堡垒主机用户操作手册-运维管理

LanSecs内控管理平台（堡垒主机） XXXX环境配置服务热线：800-810-2332 -PAGE2-堡垒主机用户操作手册运维管理 版本2.3.22011-06 目录TOC\o"1-6"\h\z\u1. 前言 11.1. 系统简介 11.2. 文档目的 11.3. 读者对象 22. 登录系统 32.1. 静态口令认证登录 32.2. 字证书认证登录 32.3. 动态口令认证登录 42.4. LDAP域认证登录 52.5. 单点登录工具 53. 单点登录（SS0） 73.1. 安装控件 73.2. 单点登录工具支持列表 103.3. 单点登录授权资源查询 103.4. 单点登录操作 113.4.1. Windows资源类（域内主机\域控制器\windows2003\2008） 113.4.2. Unix\Linux资源类 143.4.3. 数据库（独立）资源类 173.4.4. ORACLE_PLSQL单点登录 183.4.5. ORACLE_SQLDeveleper单点登录 203.4.6. MSSQLServer2000查询分析器单点登录 213.4.7. MSSQLServer2000企业管理器单点登录 233.4.8. SQLServer2005ManagementStudio单点登录 243.4.9. SQLServer2008ManagementStudio单点登录 253.4.10. SybaseDbisqlg单点登录 263.4.11. SQL-Front单点登录 273.4.12. 数据库（系统）资源类单点登录（DB2/informix） 283.4.13. 网络设备（RADIUS\local\其他）资源类 323.4.14. Web应用资源类 34 堡垒主机系统用户操作手册 运维管理 -PAGE34-堡垒主机系统用户操作手册 运维管理 -1-前言简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。它面向的对象是，企业的运维人员。该模块是堡垒主机系统为运维人员提供的登录入口。因此堡垒主机系统加强了登录的认证手段，提高安全性的同时不失用户的方便性。运维人员登录堡垒主机系统认证成功后，将不会继续认证。从堡垒主机单点登录平台可以登录任意经过授权的资源。堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号，用以确保登录会话的安全性。文档目的堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。在该模块中经常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。读者对象本文档适用于企业运维人员使用。登录系统系统登录主要的工作就是系统认证。堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。无论堡垒主机配置哪种认证方式，登录系统都需要在浏览器中输入服务地址。例如:95。在该例中，95为堡垒主机系统IP地址（堡垒主机系统出厂设置的管理IP为2）。当在浏览器中输入示例内容后，点击回车（堡垒主机配置双向认证时，如果需要域名方式访问的情况除外）系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。静态口令认证登录静态口令登录认证是最基本得认证方式，登录界面入图2.1.1所示。图2.1.1用户需要输入用户名及口令后，点击登录按钮后登录系统。字证书认证登录堡垒主机系统证书认证登录，支持的形式包括软证书认证，Usbkey证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey证书只是将证书导入Usb硬件Key中，安全性相应增加。但无论证书以哪种方式存在，堡垒主机系统都会统一对待。如图2.2.1所示，当自然人在浏览器地址栏中输入堡垒主机系统地址后，点击回车，弹出选择证书提示框。图2.2.1此时用户需要选择所要使用的数字证书，点击确定按钮。此例子选择名称为simper的证书，点击确定按钮，进入图2.2.2界面。图2.2.2 由于在上一操作步骤中选择的是名称为simper证书，所以堡垒主机系统此时自动将用户名锁定，禁止自然人修改登录用户名。防止身份篡改。此时，用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。动态口令认证登录动态口令认证是指可以通过OTP令牌方式通过堡垒认证登录。认证界面如图2.3.1所示。图2.3.1 堡垒主机系统的动态口令登录认证，采用的是双因子认证方式。也就是说，用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入堡垒主机系统。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。LDAP域认证登录堡垒主机系统域认证是另外一种第三方认证方式。