天融信堡垒主机(TA-SAG)用户操作手册--运维管理

1、天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年 六月 六日北京天融信公司北京（总部）咨询热线：400-610-5119 网址： 3 / 58天融信网络审计系统TA-SAG用户操作手册运维管理TA-SAG用户操作手册运维管理更新历史编写人日期版本号变更内容吴玉飞2013.06V3.0堡垒主机（TA-SAG）V3.0最新版目录 天融信网络审计系统TA-SAG用户操作手册运维管理第一章前言41.1简介41.2文档目的41.3读者对象4第二章登录系统52.1静态口令认证登录52.2字证书认证登录62.3动态口令认证登录72.4LDAP域认证登录7

2、2.5单点登录工具8第三章单点登录103.1单点登录103.2单点登录工具支持列表103.3单点登录界面介绍11第四章授权列表144.1Windows资源类（域内主机域控制器windows20032008）144.2UnixLinux资源类154.3数据库（独立）资源类184.4ORACLE_PLSQL单点登录194.5ORACLE_SQLDeveleper单点登录214.6MSSQLServer2000查询分析器单点登录234.7MSSQLServer2000 企业管理器单点登录244.8SQL Server 2005 Management Studio单点登录264.9SQL Server

3、 2008 Management Studio单点登录274.10Sybase Dbisqlg单点登录294.11SQL-Front单点登录304.12数据库（系统）资源类单点登录（DB2/informix）324.13网络设备（RADIUSlocal其他）资源类344.14Web应用资源类364.15会同登录364.16一次性会话号42第五章工单45第六章工作计划48第七章消息50第八章自维护52第九章控件下载54北京天融信公司北京（总部）咨询热线：400-610-5119 网址： 58 / 58第一章 前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为

4、频繁的一个平台。它面向的对象是，企业的运维人员。该模块是TA-SAG为运维人员提供的登录入口。因此TA-SAG加强了登录的认证手段，提高安全性的同时不失用户的方便性。运维人员登录TA-SAG认证成功后，将不会继续认证。从TA-SAG单点登录平台可以登录任意经过授权的资源。TA-SAG为每次访问资源都建立了唯一的授权一次性会话号，用以确保登录会话的安全性。1.2 文档目的TA-SAG运维管理手册是指导运维人员如何登录TA-SAG认证和访问资源。在该模块中经常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。1.3 读者对象本文档适用于企业运维人员使用。第二章 登录系统系统登录主要的工作就

5、是系统认证。TA-SAG登录界面随系统配置的认证方式不同而有所差异。TA-SAG支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。无论TA-SAG配置哪种认证方式，登录系统都需要在浏览器中输入服务地址。例如:3。在该例中，192.168.23. 93为TA-SAGIP地址（TA-SAG出厂设置的管理IP为2）。当在浏览器中输入示例内容后，点击回车（TA-SAG配置双向认证时，如果需要域名方式访问的情况除外）系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。2.1 静态口令认证登录静态口

6、令登录认证是最基本得认证方式，登录界面入图2.1.1所示。图2.1.1用户需要输入用户名及口令后，点击登录按钮后登录系统。2.2 字证书认证登录TA-SAG证书认证登录，支持的形式包括软证书认证，Usbkey证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey证书只是将证书导入Usb硬件Key中，安全性相应增加。但无论证书以哪种方式存在，TA-SAG都会统一对待。如图2.2.1所示，当自然人在浏览器地址栏中输入TA-SAG地址后，点击回车，弹出选择证书提示框。图2.2.1此时用户需要选择所要使用的数字证书，点击确定按钮。此例子选择名称为simper的证书，点击确定按钮，

7、进入图2.2.2界面。图2.2.2由于在上一操作步骤中选择的是名称为simper证书，所以TA-SAG此时自动将用户名锁定，禁止自然人修改登录用户名。防止身份篡改。此时，用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。2.3 动态口令认证登录动态口令认证是指可以通过OTP令牌方式通过TA-SAG认证登录。认证界面如图2.3.1所示。图2.3.1 TA-SAG的动态口令登录认证，采用的是双因子认证方式。也就是说，用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入TA-SAG。这一点与数字证书认证方式是类似的。这种方式

8、大大增强了系统登录的安全性。2.4 LDAP域认证登录TA-SAG域认证是另外一种第三方认证方式。TA-SAG将自身的部分系统认证交由第三方安全平台认证。TA-SAG中将LDAP域口令的认证指派到LDAP服务器上。LDAP域认证的操作界面入图2.4.1所示。图2.4.1与动态口令的认证方式类似，域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过，此时才可以成功进入TA-SAG。2.5 单点登录工具介绍完TA-SAG中常见的认证方式后，用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具，及TA-SAGSSO登录控件的下载。点击【工具下载】选项弹出

