SDM安全开发管理系统环境使用人员培训手册.doc

日常维护操作手册安全开发管理系统环境使用人员培训手册中国建设银行广州开发中心二零一一年十一月文档管理信息表主 题环境使用人员培训手册内 容安全开发管理系统使用操作说明关 键 字参考文档提交时间撰 写 人文档修改记录表修改人修改时间修改内容目 录1简介51.1名词解释51.2访问服务器地址与端口设置62telnet协议操作说明72.1登录访问服务器72.2主菜单介绍82.3所有资源列表112.4重新选择分组132.5访问目标主机142.6帮助信息163ssh协议操作说明183.1虚拟终端配置方法183.2主界面214ftp协议操作说明274.1登录访问服务器274.2转接后台主机294.3图形界面的ftp客户端295rdp协议操作说明326http协议操作说明356.1浏览器设置356.2访问url377xwindows协议操作说明387.1启动xserver387.1.1xmanager387.2登录访问服务器391 简介安全开发管理系统为环境使用人操作主机提供安全的访问渠道，并且对环境使用人通过安全开发管理系统在主机上的操作行为和访问记录进行实时监控审计。 在原有的访问模式下，访问人员直接登录主机进行远程操作访问，而在安全开发管理系统上线后，访问人员须先连接到访问服务器上进行身份认证，然后选择要访问的主机地址和相应的系统帐户，由访问服务器完成从本地到后台主机之间的自动转接。与原有的访问模式相比，对于环境使用人而言，操作流程上仅仅在连接后台主机时有所变化，在连接到后台主机后的操作方式和过程则完全相同。本文档描述远程登录的详细操作过程。1.1 名词解释l 系统帐户后台主机上的登录用户，由操作系统创建，具有操作体统所系统赋予的用户名、组别、权限和密码等等。l 通行证帐户安全开发管理系统为环境使用人分配的帐户，用于在访问服务器上的身份验证以及访问权限控制。环境使用人员先以通行证帐户在访问服务器上通过身份验证后再选择要登录的后台主机地址以及在后台主机上的系统帐户。1.2 访问服务器地址与端口设置ip地址：访问服务器1：10访问服务器2：11端口：telnet协议1282ftp协议1298ssh协议1281http协议1280rdp协议13389xwindows协议12832 telnet协议操作说明安全开发管理系统提供标准的telnet协议的安全访问渠道，任何基于标准telnet协议的客户端以及终端仿真软件，不论是操作系统的telnet命令还是netterm、crt、securecrt等，都可以直接通过访问服务器连接到后台主机。访问人员在需要对系统进行开发操作时，需将telnet的目标地址改成访问服务器的地址先建立到访问服务器的连接。在本操作手册中只描述连接到访问服务器后的交互过程，而不再关注系统访问人员所采用的客户端软件。2.1 登录访问服务器访问人员首先通过telnet工具连接到访问服务器，如：telnet 10 1282在终端画面上可以看到输入用户名的提示，此时输入通行证帐户。如下图“test”。回车后访问服务器提示输入口令：2.2 修改静态口令通行证账户的初始密码为空，当访问人员使用新的通行证第一次登录成功访问服务器后，请立即修改静态口令。请根据图中提示修改密码，并注意新密码必须大于6位。2.3 主菜单介绍通行证帐户认证通过后，访问服务器将在终端上显示该用户的通行证号码（安全开发管理系统的内部识别代码），并在下一行显示“通行证检查通过”等信息。 然后列出该用户可以访问的目标主机资源列表。系统访问人员也可以输入以下粗体字母选择其他操作：“a. all - 显示所有应用服务器组的主机资源”，若系统访问人员选择的分组包含可访问主机资源数大于10，会出现这个菜单项。按“a”，将浏览到该组包含的所有主机资源列表，并可以从中选择一个进行访问。“h. help - 帮助信息”，主要说明在浏览主机资源列表时的移动、查找及连接目标主机的方法。 “x. exit - 退出”，按“x”，中断对后台主机的连接，退出安全开发管理系统。2.4 所有资源列表若开发系统人员的可访问资源数超过15个，系统访问人员在主菜单中输入“a”后回车，控制台将显示该分组下包含的能够访问的所有主机资源列表。