堡垒主机系统将自身的部分系统认证交由第三方安全平台认证。堡垒主机系统中将LDAP域口令的认证指派到LDAP服务器上。LDAP域认证的操作界面入图2.4.1所示。图2.4.1 与动态口令的认证方式类似，域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过，此时才可以成功进入堡垒主机系统。 单点登录工具介绍完堡垒主机系统中常见的认证方式后，用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具，及堡垒主机系统SSO登录控件的下载。点击【工具下载】选项弹出如图2.5.1所示界面。图2.5.1 图2.5.1只截取了部分的内容，其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。 用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接，下载单点登录工具。有关单点登录工具详细内容请参见《堡垒主机系统运维工程师操作手册》。单点登录（SS0）安装控件在元目录->帮助或登录页->帮助页面中按照如下操作方式安装控件。如图3.1.1所示。图3.1.1使用目标另存为下载相应控件，如图3.1.2和3.1.3所示。图3.1.2图3.1.3运行该安装程序。如图3.1.4所示注意：为避免安装失败请关闭所有IE窗口图3.1.4选择安装目录，如图3.1.5与图3.1.6所示图3.1.5图3.1.6可以选择要安装的路径，这里我们默认为当前路径，如图3.1.7所示。图3.1.7单点登录工具支持列表图3.2.1单点登录授权资源查询在SSO列表界面点击按钮进入添加命令策略界面，如图所示，输入基本信息。点击提交即完成查询操作。如图3.3.1所示图3.3.1如图所示：【资源名称查询】依照资源名称进行查询。【资源类型查询】依照资源类型进行查询，具体类型包括如下几种：如图3.3.2所示。图3.3.2【资源IP查询】依照资源IP进行模糊查询。单点登录操作Windows资源类（域内主机\域控制器\windows2003\2008）图在SSO列表界面中选择windows主机的按钮进入windows资源单点登录界面，如上图所示点击相应登录方式即完成对目标windwos资源的单点登录。如图所示。图如图所示：【资源IP选择】对于部分多IP设备可选择IP进行登录。【控制台选择】等同于mstsc/admin或mstsc/console的控制台登录【RDP单点登录】点击并进行标准远程桌面的RDP登录【登录会话号登录】依照资源IP进行会话号方式的登录第一步：点击进入会话号页面，如图所示

图第二步：在本机运行中输入mstsc如下图所示：图第三步：在弹出的远程桌面连接中输入页面看到的IP与会话号，会话号填在用户名的位置。如图所示：图【RDP网页登录方式】无需安装单点登录控件的单点登录方式。第一步：点击进入无插件RDP单点登录，第二步：点击后可见如图所示：图第三步：选择大小后点击按钮【vnc登录】参考【RDP登录方式】【vnc网页登录方式】参见【RDP网页登录方式】。【windowsFTP登录方式】点击按钮进行FTP登录，并确保模式及编码选择正确。如图所示。图注意：本功能需要客户机安装SSO控件，并安装JRE。【windowsFTP网页登录方式】点击可进行无插件FTP单点登录。【windows文件共享登录方式】与【windowsFTP登录方式】相同【windows文件共享网页登录方式】与【windowsFTP网页登录方式】相同Unix\Linux资源类图在SSO列表界面中选择相应Unix\Linux主机的按钮进入Unix\Linux资源单点登录界面，如下图所示点击相应登录方式即完成对目标Unix\Linux资源的单点登录。如图所示。图【资源IP选择】对于部分多IP设备可选择IP进行登录。【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录【CRT登录】点击并进行SecureCRT单点登录【NeTerm登录】点击并进行SecureNeTerm单点登录【会话号登录】获取单点登录目标资源的一次性会话号第一步：点击进入会话号页面，如图所示。

图第二步：在本机开启任意常用SSH\TELNET工具，输入网页中看到的IP地址及用户名。如图所示。图第三步：将网页提供的密码作为登录密码进行登录。如图所示：图【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,点击完成无插件单点登录。【Unix\LinuxFTP登录方式】点击按钮进行FTP登录，并确保模式及编码选择正确。如图所示。图注意：本功能需要客户机安装SSO控件，并安装JRE。【Unix\LinuxFTP网页登录方式】点击可进行无插件FTP单点登录。【Unix\LinuxSFTP登录方式】与【Unix\LinuxFTP登录方式】相同【Unix\LinuxSFTP网页登录方式】与【Unix\LinuxFTP网页登录方式】相同【x-windows登录】点击下图所标注的按钮进行x-windows登录，具体操作方法与【RDP网页登录方式】相同图【x-windows会话号登录方式】参见【RDP会话号登录方式】。