将在菜单中产生一个VPN的菜单,点击可以启动VPN,VPN启动后会在右下角有一个VPN的图标蓝色表示已经连接成功灰色表示未连接黄色表示正在连接用鼠标右击按钮,会出现设置菜单,设置菜单中登录连接是用于输入用户名和密码登录VPN 的,系统配置是用于设置VPN服务器IP的,查看日志,当有问题连不上的时候,点这个菜单可以查看VPN的LOG点系统配置按钮,弹出VPN配置的界面,在服务器1中添入堡垒机外网口IP,如果做负载均衡时,可填入服务器2、服务器3等IP地址,然后点击确认即可3.VPN连接,右键点右下角VPN图标,点击登录连接按钮,弹出VPN登录的菜单,输入堡垒机用户名和密码,即可以连接到VPN系统4.如果连接不上时,请点击查看日志菜单,将弹出的notepad中的内容发送给麒麟堡垒机厂商进行故障排除四.苹果MACOS系统终端使用:MAC系统装vpn过程说明:使用的软件名称是Tunnelblick,到官方网站或者其他网站下载,网址:https://。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
麒麟开源堡垒机用户操作手册目录1.概述 (1)1.1.功能介绍 (1)1.2.名词解释 (1)1.3.环境要求 (2)2.登录堡垒机 (2)2.1.准备....................................................................................................错误!未定义书签。
2.1.1.控件设置 (2)2.1.2.Java Applet支持................................................................................错误!未定义书签。
2.2.登录堡垒机 (3)3.设备运维 (4)3.1.Web Portal设备运维 (4)3.2.运维工具直接登录 (5)3.3.SecureCRT打开多个设备 (7)3.4.列表导出 (11)4.操作审计 (14)4.1.字符协议审计 (14)4.2.S会话审计 (16)4.3.图形会话审计 (17)4.4.RDP会话审计 (18)4.5.VNC会话审计 (20)5.其他辅助功能 (22)5.1.修改个人信息 (22)5.2.网络硬盘 (22)5.3.工具下载 (23)1.概述运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。
运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。
1.1.功能介绍运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。
支持常用的运维工具协议(如SSH、telnet、、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。
运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。
运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。
1.2.名词解释协议指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。
工具指运维人员实现对设备的维护所使用的工具软件。
设备账号指运维目标资产设备的用于维护的系统账户。
自动登录指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。
命令阻断指根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,会拒绝转发此操作命令目标设备,同时向操作员反馈拒绝执行的提示信息。
这是实现实时操作控制的一种重要手段。
应用发布指通过在应用发布服务器部署应用程序,提供给用户远程虚拟化方式进行使用,就如同安装在本地一样的效果。
1.3.环境要求运维堡垒机提供运维Web Portal,登录 Web Portal要求运维终端采用支持IE 内核的浏览器,因为需要支持ActiveX控件,推荐使用IE浏览器,支持IE8、IE9、IE10。
另外,运维终端还需要安装JRE环境,支持 Web Portal的Java Applet。
2.登录堡垒机2.1.控件设置WebPortal方式使用前必须安装插件,插件支持chrome、firefox、ie等通用浏览器,安装过程如下:1.如果终端安装了360杀毒软件,请先关闭360杀毒和安全卫士,不然安装时无法注意,安装后,在开启杀毒软件和卫士就不会在影响使用2.登录堡垒机,在堡垒机的其它菜单中,点击工具下载,下载:堡垒机插件2016-221.rar,解压后安装(只需要默认点击下一步)2.2.登录堡垒机在浏览器地址栏输入,在已经导入证书的情况下,会顺利地打开登录页面,否则需要选择信任证书并继续浏览,才能看到登录界面。
登录界面如下图:支持普通口令登录,也支持动态口令登录。
动态口令登录需要登录用户手上有动态口令的USBKey才行,没有的人不能用动态口令登录。
认证方式有英文名和中文名两种方式的原因是,在运维堡垒机都采用实名制账户管理,每个用户账号(英文名)都对应一个自然人的真实姓名(中文名)。
一般直接使用默认的英文名登录认证方式即可。
输入用户名、密码后认证通过后即可看到堡垒机的运维主界面,如下图所示:主界面为左右布局,左侧菜单,右侧为工作区,右侧展示菜单对应的各项功能和操作数据。
菜单区有三大功能:“设备管理”、“运维审计”、“其他”。
运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两块,设备管理是对设备进行运维的统一操作入口,运维审计是对运维操作的回顾和审计。