9、如图2.5.1所示界面。图2.5.1图2.5.1只截取了部分的内容，其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接，下载单点登录工具。有关单点登录工具详细内容请参见TA-SAG运维工程师操作手册。第三章 单点登录3.1 单点登录在自然人登录到系统后，默认显示的界面为单点登录界面。如图3.1所示。图3.13.2 单点登录工具支持列表图 单点登录界面介绍在单点登录界面，“最近使用“模块将显示最近的运维操作资源信息，如图3.3.1所示。图3.3.1“最常使用”模块显示该自然人最常使用的授权资源列表

10、，如图3.3.2所示。图3.3.2“工单”模块显示该自然人相关的工单信息。如图3.3.3所示。图3.3.3“日历”模块可以显示当前日期，当有工作计划时，相应日期将显示为黄色。如图3.3.4所示。图3.3.4“工作计划”模块显示当天的工作计划的执行时间，当点击相应日期，将显示其日期下的工作计划执行时间。如图3.3.5所示。图3.3.5第四章 授权列表4.1 Windows资源类（域内主机域控制器windows20032008）点击授权列表将显示出所以授权资源信息，如图4.1.1所示。图4.1.1对于部分多IP设备将从ip生成一条资源列，如图4.1.2所示。图4.1.2表示系统的连接方式。具体的登

11、录方式可以点击进行选择，如图4.1.3所示。图4.1.3【RDP单点登录】点击并进行标准远程桌面的RDP登录【RDP控制台单点登录】等同于 mstsc /admin或 mstsc /console的控制台登录表示系统的连接方式。具体的登录方式可以点击进行选择，如图4.1.4所示。图4.1.4【windows文件共享登录方式】与【windowsFTP登录方式】相同，点击登录即可。4.2 UnixLinux资源类点击授权列表将显示出所以授权资源信息，如图4.2.1所示。图4.2.1对于部分多IP设备将从ip生成一条资源列，如图4.2.2所示。图4.2.2表示系统的连接方式。具体的登录方式可以点击进

12、行选择，如图4.2.3所示。图4.2.3【以选项卡方式打开登录】以选项卡的方式显示，点击进行SecureCRT单点登录【以独立窗口方式打开登录】以独立窗口的方式显示，点击进行SecureCRT单点登录【直连方式打开登录】通过本地的SecureCRT登录，不通过协议代理。点击进行登录。表示系统的连接方式。具体的登录方式可以点击进行选择，如图4.2.4所示。图4.2.4【windows文件共享登录方式】与【windowsFTP登录方式】相同，点击登录即可。【UnixLinuxFTP登录方式】点击FTP按钮进行FTP登录，并确保模式及编码选择正确。如图4.2.5所示。图4.2.5注意：本功能需要客户

13、机安装SSO控件，并安装JRE。【UnixLinuxSFTP登录方式】与【UnixLinuxFTP登录方式】相同【x-windows登录】点击按钮进行选择x-windows登录，具体操作方法与【RDP网页登录方式】相同图4.2.6【x-windows会话号登录方式】参见【RDP会话号登录方式】。【vnc登录】参见【RDP会话号登录方式】4.3 数据库（独立）资源类在介绍本部分以前请先熟悉一下应用发布的原理如下图：对于数据库类资源TA-SAG需要通过中间的应用发布服务器（参见下图）完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整.图4.3.1图4.3.1

14、对于部分多IP设备将从ip生成一条资源列，如图4.3.2所示。图4.3.2【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP地址，如图4.3.3所示：图 ORACLE_PLSQL单点登录自然人身份登录，点击按钮，进入如图4.4.1所示页面。图4.4.1点击PLSQL图标，出现远程桌面连接，如图4.4.2所示图4.4.2点击连接，连接到数据库oracle,体现为图4.4.3所示：图 ORACLE_SQLDeveleper单点登录自然人身份登录，点击相应ORACLE_PLSQL后边的账号按钮，进入如图4.5.1所示页面图4.5.1点击sqlDev

15、eleper图标（下图红色区域）弹出远程桌面连接，如图4.5.2所示。图4.5.2点击连接，连接到数据库orcl,体现为图4.5.3所示：图 MSSQLServer2000查询分析器单点登录自然人身份登录，点击MSSQLServer2000数据库资源后面的账号按钮。如图4.6.1所示。图4.6.1点击查询分析器图标，出现远程桌面连接，如图4.6.2所示。图4.6.2点击连接,连接成功，如图4.6.3所示图 MSSQLServer2000 企业管理器单点登录自然人身份登录，点击相应MSSQLServer2000后边的账号按钮，进入如下图4.7.1所示页面图4.7.

