天融信堡壘主機(TA-SAG)用戶操作手冊-運維管理

服務(wù)熱線：800-810-2332 -PAGE2-北京天融信公司北京（總部）詢熱線：400-610-5119網(wǎng)址：3/58天融信網(wǎng)絡(luò)審計系統(tǒng)TA-SAG用戶操作手冊運維管理北京天融信公司二O一三年六月六日天融信網(wǎng)絡(luò)審計系統(tǒng)TA-SAG用戶操作手冊——運維管理天融信網(wǎng)絡(luò)審計系統(tǒng)TA-SAG用戶操作手冊——運維管理北京天融信公司北京（總部）詢熱線：400-610-5119網(wǎng)址：4/58TA-SAG用戶操作手冊——運維管理更新歷史編寫人日期版本號變更內(nèi)容吳玉飛2013.06V3.0堡壘主機（TA-SAG）V3.0最新版

目錄 天融信網(wǎng)絡(luò)審計系統(tǒng)TA-SAG用戶操作手冊——運維管理北京天融信公司北京（總部）詢熱線：400-610-5119網(wǎng)址：58/58TOC\o"1-6"\h\z\u第一章 前言 41.1 簡介 41.2 文檔目的 41.3 讀者對象 4第二章 登錄系統(tǒng) 52.1 靜態(tài)口令認(rèn)證登錄 52.2 字證書認(rèn)證登錄 62.3 動態(tài)口令認(rèn)證登錄 72.4 LDAP域認(rèn)證登錄 72.5 單點登錄工具 8第三章 單點登錄 103.1 單點登錄 103.2 單點登錄工具支持列表 103.3 單點登錄界面介紹 11第四章 授權(quán)列表 144.1 Windows資源類（域內(nèi)主機\域控制器\windows2003\2008） 144.2 Unix\Linux資源類 154.3 數(shù)據(jù)庫（獨立）資源類 184.4 ORACLE_PLSQL單點登錄 194.5 ORACLE_SQLDeveleper單點登錄 214.6 MSSQLServer2000查詢分析器單點登錄 234.7 MSSQLServer2000企業(yè)管理器單點登錄 244.8 SQLServer2005ManagementStudio單點登錄 264.9 SQLServer2008ManagementStudio單點登錄 274.10 SybaseDbisqlg單點登錄 294.11 SQL-Front單點登錄 304.12 數(shù)據(jù)庫（系統(tǒng)）資源類單點登錄（DB2/informix） 324.13 網(wǎng)絡(luò)設(shè)備（RADIUS\local\其他）資源類 344.14 Web應(yīng)用資源類 364.15 會同登錄 364.16 一次性會話號 42第五章 工單 45第六章 工作計劃 48第七章 消息 50第八章 自維護 52第九章 控件下載 54前言簡介TA-SAG運維管理是TA-SAG中使用最為頻繁的一個平臺。它面向的對象是，企業(yè)的運維人員。該模塊是TA-SAG為運維人員提供的登錄入口。因此TA-SAG加強了登錄的認(rèn)證手段，提高安全性的同時不失用戶的方便性。運維人員登錄TA-SAG認(rèn)證成功后，將不會繼續(xù)認(rèn)證。從TA-SAG單點登錄平臺可以登錄任意經(jīng)過授權(quán)的資源。TA-SAG為每次訪問資源都建立了唯一的授權(quán)一次性會話號，用以確保登錄會話的安全性。文檔目的TA-SAG運維管理手冊是指導(dǎo)運維人員如何登錄TA-SAG認(rèn)證和訪問資源。在該模塊中經(jīng)常會有很多的問題出現(xiàn)。通過該手冊能夠解決運維人員的常見問題。讀者對象本文檔適用于企業(yè)運維人員使用。登錄系統(tǒng)系統(tǒng)登錄主要的工作就是系統(tǒng)認(rèn)證。