文档首页/ 云堡垒机 CBH/ 快速入门/ 步骤一:登录云堡垒机系统
更新时间:2024-11-05 GMT+08:00

步骤一:登录云堡垒机系统

背景介绍

堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。

  • Web浏览器登录:支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。
  • SSH客户端登录:在不改变用户原来使用SSH客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。
  • MSTSC客户端登录:在不改变用户原来使用MSTSC客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。

前提条件

  • 已购买CBH实例,若从公网登录需要实例已绑定可用的EIP,具体的操作方法请参见购买云堡垒机
  • 实例的运行状态为“运行”,CBH系统在使用授权期内。
  • 已获取登录CBH系统的登录地址,以及登录验证信息。

通过Web浏览器登录堡垒机

  1. 启动浏览器,在Web地址栏中输入CBH系统登录地址,进入系统登录页面。

    登录地址:https://堡垒机实例EIP或私网IP。例如,https://10.10.10.10。

    • 未绑定EIP时,可通过私网IP登录,需确保用户本地网络与云堡垒机私网网络通畅。
    • 受浏览器兼容性限制,当浏览器版本与云堡垒机系统不匹配时,可能导致登录时获取不到验证信息,或登录后页面显示异常,建议使用推荐的浏览器及版本。推荐浏览器,请参见使用限制

  2. 选择登录认证方式。

    图1 堡垒机系统登录界面
    • 系统所有用户可选择配置“手机短信”“手机令牌”“USBKey”“动态令牌”多因子认证,详情请参考配置多因子认证
    • 配置多因子认证后,“密码登录”方式认证失效。
      表1 Web浏览器登录验证说明

      登录方式

      登录说明

      登录方式配置说明

      密码登录

      输入堡垒机系统的用户登录名和密码。

      默认登录方式。

      “AD域认证”“RADIUS认证”“LDAP认证”“Azure AD认证”用户登录密码为远程服务器用户密码,详情请参见远程认证配置

      手机短信

      输入堡垒机系统的用户登录名和密码,单击“获取验证码”,并输入短信验证码。

      需要已经为用户账号配置可用手机号码。

      手机令牌

      输入堡垒机系统的用户登录名和密码,并输入手机令牌的动态验证码(每隔一段时间就会变化)。

      说明:

      需确保用户登录系统时间与手机时间一致,精确到秒,否则会提示验证码错误。

      需用户先绑定手机令牌,再由管理员配置多因子认证,否则用户无法登录系统,详情请参考绑定手机令牌

      USBKey

      插入并选择已签发过的USBKey,并输入对应的PIN码。

      需已为用户签发USBKey,详情请参考签发USBKey

      动态令牌

      输入堡垒机系统的用户登录名和密码,并输入动态令牌的动态口令(每隔一段时间就会变化)。

      需已为用户签发动态令牌,详情请参考签发动态令牌

  3. 单击“登录”,成功登录堡垒机系统进行管理和运维操作。

    • 系统管理员admin为CBH系统第一个可登录用户,拥有系统最高操作权限,且无法更改权限配置,请妥善保管账号信息。
    • 在首次登录系统成功后,请所有用户按照系统提示修改密码和绑定手机号码,否则无法进入系统运行页面。登录系统后,可在个人中心修改用户基本信息。

通过SSH客户端登录堡垒机

用户获取资源运维权限后,可通过SSH客户端直接登录进行运维操作。

  • 支持使用SSH客户端运维的资源,包括SSH、TELNET和Rlogin协议类型主机资源。
  • 推荐使用客户端SecureCRT 8.0及以上版本、Xshell 5及以上版本。
  1. 打开本地SSH客户端工具,选择文件 > 新建,新建用户会话。
  2. 配置会话用户连接。

    • 方式一

      在新建会话弹出框,选择协议类型,输入系统登录IP地址、端口号(2222),单击“确认”。再输入系统用户登录名,单击“连接”,连接会话。

    • 方式二
      • 在新的空白会话窗口,执行登录命令:协议类型 用户登录名@系统登录IP 端口,例如执行ssh admin@10.10.10.10 2222,登录后选择目标服务器。
      • 在新的空白会话窗口,执行登录命令:协议类型 堡垒机用户登录名@主机账户名@Linux主机IP@堡垒机IP 端口,例如执行ssh admin@10.10.10.10@10.10.10.101 2222,可直接登录目标服务器。
    • 方式三
      • 在新的空白会话窗口,执行登录命令:协议类型 用户登录名@系统登录IP -p 端口,例如执行ssh admin@10.10.10.10 2222,登录后选择目标服务器。
      • 在新的空白会话窗口,执行登录命令:协议类型 堡垒机用户登录名@主机账户名@Linux主机IP@堡垒机IP -p 端口,例如执行ssh admin@10.10.10.10@10.10.10.101 -p 2222,可直接登录目标服务器。

    系统登录IP地址指堡垒机的IP地址(私有IP地址或弹性IP地址),且本地PC与该IP地址的网络连接正常。

  3. 用户身份验证。

    根据命令提示,在新建会话窗口,输入用户身份验证信息。

    SSH客户端登录认证支持“密码登录”“公钥登录”“手机短信”“手机令牌”“动态令牌”方式。其中“手机短信”“手机令牌”“动态令牌”方式,需配置用户多因子认证,详情请参考配置多因子认证
    表2 SSH客户端登录验证说明

    登录方式

    登录说明

    登录方式配置说明

    密码登录

    输入堡垒机系统的用户密码。

    默认登录方式。

    “AD域认证”“RADIUS认证”“LDAP认证”“Azure AD认证”用户登录密码为远程服务器用户密码,详情请参考远程认证管理

    公钥登录

    输入用于验证登录的私钥和私钥密码,登录验证成功后,再次登录时,该用户在SSH客户端可以免密登录。

    用户需要先生成用于验证登录的公私钥对,并在堡垒机系统内的“个人中心”处将SSH公钥添加到堡垒机系统中,具体的操作请参见添加SSH公钥

    手机短信

    “密码登录”“公钥登录”验证成功后,选择“短信验证码”方式,输入手机短信验证码。

    需已为用户账号配置可用手机号码。

    手机令牌

    “密码登录”“公钥登录”验证成功后,选择“手机令牌OTP”方式,输入手机令牌验证码。

    说明:

    需确保用户登录系统时间与手机时间一致,精确到秒,否则会提示验证码错误。

    需用户先绑定手机令牌,再由管理员配置多因子认证,否则用户无法登录系统,详情请参考绑定手机令牌

    动态令牌

    “密码登录”“公钥登录”验证成功后,选择“动态令牌OTP”方式,输入动态令牌验证码。

    需已为用户签发动态令牌,详情请参考签发动态令牌

  4. 登录到堡垒机系统,可查看系统简要信息,并运维已授权的资源。

    除了使用堡垒机用户密码直接登录外,还支持使用API方式登录堡垒机指定的资源账户,在获取URL地址后通过URL地址直接登录即可。

通过MSTSC客户端登录堡垒机

用户获取资源运维权限后,可通过MSTSC客户端直接登录进行运维操作。

  1. 打开本地远程桌面连接(MSTSC)工具。
  2. 在弹出的对话框中,“计算机”列,输入“堡垒机IP:53389”

    图2 配置计算机

  3. 单击“连接”,在登录页面完成登录。

    • username:堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口(默认3389),例如admin@Administrator@192.168.1.1:3389。

      “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户,且登录方式是”自动登录“,否则无法识别Windows主机资源账户,且无法生成运维审计文件。不支持实时会话运维。

    • password:输入当前堡垒机的用户密码。