堡垒主机用户操作手册--运维管理

1、堡垒主机用户操作手册运维管理版本2.3.22011-06目 录1.前言11。1。系统简介11。2。文档目的11。3。读者对象22。登录系统32.1。静态口令认证登录32.2.字证书认证登录32.3。动态口令认证登录42.4。LDAP域认证登录52。5.单点登录工具53.单点登录（SS0)73.1。安装控件73。2.单点登录工具支持列表103。3.单点登录授权资源查询103.4。单点登录操作113。4.1。Windows资源类（域内主机域控制器windows20032008)113.4。2。UnixLinux资源类143。4。3。数据库（独立)资源类173.4.4。ORACLE_PLSQL单点登

2、录183.4.5。ORACLE_SQLDeveleper单点登录203。4.6。MSSQLServer2000查询分析器单点登录213.4.7。MSSQLServer2000 企业管理器单点登录233。4。8。SQL Server 2005 Management Studio单点登录243。4。9。SQL Server 2008 Management Studio单点登录253。4.10.Sybase Dbisqlg单点登录263。4.11。SQLFront单点登录273.4。12.数据库（系统)资源类单点登录（DB2/informix)283.4。13。网络设备（RADIUSlocal其他）

3、资源类323。4。14。Web应用资源类34堡垒主机系统用户操作手册运维管理1. 前言1.1. 简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台.它面向的对象是，企业的运维人员.该模块是堡垒主机系统为运维人员提供的登录入口。因此堡垒主机系统加强了登录的认证手段，提高安全性的同时不失用户的方便性.运维人员登录堡垒主机系统认证成功后，将不会继续认证。从堡垒主机单点登录平台可以登录任意经过授权的资源。堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。1.2. 文档目的堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。在该模块中经

4、常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。1.3. 读者对象本文档适用于企业运维人员使用。2. 登录系统系统登录主要的工作就是系统认证。堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。无论堡垒主机配置哪种认证方式，登录系统都需要在浏览器中输入服务地址。例如：https:/192。168.23。195。在该例中,192.168。23。195为堡垒主机系统IP地址（堡垒主机系统出厂设置的管理IP为192。168。2.92）。当在浏览器中输入示例内容后,点击回车（堡垒主机配置双向

5、认证时，如果需要域名方式访问的情况除外)系统自动转向到登录界面.下面列举常见的几种常见的认证方式界面。2.1. 静态口令认证登录静态口令登录认证是最基本得认证方式，登录界面入图2。1。1所示。图2.1。1用户需要输入用户名及口令后，点击登录按钮后登录系统。2.2. 字证书认证登录堡垒主机系统证书认证登录,支持的形式包括软证书认证，Usbkey证书认证两种.这两种形式的唯一区别在于证书所依赖的存储截止不同.Usbkey证书只是将证书导入Usb硬件Key中,安全性相应增加。但无论证书以哪种方式存在，堡垒主机系统都会统一对待。如图2。2。1所示，当自然人在浏览器地址栏中输入堡垒主机系统地址后，点击回

6、车，弹出选择证书提示框。图2.2。1此时用户需要选择所要使用的数字证书，点击确定按钮.此例子选择名称为simper的证书，点击确定按钮，进入图2。2.2界面。图2。2.2由于在上一操作步骤中选择的是名称为simper证书，所以堡垒主机系统此时自动将用户名锁定，禁止自然人修改登录用户名。防止身份篡改。此时,用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节.2.3. 动态口令认证登录动态口令认证是指可以通过OTP令牌方式通过堡垒认证登录.认证界面如图2.3.1所示。图2。3.1 堡垒主机系统的动态口令登录认证，采用的是双因子认证方式。也就是说，用户需要输入动态

