碉堡堡壘機(jī)配置管理員手冊(cè)

1、碉堡用戶操作手冊(cè)配置管理員北京維方通信息技術(shù)有限公司目 錄第一章 用戶手冊(cè)概述41.1碉堡配置管理員權(quán)限.41.2如何閱讀本手冊(cè).41.3手冊(cè)閱讀附加說(shuō)明.41.4適用版本.5第二章 用戶管理52.1建立用戶賬戶.52.2用戶狀態(tài)管理.62.3 用戶導(dǎo)入、導(dǎo)出72.4用戶密碼管理.72.4.1密碼長(zhǎng)度82.4.2密碼有效期82.4.3用戶賬戶的安全8第三章 設(shè)備管理93.1設(shè)備添加流程.93.2設(shè)備類型和服務(wù).103.3設(shè)備添加范例.103.3.1如何添加ssh字符終端類設(shè)備103.3.2如何添加windows圖形終端類設(shè)備113.4操作設(shè)備.123.4.1設(shè)備導(dǎo)入、導(dǎo)出133.4.2設(shè)備分組

2、信息管理143.5 設(shè)備修改15第四章 訪問(wèn)授權(quán)154.1添加規(guī)則.154.2操作授權(quán).164.3 修改授權(quán)17第五章 策略定義175.1描述信息.175.2操作描述信息.195.3策略信息.19第1章 用戶手冊(cè)概述本手冊(cè)是“碉堡堡壘主機(jī)”（以下簡(jiǎn)稱“碉堡”）配置員使用手冊(cè)，可作為碉堡的日常操作參考。1.1碉堡配置管理員權(quán)限配置管理員是碉堡中非常重要的一個(gè)角色。其職責(zé)是對(duì)普通用戶和設(shè)備、規(guī)則、策略定義進(jìn)行全面的管理、對(duì)用戶權(quán)限的控制、對(duì)設(shè)備訪問(wèn)的控制、對(duì)策略定義的控制。具體如下：用戶角色權(quán)限列表碉堡配置員1. 完成以下基本控制任務(wù)：添加角色、訪問(wèn)授權(quán)規(guī)則添加、設(shè)備管理、策略定義2. 管理訪問(wèn)控

3、制3. 管理權(quán)限控制（字符設(shè)備命令防火墻）4. ssh密鑰異常管理1.2如何閱讀本手冊(cè)本手冊(cè)各章節(jié)相互獨(dú)立，您可選擇感興趣的章節(jié)進(jìn)行閱讀。1.3手冊(cè)閱讀附加說(shuō)明紅色字體表示操作中的關(guān)鍵點(diǎn)，例如：用戶管理添加用戶填寫信息意為：先點(diǎn)擊“用戶管理連接”，在出現(xiàn)的頁(yè)面中再點(diǎn)擊“添加用戶連接”，在出現(xiàn)的頁(yè)面中“填寫信息”；帶下劃線的文字表示用戶特別需要注意的內(nèi)容，一般為注意事、提示和建議；1.4適用版本本手冊(cè)依據(jù)碉堡v1.0撰寫，適用于所有1.0分支版本。第2章 用戶管理配置管理員可配置管理以下用戶賬戶：碉堡配置員、普通用戶、運(yùn)維操作審計(jì)員、碉堡日志審計(jì)員，本章主要介紹用戶賬戶的新建和操作。2.1建立用

4、戶賬戶本小節(jié)以添加一個(gè)普通用戶為例介紹如何添加用戶賬戶。用戶管理添加用戶，進(jìn)入用戶賬戶編輯頁(yè)面。按要求填寫相關(guān)信息保存提交，如下圖：依次填寫圖中各項(xiàng)，其中：必填項(xiàng)：姓名、角色、用戶名、密碼；可默認(rèn)設(shè)置項(xiàng)：狀態(tài)（激活）、密碼期限（永不過(guò)期）；其他均為填寫項(xiàng)。注意：如勾選下次登錄修改密碼，下次登錄時(shí)將進(jìn)入密碼修改頁(yè)面，超級(jí)管理員如設(shè)置密碼策略、賬戶鎖定策略，將也對(duì)創(chuàng)建的用戶有效。2.2用戶狀態(tài)管理用戶狀態(tài)分為如下四種：激活：“激活”狀態(tài)下的用戶賬戶才能登錄“碉堡堡壘機(jī)”進(jìn)行操作。鎖定：鎖定狀態(tài)下的用戶無(wú)法登錄“碉堡堡壘機(jī)”。注銷：注銷能夠刪除該用戶賬戶，注銷的用戶將不存在。復(fù)制：復(fù)制能在原有用戶的