例如，访问资源列表后，按“a”并回车，显示通行证账户包含的能够访问的所有主机资源信息，如下图所示：通行证此时只需要记住访问资源前面的序号，回到主界面后输入该序号，即可以相应的系统帐户访问该目标主机。在浏览过程中的翻页、查找操作，能够帮助通行证快速命中目标。通行证可以按目标主机系统用户名、按目标ip地址、按主机名字，按转接访问服务器等等信息来查找。不再需要逐字录入ip地址和系统帐户。在浏览主机资源列表时，可使用如下快捷键（均为小写）：k上移一行j下移一行ctrl-b上翻一页ctrl-f下翻一页/str查找字符串“str”n向下重复查找n向上重复查找2.5 访问目标主机1) 输入序号系统访问人员登录访问服务器后，打开可访问主机资源列表后，此时只需要记住访问资源前面的序号，回到显示资源列表界面后输入该序号，即可以相应的系统帐户访问该目标主机。例如，系统帐户root需要以ssh协议访问目标主机74，输入该访问资源前面的序号“7”后回车，即可建立到该目标主机的连接。2) 直接输入主机资源开发系统人员登录访问服务器后，当清楚自己的访问资源时，可直接输入访问资源信息，访问远程目标主机。如下图所示：注意：若直接输入的访问资源不在该用户的可访问资源列表中，将不能访问该目标主机。当试图连接该系统访问人员所有可访问资源列表中不存在的主机资源时，系统将自动拒绝与目标主机建立连接。2.6 帮助信息通行证输入“h”，控制台将显示帮助信息。3 ssh协议操作说明安全开发管理系统提供标准的ssh协议的安全访问渠道，任何基于标准ssh协议的客户端以及终端仿真软件，不论是操作系统的ssh命令还是securecrt等，都可以直接通过访问服务器连接到后台主机。访问人员在需要登录后台主机时，只需将ssh的目标地址改成访问服务器的地址，目标端口改成1281，并以通行证帐户以及口令作为ssh登录访问服务器时所输入的帐户名与口令即可登录到访问服务器上。访问人员登录到访问服务器上并成功通过身份验证后所见到的主菜单界面和操作选项与telnet协议基本相同。3.1 虚拟终端配置方法对于大多数用户，会采用某个虚拟终端软件，以ssh的方式来访问主机。这里以securecrt为例子，介绍对虚拟终端软件进行ssh登录的配置。选中“文件-连接”菜单项：在下面的窗口中，点击红圈所指示的按钮“新建会话”在“协议”栏目中，按选择ssh2协议，点击“下一步”。“主机名”填写访问服务器地址，“端口”设置成访问服务器提供的端口1281，“用户名”填写通行证帐户。再点击“下一步”。给这个新建的会话一个直观的名字，和相关描述信息（可选填），点击“完成”。以后，就可以通过securecrt的菜单，直接以ssh方式连接到访问服务器。3.2 主界面在访问服务器认证通行证帐户身份通过后将出现如下屏幕界面：4 ftp协议操作说明4.1 登录访问服务器在cmd窗口运行ftp后在ftp提示符下设置目标地址和端口，如下图所示：此时输入通行证帐户和口令认证通过后如果该通行证帐户可以使用多个目标地址或者系统帐户时，返回的输出信息将会如下图所示：输入命令“cd 主机前的序号”后即可以指定的系统帐户转接登录到该主机。如：在上图示例中输入如下命令即可以root用户的身份登录到ip地址为2的主机上。如果该通行证帐户只能使用唯一指定的系统帐户和后台主机时，在访问服务器认证维护管理帐户的身份通过后将自动为其建立到指定的系统帐户和后台主机的服务转接。此外也可输入“cd usernamehostip:port”后回车，在访问权限检查通过后即可登录该主机。其中:port是登录主机的ftp协议端口号，默认为21。4.2 转接后台主机在建立到后台主机的ftp连接后，要求访问人员输入“user 用户名”并在提示输入口令后输入对应的口令。在成功登录后台主机以后，所有ftp操作方式和过程与标准的ftp完全相同。4.3 图形界面的ftp客户端因为安全开发管理系统的ftp转接服务在建立ftp连接的初期复用了标准ftp协议的一些命令，所以当通行证帐户有多个可访问目标时存在一段非标准的操作过程。为了便于管理维护人员的操作，安全开发管理系统提供了图形化的ftp客户端工具。该客户端工具是基于filezilla改编的建行专用版绿色免费软件，可同时支持标准的ftp/sftp以及访问服务器模式的ftp/sftp操作。