TA-SAG登錄界面隨系統(tǒng)配置的認(rèn)證方式不同而有所差異。TA-SAG支持的認(rèn)證方式包括靜態(tài)口令認(rèn)證、數(shù)字證書認(rèn)證、動態(tài)口令認(rèn)證、LDAP域認(rèn)證、指紋認(rèn)證等。無論TA-SAG配置哪種認(rèn)證方式，登錄系統(tǒng)都需要在瀏覽器中輸入服務(wù)地址。例如:3。在該例中，3為TA-SAGIP地址（TA-SAG出廠設(shè)置的管理IP為2）。當(dāng)在瀏覽器中輸入示例內(nèi)容后，點擊回車（TA-SAG配置雙向認(rèn)證時，如果需要域名方式訪問的情況除外）系統(tǒng)自動轉(zhuǎn)向到登錄界面。下面列舉常見的幾種常見的認(rèn)證方式界面。靜態(tài)口令認(rèn)證登錄靜態(tài)口令登錄認(rèn)證是最基本得認(rèn)證方式，登錄界面入圖2.1.1所示。圖2.1.1用戶需要輸入用戶名及口令后，點擊登錄按鈕后登錄系統(tǒng)。字證書認(rèn)證登錄TA-SAG證書認(rèn)證登錄，支持的形式包括軟證書認(rèn)證，Usbkey證書認(rèn)證兩種。這兩種形式的唯一區(qū)別在于證書所依賴的存儲截止不同。Usbkey證書只是將證書導(dǎo)入Usb硬件Key中，安全性相應(yīng)增加。但無論證書以哪種方式存在，TA-SAG都會統(tǒng)一對待。如圖2.2.1所示，當(dāng)自然人在瀏覽器地址欄中輸入TA-SAG地址后，點擊回車，彈出選擇證書提示框。圖2.2.1此時用戶需要選擇所要使用的數(shù)字證書，點擊確定按鈕。此例子選擇名稱為simper的證書，點擊確定按鈕，進入圖2.2.2界面。圖2.2.2由于在上一操作步驟中選擇的是名稱為simper證書，所以TA-SAG此時自動將用戶名鎖定，禁止自然人修改登錄用戶名。防止身份篡改。此時，用戶需要輸入simper用戶口令即可進行靜態(tài)口令認(rèn)證。靜態(tài)口令操作內(nèi)容請參考2.1章節(jié)。動態(tài)口令認(rèn)證登錄動態(tài)口令認(rèn)證是指可以通過OTP令牌方式通過TA-SAG認(rèn)證登錄。認(rèn)證界面如圖2.3.1所示。圖2.3.1 TA-SAG的動態(tài)口令登錄認(rèn)證，采用的是雙因子認(rèn)證方式。也就是說，用戶需要輸入動態(tài)口令的同時必須輸入自身的靜態(tài)口令作為PIN碼。當(dāng)兩項認(rèn)證都通過時才可以進入TA-SAG。這一點與數(shù)字證書認(rèn)證方式是類似的。這種方式大大增強了系統(tǒng)登錄的安全性。LDAP域認(rèn)證登錄TA-SAG域認(rèn)證是另外一種第三方認(rèn)證方式。TA-SAG將自身的部分系統(tǒng)認(rèn)證交由第三方安全平臺認(rèn)證。TA-SAG中將LDAP域口令的認(rèn)證指派到LDAP服務(wù)器上。LDAP域認(rèn)證的操作界面入圖2.4.1所示。圖2.4.1 與動態(tài)口令的認(rèn)證方式類似，域口令認(rèn)證需要在LDAP域認(rèn)證通過的情況下同時滿足自然人的靜態(tài)口令認(rèn)證認(rèn)證通過，此時才可以成功進入TA-SAG。 單點登錄工具介紹完TA-SAG中常見的認(rèn)證方式后，用戶可能注意到圖例中【工具下載】選項。該選項為用戶提供了部分的客戶端工具，及TA-SAGSSO登錄控件的下載。點擊【工具下載】選項彈出如圖2.5.1所示界面。圖2.5.1圖2.5.1只截取了部分的內(nèi)容，其中還包括單點登錄工具及客戶端工具安裝過程中常常出現(xiàn)的問題及解答。用戶可以點擊如圖2.5.1界面中的帶有“單點登錄控件”字樣的下載鏈接，下載單點登錄工具。