文档首页> 云堡垒机 CBH> 常见问题> CBH系统登录> 登录方式及密码类> 云堡垒机系统有哪些登录认证方式?
更新时间:2023-12-05 GMT+08:00

云堡垒机系统有哪些登录认证方式?

云堡垒机的认证方式是系统全局可选择设置,即系统所有用户都可选择认证方式,包括本地认证、多因子认证(手机令牌、手机短信、USBKey、动态令牌)、远程认证(AD域、RADIUS、LDAP、Azure AD)。

  • 用户账号配置多因子认证后,仅可通过多因子认证方式登录。通过登录名和密码不能登录,本地认证方式验证失效。
  • 配置了多种双因子认证时,可任意选择其中一种方式登录云堡垒机系统。

本地认证

系统默认,即通过“密码登录”方式验证系统用户登录名密码,认证登录用户身份。

手机令牌

通过“手机令牌”方式同时验证登录名密码手机动态码,认证登录用户身份。

在使用手机令牌登录前,用户需通过密码登录系统,配置手机令牌绑定方式,并绑定手机令牌。再由管理员配置用户登录认证方式,选择“手机令牌”多因子认证。

手机短信

通过“手机短信”方式同时验证登录名密码短信验证码,认证登录用户身份。

用户账号需先配置可使用手机号码,再由管理员配置用户登录认证方式,选择“手机短信”多因子认证。

USBKey

通过“USBKey”方式验证插入的USBKey和PIN码,认证登录用户身份。

需先申购USBKey,签权绑定,再使用USBKey进行身份认证。

动态令牌

通过“动态令牌”方式同时验证登录名密码动态令牌,认证登录用户身份。

需先申购动态令牌,签权绑定,再使用动态令牌进行身份认证。

AD域认证

管理员配置AD系统认证方式,创建AD域认证用户或同步AD域服务器用户。使用“密码登录”方式验证AD域用户账户和密码时,通过Windows AD域服务器对系统用户进行身份认证。

基本原理:通过AD域系统终端代理使用第三方库执行认证业务。
  • IP:AD域服务器的IP地址。
  • 端口:根据实际情选择,默认选择389端口。
  • 域:AD域的域名。

RADIUS认证

管理员配置RADIUS系统认证方式,并创建RADIUS认证用户。使用“密码登录”验证RADIUS用户账户和密码时,通过RADIUS协议,由第三方认证服务器对系统用户进行身份认证。

基本原理:通过远程网络接入设备的用户,与包含用户认证和配置信息的服务器之间,采用用户/服务器模式交换信息标准,执行认证业务。
  • IP:RADIUS服务器的IP地址。
  • 端口:根据实际情选择,默认选择1812端口。
  • 认证共享密钥:RADIUS的认证密码。
  • 测试:用RADIUS的账号密码做测试。

LDAP认证

管理员配置LDAP认证方式,并创建LDAP认证用户。使用“密码登录”验证LDAP用户账户和密码时,通过轻量级目录访问协议,由第三方认证服务器对系统用户进行身份认证。

基本原理:LDAP基于TCP/IP协议的目录访问协议,是Internet上目录服务的通用访问协议,形式一个树状目录类的数据库。
  • IP:LDAP服务器的IP地址。
  • 端口:根据实际情况选择,默认选择389端口。
  • 用户OU:LDAP中树状形式的组织信息,DN是分支节点到根目录的路径,Base_DN则是基准DN,即LDAP搜索的起始DN为用户的组织单元ou。例如:如果开始搜索的DN的组织单元为ou1,则Base_DN为ou=ou1,o=O。

Azure AD认证

管理员需先在Azure平台创建企业应用程序,并将平台用户加入企业应用程序;再在云堡垒机系统配置Azure AD认证,并添加Azure平台已加入应用程序的用户。使用Azure认证入口验证用户身份时,跳转到Azure登录窗口,输入用户账号和密码,由第三方认证平台验证通过后,跳转登录云堡垒机系统。

基本原理:Azure AD认证基于SAML协议,通过在Azure平台配置企业应用程序,将Azure AD用作企业使用的应用程序的标识,认证登录用户身份。

登录方式及密码类 所有常见问题

more