7、口令的同时必须输入自身的静态口令作为PIN码.当两项认证都通过时才可以进入堡垒主机系统.这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。2.4. LDAP域认证登录堡垒主机系统域认证是另外一种第三方认证方式。堡垒主机系统将自身的部分系统认证交由第三方安全平台认证。堡垒主机系统中将LDAP域口令的认证指派到LDAP服务器上.LDAP域认证的操作界面入图2。4.1所示.图2.4。1与动态口令的认证方式类似,域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过，此时才可以成功进入堡垒主机系统。2.5. 单点登录工具介绍完堡垒主机系统中常见的认证方式后，

8、用户可能注意到图例中【工具下载】选项.该选项为用户提供了部分的客户端工具，及堡垒主机系统SSO登录控件的下载。点击【工具下载】选项弹出如图2。5。1所示界面.图2.5。1图2.5。1只截取了部分的内容，其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接，下载单点登录工具.有关单点登录工具详细内容请参见堡垒主机系统运维工程师操作手册.3. 单点登录（SS0）3.1. 安装控件在元目录-帮助或登录页帮助页面中按照如下操作方式安装控件.如图3。1。1所示。图3。1。1使用目标另存为下载相应控件，如图3.1.2和3。1

9、。3所示。图3。1。2图3。1.3运行该安装程序。如图3。1。4所示注意:为避免安装失败请关闭所有IE窗口图3。1。4选择安装目录，如图3。1。5与图3.1。6所示图3。1。5图3.1。6可以选择要安装的路径，这里我们默认为当前路径，如图3.1。7所示.图3。1.73.2. 单点登录工具支持列表图3。2.13.3. 单点登录授权资源查询在SSO列表界面点击 按钮进入添加命令策略界面，如图3。2。1。1所示,输入基本信息.点击提交即完成查询操作.如图3.3。1所示图3。3。1如图所示:【资源名称查询】依照资源名称进行查询.【资源类型查询】依照资源类型进行查询，具体类型包括如下几种：如图3。3.2

10、所示。图3。3。2【资源IP查询】依照资源IP进行模糊查询。3.4. 单点登录操作3.4.1. Windows资源类(域内主机域控制器windows20032008）图3。4。1.1在SSO列表界面中选择windows主机的 按钮进入windows资源单点登录界面,如上图所示点击相应登录方式即完成对目标windwos资源的单点登录.如图3.4.1。2所示。图3。4。1。2如图所示：【资源IP选择】对于部分多IP设备可选择IP进行登录.【控制台选择】等同于 mstsc /admin或 mstsc /console的控制台登录【RDP单点登录】点击并进行标准远程桌面的RDP登录【登录会话号登录】依

11、照资源IP进行会话号方式的登录第一步：点击 进入会话号页面,如图3。4.1.3所示图3。4。1.3第二步：在本机运行中输入mstsc如下图3。4。1。4所示：图3。4.1。4第三步:在弹出的远程桌面连接中输入页面看到的IP与会话号,会话号填在用户名的位置。如图3.4。1.5所示：图3.4。1.5【RDP网页登录方式】无需安装单点登录控件的单点登录方式。第一步：点击 进入无插件RDP单点登录，第二步：点击后可见如图3。4。1.6所示:图3.4。1.6第三步:选择大小后点击 按钮【vnc登录】参考【RDP登录方式】【vnc网页登录方式】参见【RDP网页登录方式】.【windowsFTP登录方式】点

12、击 按钮进行FTP登录，并确保模式及编码选择正确.如图3。4.1。7所示。图3.4.1。7注意：本功能需要客户机安装SSO控件,并安装JRE。【windowsFTP网页登录方式】点击可进行无插件FTP单点登录。【windows文件共享登录方式】与【windowsFTP登录方式】相同【windows文件共享网页登录方式】与【windowsFTP网页登录方式】相同3.4.2. UnixLinux资源类图3。4。1.8在SSO列表界面中选择相应UnixLinux主机的 按钮进入UnixLinux资源单点登录界面,如下图所示点击相应登录方式即完成对目标UnixLinux资源的单点登录。如图3。4。2.