有關(guān)單點登錄工具詳細內(nèi)容請參見《TA-SAG運維工程師操作手冊》。單點登錄單點登錄在自然人登錄到系統(tǒng)后，默認(rèn)顯示的界面為單點登錄界面。如圖3.1所示。圖3.1單點登錄工具支持列表圖3.2.1單點登錄界面介紹在單點登錄界面，“最近使用“模塊將顯示最近的運維操作資源信息，如圖3.3.1所示。圖3.3.1“最常使用”模塊顯示該自然人最常使用的授權(quán)資源列表，如圖3.3.2所示。圖3.3.2“工單”模塊顯示該自然人相關(guān)的工單信息。如圖3.3.3所示。圖3.3.3“日歷”模塊可以顯示當(dāng)前日期，當(dāng)有工作計劃時，相應(yīng)日期將顯示為黃色。如圖3.3.4所示。圖3.3.4“工作計劃”模塊顯示當(dāng)天的工作計劃的執(zhí)行時間，當(dāng)點擊相應(yīng)日期，將顯示其日期下的工作計劃執(zhí)行時間。如圖3.3.5所示。圖3.3.5授權(quán)列表Windows資源類（域內(nèi)主機\域控制器\windows2003\2008）點擊授權(quán)列表將顯示出所以授權(quán)資源信息，如圖4.1.1所示。圖4.1.1對于部分多IP設(shè)備將從ip生成一條資源列，如圖4.1.2所示。圖4.1.2表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進行選擇，如圖4.1.3所示。圖4.1.3【RDP單點登錄】點擊并進行標(biāo)準(zhǔn)遠程桌面的RDP登錄【RDP控制臺單點登錄】等同于mstsc/admin或mstsc/console的控制臺登錄表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進行選擇，如圖4.1.4所示。圖4.1.4【windows文件共享登錄方式】與【windowsFTP登錄方式】相同，點擊登錄即可。Unix\Linux資源類點擊授權(quán)列表將顯示出所以授權(quán)資源信息，如圖4.2.1所示。圖4.2.1對于部分多IP設(shè)備將從ip生成一條資源列，如圖4.2.2所示。圖4.2.2表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進行選擇，如圖4.2.3所示。圖4.2.3【以選項卡方式打開登錄】以選項卡的方式顯示，點擊進行SecureCRT單點登錄【以獨立窗口方式打開登錄】以獨立窗口的方式顯示，點擊進行SecureCRT單點登錄【直連方式打開登錄】通過本地的SecureCRT登錄，不通過協(xié)議代理。點擊進行登錄。表示系統(tǒng)的連接方式。具體的登錄方式可以點擊進行選擇，如圖4.2.4所示。圖4.2.4【windows文件共享登錄方式】與【windowsFTP登錄方式】相同，點擊登錄即可?！綰nix\LinuxFTP登錄方式】點擊FTP按鈕進行FTP登錄，并確保模式及編碼選擇正確。如圖4.2.5所示。圖4.2.5注意：本功能需要客戶機安裝SSO控件，并安裝JRE。【Unix\LinuxSFTP登錄方式】與【Unix\LinuxFTP登錄方式】相同【x-windows登錄】點擊按鈕進行選擇x-windows登錄，具體操作方法與【RDP網(wǎng)頁登錄方式】相同圖4.2.6【x-windows會話號登錄方式】參見【RDP會話號登錄方式】?！緑nc登錄】參見【RDP會話號登錄方式】數(shù)據(jù)庫（獨立）資源類在介紹本部分以前請先熟悉一下應(yīng)用發(fā)布的原理如下圖：對于數(shù)據(jù)庫類資源TA-SAG需要通過中間的應(yīng)用發(fā)布服務(wù)器（參見下圖）完成對目標(biāo)數(shù)據(jù)庫的單點登錄,通過應(yīng)用發(fā)布服務(wù)器完成數(shù)據(jù)庫客戶端的單點登錄并保證審計業(yè)務(wù)完整.