【x-windows网页登录方式】参见【RDP网页登录方式】。【vnc登录】参见【RDP网页登录方式】【vnc会话号登录方式】参见【RDP会话号登录方式】。【vnc网页登录方式】参见【RDP网页登录方式】。数据库（独立）资源类在介绍本部分以前请先熟悉一下应用发布的原理如下图：对于数据库类资源堡垒主机需要通过中间的应用发布服务器（参见下图）完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整.图图在SSO列表界面中选择数据库的按钮进入数据库资源单点登录界面，点击相应登录方式即完成对目标数据库资源的单点登录。【资源IP选择】对于部分多IP设备可选择IP进行登录。【会话号登录】获取单点登录目标资源的一次性会话号【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP地址，如图所示：图ORACLE_PLSQL单点登录自然人身份登录，点击相应ORACLE_PLSQL后边的[账号]按钮，进入如图所示页面。图在图形下来菜单中选择登录身份(Normal为普通身份，SYSDBA为系统管理员身份，SYSOPER为系统操作员身份)此处我们选Normal,点击PLSQL图标，出现远程桌面连接，如图所示图点击[连接]，连接到数据库oracle,体现为图所示：图ORACLE_SQLDeveleper单点登录自然人身份登录，点击相应ORACLE_PLSQL后边的[账号]按钮，进入如图所示页面图点击sqlDeveleper图标（下图红色区域）弹出远程桌面连接，如图所示。图点击[连接]，连接到数据库orcl,体现为图所示：图MSSQLServer2000查询分析器单点登录自然人身份登录，点击MSSQLServer2000数据库资源后面的账号按钮。如图所示。图点击[查询分析器]图标，出现远程桌面连接，如图所示。图点击[连接],连接成功，如图所示图MSSQLServer2000企业管理器单点登录自然人身份登录，点击相应MSSQLServer2000后边的[账号]按钮，进入如下图所示页面图点击[企业管理器]图标,出现远程桌面连接,如图所示。图点击[连接],连接成功，如图所示。图SQLServer2005ManagementStudio单点登录自然人身份登录，点击相应MSSQLServer2005后边的[账号]按钮，进入如下图所示页面。图点击[SQLServerManagementStudioExpress]图标，出现远程桌面连接，如图所示图点击[连接],连接成功，如图所示图SQLServer2008ManagementStudio单点登录自然人身份登录，点击相应MSSQLServer2008数据库后边的[账号]按钮，进入如下图所示页面图点击[SQLServerManagementStudioExpress]图标，出现远程桌面连接，如图所示。图点击[连接]，连接成功，如图所示。图SybaseDbisqlg单点登录自然人身份登录，点击相应Sybase数据库后边的[账号]按钮，进入如下图所示页面图点击[SybaseDbisqlg]图标，出现远程桌面连接，如图所示。图点击[连接]，连接成功，如图所示图SQL-Front单点登录自然人身份登录，点击相应Mysql数据库后边的[账号]按钮，进入如下图所示页面。图点击[Mysql-Front]图标，出现远程桌面连接，如图所示。图点击[连接]，连接成功，如图所示图数据库（系统）资源类单点登录（DB2/informix）自然人身份登录，点击相应数据库后边的按钮，如图所示图点击账号按钮后既可看到如下单点登录页面。如图所示图【资源IP选择】对于部分多IP设备可选择IP进行登录。【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录【CRT登录】点击并进行SecureCRT单点登录登录主机后输入dbaccess（informix）命令既可访问数据库如图所示：图【NeTerm登录】点击并进行SecureNeTerm单点登录，同【CRT登录】【会话号登录】获取单点登录目标资源的一次性会话号第一步：点击进入会话号页面，如图所示。

图第二步：在本机开启任意常用SSH\TELNET工具，输入网页中看到的IP地址及用户名。如图所示。图第三步：将网页提供的密码作为登录密码进行登录。如图所示：图【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,点击完成无插件单点登录。【winsql登录方式】对于informix数据库点击按钮进行winsql工具登录登录。如图所示图【DB2控制中心登录方式】对于DB2点击按钮进行DB2控制中心工具登录。登录后如图所示：图【winsql/DB2控制中心网页登录方式】点击可进行无插件winSQL/DB2控制中心单点登录,【winsql/DB2控制中心会话号登