将ftp工具压缩包解压到任意一个目录下，在该目录下运行filezilla.exe命令，或者双击filezilla.exe的图标后，即可打开ftp客户端主窗口。从菜单中选择“文件-站点管理器.”或者按快捷键“ctrl-s”即可打开站点管理对话框。在站点管理对话框中输入新建站点的名称、主机地址、端口、管理维护人员帐户（登录用户名），服务类型选择“ftp”。如下图所示：设置站点后，选择连接，将弹出口令输入对话框。输入认证口令后即可连接到访问服务器，然后弹出选择目标主机资源的对话框：从对话框中选择要访问的目标主机资源，然后按提示输入主机认证口令，通过后即可连接到目标主机并下载目标主机的目录和文件清单。此后的操作与标准的ftp操作完全相同。4.4 sftp配置与使用sftp较fpt更为安全。要求目标主机一定要安装ssh协议并且正常启动sshd服务。而且sftp在连接目标主机可以有效避免目标主机目录显示不出来的情况。具体配置使用如下。1.站点管理2新建站点3.配置站点host为10；端口1281；servertype sftp using ssh2。输入通行证名称和密码后连接。出现如图提示选“是”4.双击选择红框处权限5登录后效果如图，此时可正常选择路径拖拽文件上传或下载。5 rdp协议操作说明microsoft windows remote desktop protocol（rdp）采用的是基于图形化的远程访问协议，安全开发管理系统提供了专用的rdp客户端程序通过访问服务器登录到后台主机的远程系统桌面上。下载rdp工具并在任意位置解压，双击rdp运维工具.exe，出现如下界面：由于远程桌面协议采用了访问服务器提供的端口而不是系统默认的3389端口，因此在连接访问服务器之前需要修改通信端口。在以上窗口中点击“设置”按钮，出现如下对话框：将端口从默认的3389改成访问服务器提供的端口13389后点击“确定”即可完成设置。建立远程桌面连接时，在“访问服务器地址”一栏中输入访问服务器的ip：10，通信证名称及密码，然后点击“登录”按钮。选中开发中心对应系统点击确定出现权限列表。如下图所示：在列表中点击要访问的目标主机，点击“确认”。可见如下界面：终端模式允许多用户同时登陆。控制台模式相当于管理员登陆目标主机本地操作。本机桌面上出现远程主机的登录界面，然后用户就可以登录、并操作远程主机。6 http协议操作说明本文将以microsoft internet explorer为例介绍如何使用浏览器通过访问服务器访问url资源。6.1 浏览器设置在浏览器中，点击“工具-internet选项”，选择“连接”标签页中的“局域网设置”。在弹出对话框中选择“局域网设置”，选中“为lan使用代理服务器”，输入访问服务器的ip地址和端口号，点击确定。6.2 访问url在浏览器的地址栏输入要访问的url链接，确定。在第一次打开浏览器窗口时会弹出如下窗口：在以上窗口的“用户名”和“密码”栏中输入通行证帐户和口令后点击确定，认证通过后即可通过访问服务器访问url资源。7 xwindows协议操作说明采用xwindows协议对后台主机进行运行维护时，通常情况下是先在本地启动xserver，本系统使用xmanger的passive作为本地xserver，然后登录访问服务器，完成身份认证以及选择要运行的xclient。启动本地xserver。登录访问服务器，完成身份认证以及选择要运行的xclient。协议配置对于xwindows访问协议，在配置权限时需配置扩展字段一、扩展字段二。扩展字段一为访问后台主机协议，ssh或telnet。扩展字段二为登录目标主机后启动图形界面的应用程序名，如xterm、kterm等。设置xwindows访问协议时，约定协议类型选择xwin，协议名称设置成xwin_aaa_bbb格式，其中aaa可以是telnet或者ssh，即扩展字段一，bbb为xterm或者kterm，不需要带路径，相当于扩展字段二。7.1 启动xmanger的passive服务从启动菜单菜单中选择“xmanager - xmanager passive”，或者在命令行中从xmanager安装目录下运行xmanager.exe即可。启动成功后在屏幕右下方可以看到xmanager的小图标：7.2 登录访问服务器从本地以telnet命令连接访问服务器提供