13、1所示.图【资源IP选择】对于部分多IP设备可选择IP进行登录。【通讯协议选择】依据需要访问资源的通讯协议进行选择SSHTELNET方式登录 【CRT登录】点击 并进行SecureCRT单点登录【NeTerm登录】点击 并进行SecureNeTerm单点登录【会话号登录】获取单点登录目标资源的一次性会话号第一步:点击 进入会话号页面,如图3.4。2。2所示.图3。4.2.2第二步：在本机开启任意常用SSHTELNET工具,输入网页中看到的IP地址及用户名.如图3。4.2。3所示。图3。4。2。3第三步：将网页提供的密码作为登录密码进行登录.如图3。4。2。4所示：图

14、【UNIXLINUX网页登录方式】无需安装单点登录控件的单点登录方式，点击 完成无插件单点登录。【UnixLinuxFTP登录方式】点击 按钮进行FTP登录，并确保模式及编码选择正确.如图3。4.2。5所示。图3。4.2。5注意：本功能需要客户机安装SSO控件，并安装JRE.【UnixLinuxFTP网页登录方式】点击 可进行无插件FTP单点登录。【UnixLinuxSFTP登录方式】与【UnixLinuxFTP登录方式】相同【UnixLinuxSFTP网页登录方式】与【UnixLinuxFTP网页登录方式】相同【xwindows登录】点击下图所标注的按钮进行xwindows登录,具体操作方法

15、与【RDP网页登录方式】相同图3。4。2。6【x-windows会话号登录方式】参见【RDP会话号登录方式】.【x-windows网页登录方式】参见【RDP网页登录方式】。【vnc登录】参见【RDP网页登录方式】【vnc会话号登录方式】参见【RDP会话号登录方式】.【vnc网页登录方式】参见【RDP网页登录方式】.3.4.3. 数据库（独立)资源类在介绍本部分以前请先熟悉一下应用发布的原理如下图:对于数据库类资源堡垒主机需要通过中间的应用发布服务器（参见下图）完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整。图3。4。3。1图3。4。3。2在SSO列表

16、界面中选择数据库的 按钮进入数据库资源单点登录界面，点击相应登录方式即完成对目标数据库资源的单点登录。【资源IP选择】对于部分多IP设备可选择IP进行登录.【会话号登录】获取单点登录目标资源的一次性会话号【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP地址，如图3.4。3。3所示：图3。4.3。33.4.4. ORACLE_PLSQL单点登录自然人身份登录，点击相应ORACLE_PLSQL后边的账号按钮,进入如图3.4.4。1所示页面。图3。4.4.1在图形下来菜单中选择登录身份 （Normal为普通身份,SYSDBA为系统管理员身份，SYSOPER为系统操作员身份)此处

17、我们选Normal,点击PLSQL图标,出现远程桌面连接，如图3.4.4。2所示图3。4。4。2点击连接，连接到数据库oracle，体现为图3。4。4。3所示：图3.4。. ORACLE_SQLDeveleper单点登录自然人身份登录,点击相应ORACLE_PLSQL后边的账号按钮，进入如图3。4。5。1所示页面图3。4.5.1点击sqlDeveleper图标（下图红色区域)弹出远程桌面连接，如图3。5。5.2所示。图3。5。5.2点击连接,连接到数据库orcl，体现为图3。5。5.3所示:图3。5。. MSSQLServer2000查询分析器单点登录自然人身份

18、登录,点击MSSQLServer2000数据库资源后面的账号按钮.如图3。4。6。1所示.图3.4。6.1点击查询分析器图标,出现远程桌面连接,如图3.4。6。2所示.图3。4。6。2点击连接,连接成功，如图3。4.6。3所示图3.4。. MSSQLServer2000 企业管理器单点登录自然人身份登录，点击相应MSSQLServer2000后边的账号按钮，进入如下图3.4.7。1所示页面图3.4。7.1点击企业管理器图标,出现远程桌面连接，如图3。4。7。2所示。图3。4。7。2点击连接，连接成功,如图3。4。7。3所示。图3。.8. SQL Server 2