5、基礎(chǔ)上進(jìn)行添加用戶。碉堡配置員可通過(guò)以下方式修改用戶賬戶的狀態(tài)。l 鎖定某賬戶：用戶管理更多操作頁(yè)面選擇要鎖定的用戶，點(diǎn)擊更多操作選擇鎖定用戶，點(diǎn)擊執(zhí)行把用戶狀態(tài)改為鎖定。如下圖：l 激活某鎖定賬戶：用戶管理鎖定的用戶頁(yè)面查看鎖定用戶，選擇要激活的用戶點(diǎn)擊更多操作選擇激活用戶，將賬戶狀態(tài)改為激活。l 注銷某賬戶：用戶管理更多操作頁(yè)面選擇需要注銷的賬戶，點(diǎn)擊更多操作選擇注銷用戶，可注銷選擇用戶。l 復(fù)制某用戶：用戶管理復(fù)制用戶頁(yè)面選擇需要復(fù)制的賬戶，點(diǎn)擊復(fù)制用戶按鈕復(fù)制用戶，進(jìn)入用戶信息與登錄信息頁(yè)面填寫相關(guān)信息，點(diǎn)擊保存即可復(fù)制成功。2.3 用戶導(dǎo)入、導(dǎo)出用戶管理用戶導(dǎo)入（用戶導(dǎo)出）能將用戶選

6、擇的用戶導(dǎo)出，也可點(diǎn)擊用戶導(dǎo)入下載用戶模板或點(diǎn)擊瀏覽直接選擇文件進(jìn)行導(dǎo)入。如下圖：2.4用戶密碼管理碉堡配置員在新建用戶時(shí)需要給用戶設(shè)置密碼，同時(shí)碉堡配置員也可修改用戶密碼。用戶管理用戶名稱頁(yè)面，點(diǎn)擊用戶名稱進(jìn)入賬戶編輯頁(yè)面，密碼設(shè)置見下圖：2.4.1密碼長(zhǎng)度密碼長(zhǎng)度：密碼長(zhǎng)度設(shè)置方式為超級(jí)管理員設(shè)置的密碼策略。設(shè)置后對(duì)所有用戶有效。2.4.2密碼有效期密碼有效期：l 碉堡配置員可設(shè)置或修改用戶的密碼有效期。如不設(shè)置有效期，則系統(tǒng)默認(rèn)為永不過(guò)期；l 在密碼過(guò)期前，用戶可登錄到“碉堡堡壘機(jī)”web界面修改自己賬戶的密碼，系統(tǒng)默認(rèn)過(guò)期后登錄則進(jìn)入密碼修改界面；2.4.3用戶賬戶的安全“碉堡堡壘機(jī)”

7、主要通過(guò)檢查用戶密碼強(qiáng)度和設(shè)置密碼重試限制來(lái)加強(qiáng)用戶賬戶的安全。密碼強(qiáng)度檢查：用戶在登錄后通過(guò)個(gè)人設(shè)置修改自己的密碼時(shí)，diaobao會(huì)對(duì)用戶修改的密碼進(jìn)行判斷，如密碼不符合強(qiáng)度要求，則修改密碼失敗，用戶需重新設(shè)置密碼。如下圖：密碼重試限制：用戶在登錄時(shí)，一定時(shí)間內(nèi)連續(xù)輸錯(cuò)密碼用戶賬戶將被鎖定。連續(xù)輸錯(cuò)次數(shù)可由超級(jí)管理員進(jìn)行設(shè)定。第3章 設(shè)備管理3.1設(shè)備添加流程向“碉堡堡壘機(jī)”添加設(shè)備的最終目標(biāo)是使普通用戶可以在無(wú)需知道設(shè)備密碼的條件下自動(dòng)登錄到設(shè)備，因此添加設(shè)備就是通過(guò)在“碉堡堡壘機(jī)”中登記設(shè)備的相關(guān)信息達(dá)到自動(dòng)登錄的的目的，以下是簡(jiǎn)要的流程：1. 收集設(shè)備信息包括：設(shè)備ip、主機(jī)名、設(shè)備