圖4.3.1圖4.3.1對于部分多IP設(shè)備將從ip生成一條資源列，如圖4.3.2所示。圖4.3.2【應(yīng)用發(fā)布服務(wù)選擇】獲在應(yīng)用發(fā)布服務(wù)下拉菜單中選擇應(yīng)用發(fā)布服務(wù)器的IP地址，如圖4.3.3所示：圖4.3.3ORACLE_PLSQL單點登錄自然人身份登錄，點擊按鈕，進入如圖4.4.1所示頁面。圖4.4.1點擊PLSQL圖標(biāo)，出現(xiàn)遠程桌面連接，如圖4.4.2所示圖4.4.2點擊[連接]，連接到數(shù)據(jù)庫oracle,體現(xiàn)為圖4.4.3所示：圖4.4.3ORACLE_SQLDeveleper單點登錄自然人身份登錄，點擊相應(yīng)ORACLE_PLSQL后邊的[賬號]按鈕，進入如圖4.5.1所示頁面圖4.5.1點擊sqlDeveleper圖標(biāo)（下圖紅色區(qū)域）彈出遠程桌面連接，如圖4.5.2所示。圖4.5.2點擊[連接]，連接到數(shù)據(jù)庫orcl,體現(xiàn)為圖4.5.3所示：圖4.5.3MSSQLServer2000查詢分析器單點登錄自然人身份登錄，點擊MSSQLServer2000數(shù)據(jù)庫資源后面的賬號按鈕。如圖4.6.1所示。圖4.6.1點擊[查詢分析器]圖標(biāo)，出現(xiàn)遠程桌面連接，如圖4.6.2所示。圖4.6.2點擊[連接],連接成功，如圖4.6.3所示圖4.6.3MSSQLServer2000企業(yè)管理器單點登錄自然人身份登錄，點擊相應(yīng)MSSQLServer2000后邊的[賬號]按鈕，進入如下圖4.7.1所示頁面圖4.7.1點擊[企業(yè)管理器]圖標(biāo),出現(xiàn)遠程桌面連接,如圖4.7.2所示。圖4.7.2點擊[連接],連接成功，如圖4.7.3所示。圖4.7.3SQLServer2005ManagementStudio單點登錄自然人身份登錄，點擊相應(yīng)MSSQLServer2005后邊的[賬號]按鈕，進入如下圖4.8.1所示頁面。圖4.8.1點擊圖標(biāo)，出現(xiàn)遠程桌面連接，如圖4.8.2所示圖4.8.2點擊[連接],連接成功，如圖4.8.3所示圖4.8.3SQLServer2008ManagementStudio單點登錄自然人身份登錄，點擊按鈕，進入如下圖4.9.1所示頁面圖4.9.1點擊圖標(biāo)，出現(xiàn)遠程桌面連接，如圖4.9.2所示。圖4.9.2點擊[連接]，連接成功，如圖4.9.3所示。圖4.9.3SybaseDbisqlg單點登錄自然人身份登錄，點擊按鈕，進入如下圖4.10.1所示頁面圖4.10.1點擊[SybaseDbisqlg]圖標(biāo)，出現(xiàn)遠程桌面連接，如圖4.10.2所示。圖4.10.2點擊[連接]，連接成功，如圖4.10.3所示圖4.10.3SQL-Front單點登錄自然人身份登錄，點擊相應(yīng)按鈕，選擇該資源如下圖4.11.1所示頁面。圖4.11.1點擊[Mysql-Front]圖標(biāo)，出現(xiàn)遠程桌面連接，如圖4.11.2所示。圖點擊[連接]，連接成功，如圖4.11.3所示圖4.11.3數(shù)據(jù)庫（系統(tǒng)）資源類單點登錄（DB2/informix）自然人身份登錄，點擊按鈕，如圖4.12.1所示圖4.12.1對于部分多IP設(shè)備將從ip生成一條資源列。【winsql登錄方式】對于informix數(shù)據(jù)庫點擊按鈕進行winsql工具登錄登錄。如圖4.12.7所示。