19、005 Management Studio单点登录自然人身份登录，点击相应MSSQLServer2005后边的账号按钮,进入如下图3.4。8.1所示页面.图3。4。8。1点击SQL Server Management Studio Express图标，出现远程桌面连接，如图所示图3.4。8。2点击连接，连接成功，如图3。4。8。3所示图3。.9. SQL Server 2008 Management Studio单点登录自然人身份登录,点击相应MSSQLServer2008数据库后边的账号按钮，进入如下图3。4.9。1所示页面图3。4。9.1点击SQL Serve

20、r Management Studio Express图标,出现远程桌面连接，如图3.4。9.2所示。图3。4。9。2点击连接，连接成功,如图3.4。9。3所示.图3。4.9。33.4.10. Sybase Dbisqlg单点登录自然人身份登录，点击相应Sybase数据库后边的账号按钮，进入如下图3。4.10。1所示页面图3.4。10.1点击Sybase Dbisqlg 图标，出现远程桌面连接，如图3。4。10。2所示。图3。4。10。2点击连接,连接成功，如图3.4.10。3所示图3。4。10。33.4.11. SQLFront单点登录自然人身份登录，点击相应Mysql数据库后边的账号按钮，

21、进入如下图3。4.11.1所示页面。图3。4。11。1点击Mysql-Front图标，出现远程桌面连接,如图3。4.11。2所示。图3。4。11。2点击连接，连接成功，如图3。4。11。3所示图3。4。11。33.4.12. 数据库(系统）资源类单点登录（DB2/informix）自然人身份登录，点击相应数据库后边的 按钮,如图3.4。12。1所示图3。4.12。1点击账号按钮后既可看到如下单点登录页面.如图3。4。12。2所示图3.4。12。2【资源IP选择】对于部分多IP设备可选择IP进行登录。【通讯协议选择】依据需要访问资源的通讯协议进行选择SSHTELNET方式登录 【CRT登录】点击

22、 并进行SecureCRT单点登录登录主机后输入dbaccess（informix)命令既可访问数据库如图3。4。12.3所示：图3。4。12.3【NeTerm登录】点击 并进行SecureNeTerm单点登录，同【CRT登录】【会话号登录】获取单点登录目标资源的一次性会话号第一步:点击 进入会话号页面,如图3.4。12.4所示.图3。4。12。4第二步：在本机开启任意常用SSHTELNET工具,输入网页中看到的IP地址及用户名。如图3.4。12。5所示.图3。4.12。5第三步:将网页提供的密码作为登录密码进行登录。如图3.4。12。6所示:图3。4.12。6【UNIXLINUX网页登录方式

23、】无需安装单点登录控件的单点登录方式，点击 完成无插件单点登录。【winsql登录方式】对于informix数据库点击 按钮进行winsql工具登录登录。如图3.4.12。7所示 图3。4。12。7【DB2控制中心登录方式】对于DB2点击 按钮进行DB2控制中心工具登录. 登录后如图3。4.12.8所示:图3.4.12。8【winsql/DB2控制中心网页登录方式】点击 可进行无插件winSQL/DB2控制中心单点登录， 【winsql/DB2控制中心会话号登录方式】参见【RDP会话号登录方式】。3.4.13. 网络设备（RADIUSlocal其他）资源类在介绍这一部分之前先简单说明RADIUS方式的原理：Raidus（Remote Authentication Dial In User Service)是对远端拨号接入用户的认证服务，Radius服务分客户端和服务器端,通常我们公司的接入产品支持的是客户端，负责将认证等信息按照协议的格式通过UDP包送到服务器，同时对服务器返回的信息解释处