8、賬號(hào)及密碼、遠(yuǎn)程訪問(wèn)方式（rdp、ssh、telnet、ftp、sftp、x11、vnc）；2. 填寫設(shè)備名稱和ip地址、選擇設(shè)備類型3. 配置設(shè)備遠(yuǎn)程訪問(wèn)服務(wù)4. 建立系統(tǒng)賬號(hào)和密碼，進(jìn)行登錄測(cè)試。具體根據(jù)設(shè)備類型不同，參考3.33.2設(shè)備類型和服務(wù)添加設(shè)備時(shí)您需要選擇正確的設(shè)備類型，“碉堡堡壘機(jī)”將根據(jù)您選擇的設(shè)備類型配置對(duì)應(yīng)的服務(wù)及各種默認(rèn)參數(shù)?！暗锉け緳C(jī)”內(nèi)置了7種設(shè)備類型，見下表：設(shè)備類型適用范圍服務(wù)列表 windows主機(jī)用于windowsrdp windows域控用于windowsrdp windows域內(nèi)主機(jī)用于windowsrdp linux主機(jī)用于各種linux設(shè)備，如：

9、 debian 、 fedora 、 gentoo 、 red hat 、 suse、 ubuntu、 red flag、centos等ssh unix主機(jī)用于各種unix設(shè)備，如ibm aix、hp-ux、sun solaris、sco等ssh 網(wǎng)絡(luò)設(shè)備（radius）用于交換機(jī)telnet 網(wǎng)絡(luò)設(shè)備（local）用于交換機(jī)telnet不同的設(shè)備類型有不同的服務(wù)列表，上表粗體字為默認(rèn)服務(wù)。3.3設(shè)備添加范例3.3.1如何添加ssh字符終端類設(shè)備第一步、添加設(shè)備填寫基本信息：設(shè)備管理添加設(shè)備，進(jìn)入設(shè)備編輯頁(yè)面，填寫以下信息。設(shè)備名：ceshi；ip地址：46；設(shè)備類型：l

10、inux主機(jī)。第二步、添加設(shè)備賬號(hào)，選擇授權(quán)端口以及測(cè)試連接，點(diǎn)擊保存，如下圖：如上圖輸入設(shè)備名稱，輸入設(shè)備ip并點(diǎn)擊“設(shè)備登錄賬號(hào)”下方的添加輸入登陸賬號(hào)與密碼；如上圖填寫設(shè)備登錄賬號(hào)、密碼點(diǎn)擊確定點(diǎn)擊閃電圖標(biāo)，如該設(shè)備可用則如下圖：如返回上圖提示信息則表示該設(shè)備可用，點(diǎn)擊保存添加該設(shè)備成功。3.3.2如何添加windows圖形終端類設(shè)備第一步、添加設(shè)備填寫基本信息：設(shè)備管理添加設(shè)備，進(jìn)入設(shè)備編輯頁(yè)面，填寫以下信息。設(shè)備名：ceshi；ip地址：；設(shè)備類型：windows主機(jī)。第二步、添加設(shè)備賬號(hào)，選擇授權(quán)端口以及測(cè)試連接，點(diǎn)擊保存，如下圖：填寫完畢后點(diǎn)擊授權(quán)端口后的閃

11、電圖標(biāo)測(cè)試連接是否成功，如下圖：如返回結(jié)果如上圖則表示連接測(cè)試成功；點(diǎn)擊設(shè)備登錄賬號(hào)下方的添加按鈕添加登錄設(shè)備賬號(hào)；添加成功后點(diǎn)擊保存，則該設(shè)備添加成功。3.4操作設(shè)備鎖定設(shè)備：鎖定設(shè)備后將鎖定該資源。刪除設(shè)備：刪除設(shè)備后將無(wú)法進(jìn)行單點(diǎn)登錄激活設(shè)備：激活設(shè)備會(huì)激活該設(shè)備資源生成密碼信封：將會(huì)把該設(shè)備基本信息打印或存入電腦。l 鎖定某設(shè)備：設(shè)備管理更多操作，選擇鎖定設(shè)備，勾選設(shè)備名稱，點(diǎn)擊執(zhí)行，如下圖：l 激活某設(shè)備：設(shè)備管理更多操作，選擇激活設(shè)備，勾選設(shè)備名稱，點(diǎn)擊執(zhí)行l(wèi) 刪除某設(shè)備：設(shè)備管理更多操作，選擇刪除設(shè)備，勾選設(shè)備名稱，點(diǎn)擊執(zhí)行l(wèi) 生成密碼信封：設(shè)備管理更多操作，選擇生成密碼信封，勾