从“设备管理”菜单的结构可以看出,运维堡垒机把所有设备分组管理,形成设备组,而且从右侧界面结构看到,设备又根据运维方式进一步分类,比如有SSH设备、RDP设备等,让用户能够很方便地找到操作对象。
“设备管理”菜单中的另一块就是“应用发布”,“应用发布”就是在堡垒机上部署了一些运维工具,提供给运维人员使用,这些工具不需要下载安装,就可以直接使用来对设备进行运维,是一种虚拟化的操作方式。
“运维审计”是提供给运维人员自己查看审计自己历史操作过程记录的一个途径,有利于积累操作经验。
“其他”是一些辅助功能,比如修改个人信息、下载工具、网盘等。
3.设备运维运维堡垒机支持运维人员以三种方式登录运维:1)打开WebPortal,在Webportal中点击相应的工具链接进行登录2)直接在维护终端本地打开工具进行登录3)进行VPN拨号,然后打开维护终端本地工具进行登录3.1.Web Portal设备运维设备运维除了选用应用发布服务器上的软件工具意外,都是使用本地安装的工具软件。
首次登录注意看,设备列表中每个设备右端对应的操作栏,如下图所示。
设备列表的第一列是ID,也非常重要,在下一节运维工具直接登录运维的时候要用到。
以第一行设备Linux-1为例。
它的操作为“ssh(putty | securecrt) s)”,表示该设备有两种运维登录方式,一种是ssh方式,第二种是sftp方式,并且列明了可以使用的工具,SSH方式可以使用putty或者securecrt,sftp方式使用WINSCP。
括号里面的蓝色字体表示是链接,点击链接可与打开工具。
第一次点击工具链接的时候,堡垒机系统并不知道你的工具是否安装以及所在位置,需要用户自己指定工具安装在哪个路径下面,因此,会弹出对话窗口让登录人员进行路径选择,第一次选择路径后,系统即会记录该路径,以后再登录都不需要重新输入,界面如下。
找到运维工具后,启动工具,堡垒机系统一般将会自动登录到目标系统,代替运维人员实现登录目标设备的登录操作,这就是单点登录,简化运维操作,不需要记忆大量设备的账号密码。
采用putty工具自动登录目标设备后的界面如下图所示。
其他设备的运维与此类似。
3.2.运维工具直接登录除了在Web界面点击工具链接登录目标设备运维,支持使用本地运维工具直接进行登录运维,操作体验与没有使用堡垒机完全相同,完全不改变操作习惯。
运维人员直接使用运维工具柜进行运维,与使用堡垒机之前不同,需要注意二个事项:1.无论运维人员希望登录哪一台目标设备运维,工具的目标主机地址都是运维堡垒机,不能绕过堡垒机直接填写目标设备地址访问。
2.运维人员登录认证的帐号,也不能再使用目标设备最终登录账号,登录账号使用的是用户在运维堡垒机上的登录账号与目标设备在上的ID好组合而成的一个标识,其格式是:堡垒机账号—目标设备ID中间的连接符是两个减号。
而登录密码就是用户在堡垒机上账号的密码。
如何得到设备的ID呢?用浏览器登录堡垒机WebPortal可以查看,在设备列表的衣领就是设备ID,如下图所示Linux-1的ID是5。
因此当希望用工具直接登录目标设备Linux-1(192.168.1.45)时,应该在打开的工具(比如putty)界面上,目标主机的地方填写堡垒机地址(假定为192.168.1.61),如下图所示。
点击“Open”按钮,当Putty提示输入登录用户名和密码的时候,此时应该输入在堡垒机上的账号名(假设为tom)与ID的组合,即“tom--5”,密码为堡垒机用户tom的密码。
这样Putty就会穿过堡垒机把你带到要维护的目标设备192.168.1.45。
3.3.SecureCRT打开多个设备1、登录堡垒机WebPortal(假设为192.16.100.51),点击工具CRT链接可以登录一个目标设备,如下图所示。
在SecureCRT上打开“文件”-“快速连接”协议选择:“SSH2”主机名:“192.16.100.51”(主机名填写堡垒机的访问IP地址)端口: “23”用户名:即堡垒机用户名,这里是cx用户名格式:堡垒机用户名--服务器ID 如图:打开不同的AIX或Linux需查看不同的服务器ID查看服务器ID的方法:在WebPortal设备列表中左边第一列。
点击“连接”,输入堡垒机登录密码。
重命名服务器名称点击“确定”完成配置,如下图。
3.4.列表导出当设备非常多的时候,按上面每台设备添加并填入ID的方式,会给运维人员造成很大的负担,因此堡垒机提供列表导出方式,可以直接导出SecureCRT、Xshell的配置列表(ssh协议)和Mremote列表(RDP、VNC、X11协议),导入列表后,工具内就有用户可以登录所有的设备,并且已经配置好id值用户可以直接使用。
首先登录到堡垒机前台,点击列表导出菜单,得到如下界面在界面中,只需要选择SECURECRT的版本(6或7),如果版本低,必须要升级到6.x或7.x版本,然后点击后面的提交按钮,会下载一个以主帐号为命名的zip文件(有的时候,因为IE安全问题,头一次点击提交无法下载,这时只要在到这个界面,选择好版本后在点击提交按钮就可以下载了)。
将文件存到一个目录解压,会得到一个以用户名为名称的目录,里面就是所有的主机列表配置。
打开Securecrt的option菜单里的global setting,可以得到securecrt的sessions 文件存贮位置,如下图:只需要将下载解压的目录的放到这个目录的sessions目录下打开CRT后,会出现一个以用户目录为名称的目录,里面会出现服务器组列表,服务器组列表就会有所有能登录的设备,这时,用户可以直接使用CRT,通过找到服务器点击的方式登录目标设备4.操作审计操作审计让运维人员可以查看自己的操作记录,既可以积累经验,有便于查找问题的原因,有助于快速解决问题。
普通运维用户只能看到自己的操作记录。
操作审计主界面如下图所示。
把会话按协议进行了分类管理。
4.1.字符协议审计Telnet和SSH会话属于字符会话,这类协议的特点是以字符命令操作为主,命令防火墙对这类协议效果最好。