16、1点击企业管理器图标,出现远程桌面连接,如图4.7.2所示。图4.7.2点击连接,连接成功，如图4.7.3所示。图 SQL Server 2005 Management Studio单点登录自然人身份登录，点击相应MSSQLServer2005后边的账号按钮，进入如下图4.8.1所示页面。图4.8.1点击图标，出现远程桌面连接，如图4.8.2所示图4.8.2点击连接,连接成功，如图4.8.3所示图 SQL Server 2008 Management Studio单点登录自然人身份登录，点击按钮，进入如下图4.9.1所示页面图4.9.1点击图标，出现远程桌面连接

17、，如图4.9.2所示。图4.9.2点击连接，连接成功，如图4.9.3所示。图0 Sybase Dbisqlg单点登录自然人身份登录，点击按钮，进入如下图4.10.1所示页面图4.10.1点击Sybase Dbisqlg 图标，出现远程桌面连接，如图4.10.2所示。图4.10.2点击连接，连接成功，如图4.10.3所示图1 SQL-Front单点登录自然人身份登录，点击相应按钮，选择该资源如下图4.11.1所示页面。图4.11.1点击Mysql-Front图标，出现远程桌面连接，如图4.11.2所示。图点击连接，连接成功，如图4.11.3所示图

18、2 数据库（系统）资源类单点登录（DB2/informix）自然人身份登录，点击按钮，如图4.12.1所示图4.12.1对于部分多IP设备将从ip生成一条资源列。【winsql登录方式】对于informix数据库点击 按钮进行winsql工具登录登录。如图4.12.7所示 。图4.12.7【DB2控制中心登录方式】对于DB2点击 按钮进行DB2控制中心工具登录。 登录后如图4.12.8所示：图4.12.8【winsql/DB2控制中心会话号登录方式】参见【RDP会话号登录方式】。4.13 网络设备（RADIUSlocal其他）资源类在介绍这一部分之前先简单说明RADIUS方式

19、的原理：Raidus（Remote Authentication Dial In User Service）是对远端拨号接入用户的认证服务，Radius服务分客户端和服务器端，通常我们公司的接入产品支持的是客户端，负责将认证等信息按照协议的格式通过UDP包送到服务器，同时对服务器返回的信息解释处理。图4.13.1而对于TA-SAG机方案来说就是由TA-SAG开启Radius服务，而将网络设备的3A指向TA-SAG机。在自然人登录到系统后，点击按钮。如图4.13.2所示。图4.13.2如下图所示点击相应登录方式即完成对网络设备资源的单点登录。如图4.13.3所示。图4.13.3对于部分多IP设备

20、将从ip生成一条资源列，如图4.13.4所示。图4.13.4【通讯协议选择】依据需要访问资源的通讯协议进行选择SSHTELNET方式登录 ，如图4.13.5所示。图4.13.5【以选项卡方式打开登录】以选项卡的方式显示，点击进行SecureCRT单点登录【以独立窗口方式打开登录】以独立窗口的方式显示，点击进行SecureCRT单点登录【直连方式打开登录】通过本地的SecureCRT登录，不通过协议代理。点击进行登录。4.14 Web应用资源类自然人登录系统后，点击按钮，如图4.14.1所示。如下图所示点击相应登录方式即完成对目标Web应用资源的单点登录。图4.14.1对于部分多IP设备将从ip

21、生成一条资源列。【Web应用单点登录】点击 并进行标准远程桌面的RDP登录，同【RDP单点登录】。4.15 会同登录【功能简介】：自然人运维登录资源时，需其他自然人的同意才能登录。首先在资源添加时，将需要会同登录的账号勾选会同登录，如图4.15.1所示。图4.15.1将参与会同登录审批的人员勾选上会同审批人选项（例如：李明和王红），如图4.15.2所示。图4.15.2给自然人李明授权79（ftp服务器）的会同登录账号，如图4.15.3所示。图4.15.3用自然人李明登录做运维操作79（ftp服务器），如图4.15.4所示。图4.15.4点击RDP

22、登录时，弹出复选框选择审批人（例如：王红），如图4.15.5所示。图4.15.5点击按钮后，弹出提示内容如图4.15.6所示。图4.15.6此时审批人（例如：王红）收到审批申请，可以同意或拒绝会话，如图4.15.7所示。图4.15.6审批人点击按钮，提示内容如图4.15.7所示。图4.15.7自然人李明可以RDP登录FTP服务器，点击按钮可以登录到资源上，如图4.15.8所示。图4.15.8此时审批人（例如：王红）可以进行监控、阻断会话。审批人可以监视运维人员操作，并且可以阻断其会话。如图4.15.9所示。图6 一次性会话号当登录到系统后，在桌面点击【单点登录】按钮，进入工单

23、管理界面。如图4.16.1所示。图4.16.1点击按钮，获取一次性会话号，如图4.16.2所示。图4.16.2可以通过图4.16.2中的会话信息利用本地的mstsc进行连接，在开始运行中输入mstsc呼起远程桌面连接，如图4.16.3所示。图4.16.3如图4.16.3将登录IP和登录会话号分别填写到计算机（c）和用户名后面，点击连接后即可登录到资源上。第五章 工单当登录到系统后，在桌面点击按钮，进入工单管理界面。如图5.1所示。图5.1在工单管理界面，点击按钮，进入工单编辑界面。如图5.2所示。图5.2在工单编辑界面点击工单类型后的下拉键。选择工单类型。如图5.3所示。图5.3如图5.4所示为填写资源信息点击【提交】即可添加该工单。图5.4