12、選設(shè)備名稱，點(diǎn)擊執(zhí)行，點(diǎn)擊密碼信封歷史記錄，打印或?qū)С鱿螺d。3.4.1設(shè)備導(dǎo)入、導(dǎo)出設(shè)備管理設(shè)備導(dǎo)出（設(shè)備導(dǎo)入）勾選設(shè)備名稱點(diǎn)擊設(shè)備導(dǎo)出即可將選擇的設(shè)備信息導(dǎo)出到本地電腦上；點(diǎn)擊設(shè)備導(dǎo)入，可點(diǎn)擊設(shè)備模板下載，自己添加信息也可點(diǎn)擊瀏覽上傳電腦中已有的設(shè)備信息。如下圖：3.4.2設(shè)備分組信息管理設(shè)備管理設(shè)備分組信息 管理進(jìn)入設(shè)備分組編輯頁(yè)面。l 添加根：設(shè)備管理設(shè)備分組信息 管理添加根填寫根組名稱，點(diǎn)擊保存。l 添加同級(jí)：設(shè)備管理設(shè)備分組信息 管理添加同級(jí)填寫信息，點(diǎn)擊保存。如下圖：l 添加下級(jí)：設(shè)備管理設(shè)備分組信息 管理添加下級(jí)填寫信息，點(diǎn)擊保存。l 修改信息：設(shè)備管理設(shè)備分組信息 管理修改信息

13、填寫修改信息，點(diǎn)擊保存。l 刪除：設(shè)備管理設(shè)備分組信息 管理刪除選擇節(jié)點(diǎn)，點(diǎn)擊刪除3.5 設(shè)備修改修改設(shè)備：進(jìn)入設(shè)備管理界面，單擊需要修改的設(shè)備藍(lán)色字體名稱可進(jìn)入修改相應(yīng)設(shè)備基本信息的界面。第4章 訪問(wèn)授權(quán)4.1添加規(guī)則訪問(wèn)授權(quán)添加規(guī)則進(jìn)入添加規(guī)則界面輸入規(guī)則名，單擊選擇添加用戶信息、設(shè)備信息、策略信息l 用戶信息：?jiǎn)螕暨x擇添加授權(quán)用戶，用戶獲得授權(quán)后才可訪問(wèn)資源。l 基本信息：規(guī)則名稱與規(guī)則備注。l 設(shè)備信息：?jiǎn)螕暨x擇添加設(shè)備，添加設(shè)備后系統(tǒng)才能獲得該設(shè)備的資源。l 策略信息：?jiǎn)螕暨x擇添加策略，添加策略后可以提高單點(diǎn)登錄的安全性，防止惡意操作。如下圖：必填項(xiàng)：規(guī)則名稱。其他項(xiàng)為默認(rèn)項(xiàng)，默認(rèn)不

14、填寫。注意：如不填寫任意一個(gè)用戶信息、設(shè)備信息、策略信息；該規(guī)則將完全無(wú)效。4.2操作授權(quán)l(xiāng) 鎖定規(guī)則：訪問(wèn)授權(quán)更多操作勾選規(guī)則名稱，點(diǎn)擊更多操作選擇鎖定規(guī)則，點(diǎn)擊執(zhí)行。如下圖：l 激活規(guī)則：訪問(wèn)授權(quán)更多操作勾選規(guī)則名稱，點(diǎn)擊更多操作選擇激活規(guī)則，點(diǎn)擊執(zhí)行。l 注銷規(guī)則：訪問(wèn)授權(quán)更多操作勾選規(guī)則名稱，點(diǎn)擊更多操作選擇注銷規(guī)則，點(diǎn)擊執(zhí)行。附：規(guī)則被注銷后將無(wú)法進(jìn)行單點(diǎn)登錄。4.3 修改授權(quán)訪問(wèn)授權(quán)規(guī)則名稱點(diǎn)擊規(guī)則名稱進(jìn)入規(guī)則編輯界面，對(duì)規(guī)則進(jìn)行修改，點(diǎn)擊保存。如下圖：第5章 策略定義5.1描述信息策略定義下的描述信息由指令字定義、訪問(wèn)時(shí)間定義、源地址定義三部分組成。l 指令字定義：策略定義指令字定義添加指令定義進(jìn)入指令定義信息界面，輸入定義名稱、添加指令字，點(diǎn)擊保存。如下圖：l 訪問(wèn)時(shí)間定義：策略定義訪問(wèn)時(shí)間定義定義添加時(shí)間定義進(jìn)入時(shí)間定義信息界面，輸入定義名稱、選擇時(shí)間，點(diǎn)擊保存。l 源地址定義：策略定義源地址定義添加地址定義進(jìn)入地址定義信息界面，輸入定義名稱、添加地址，點(diǎn)擊保存。5.2操作描述信息策略定義描述信息