圖4.12.7【DB2控制中心登錄方式】對于DB2點擊按鈕進行DB2控制中心工具登錄。登錄后如圖4.12.8所示：圖4.12.8【winsql/DB2控制中心會話號登錄方式】參見【RDP會話號登錄方式】。網(wǎng)絡(luò)設(shè)備（RADIUS\local\其他）資源類在介紹這一部分之前先簡單說明RADIUS方式的原理：Raidus（RemoteAuthenticationDialInUserService）是對遠端撥號接入用戶的認(rèn)證服務(wù)，Radius服務(wù)分客戶端和服務(wù)器端，通常我們公司的接入產(chǎn)品支持的是客戶端，負(fù)責(zé)將認(rèn)證等信息按照協(xié)議的格式通過UDP包送到服務(wù)器，同時對服務(wù)器返回的信息解釋處理。圖4.13.1而對于TA-SAG機方案來說就是由TA-SAG開啟Radius服務(wù)，而將網(wǎng)絡(luò)設(shè)備的3A指向TA-SAG機。在自然人登錄到系統(tǒng)后，點擊按鈕。如圖4.13.2所示。圖4.13.2如下圖所示點擊相應(yīng)登錄方式即完成對網(wǎng)絡(luò)設(shè)備資源的單點登錄。如圖4.13.3所示。圖4.13.3對于部分多IP設(shè)備將從ip生成一條資源列，如圖4.13.4所示。圖4.13.4【通訊協(xié)議選擇】依據(jù)需要訪問資源的通訊協(xié)議進行選擇SSH\TELNET方式登錄，如圖4.13.5所示。圖4.13.5【以選項卡方式打開登錄】以選項卡的方式顯示，點擊進行SecureCRT單點登錄【以獨立窗口方式打開登錄】以獨立窗口的方式顯示，點擊進行SecureCRT單點登錄【直連方式打開登錄】通過本地的SecureCRT登錄，不通過協(xié)議代理。點擊進行登錄。Web應(yīng)用資源類自然人登錄系統(tǒng)后，點擊按鈕，如圖4.14.1所示。如下圖所示點擊相應(yīng)登錄方式即完成對目標(biāo)Web應(yīng)用資源的單點登錄。圖4.14.1對于部分多IP設(shè)備將從ip生成一條資源列?！網(wǎng)eb應(yīng)用單點登錄】點擊并進行標(biāo)準(zhǔn)遠程桌面的RDP登錄，同【RDP單點登錄】。會同登錄【功能簡介】：自然人運維登錄資源時，需其他自然人的同意才能登錄。首先在資源添加時，將需要會同登錄的賬號勾選會同登錄，如圖4.15.1所示。圖4.15.1將參與會同登錄審批的人員勾選上會同審批人選項（例如：李明和王紅），如圖4.15.2所示。圖4.15.2給自然人李明授權(quán)79（ftp服務(wù)器）的會同登錄賬號，如圖4.15.3所示。圖4.15.3用自然人李明登錄做運維操作79（ftp服務(wù)器），如圖4.15.4所示。圖4.15.4點擊RDP登錄時，彈出復(fù)選框選擇審批人（例如：王紅），如圖4.15.5所示。圖4.15.5點擊按鈕后，彈出提示內(nèi)容如圖4.15.6所示。圖4.15.6此時審批人（例如：王紅）收到審批申請，可以同意或拒絕會話，如圖4.15.7所示。圖4.15.6審批人點擊按鈕，提示內(nèi)容如圖4.15.7所示。圖4.15.7自然人李明可以RDP登錄FTP服務(wù)器，點擊按鈕可以登錄到資源上，如圖4.15.8所示。圖4.15.8此時審批人（例如：王紅）可以進行監(jiān)控、阻斷會話。審批人可以監(jiān)視運維人員操作，并且可以阻斷其會話。如圖4.15.9所示。圖4.15.9一次性會話號當(dāng)?shù)卿浀较到y(tǒng)后，在桌面點擊【單點登錄】按鈕，進入工單管理界面。如圖4.16.1所示。圖4.16.1點擊按鈕，獲取一次性會話號，如圖4.16.2所示。圖4.16.2可以通過圖4.16.2中的會話信息利用本地的mstsc進行連接，在