登录系统概述
登录堡垒机时支持本地登录、IAM登录、admin三种登录方式,可根据需求使用账号选择对应的本地登录或IAM登录方式进行登录,admin可直接登录。
如果当前浏览器已通过任意方式登录,在登录其他账号时,需要将已登录的账号退出才可正常登录。
开放端口要求
为避免网络故障或网络配置问题影响登录系统,请管理员优先检查网络ACL配置是否允许访问堡垒机,并参考表1配置实例安全组。
- 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口,升级完成后若不需要使用请第一时间关闭。
- 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口,升级完成后保持31679开放即可,其余端口若不需要使用请第一时间关闭。
场景描述 |
方向 |
协议/应用 |
端口 |
---|---|---|---|
通过Web浏览器登录堡垒机(HTTP、HTTPS) |
入方向 |
TCP |
80、443、8080 |
通过MSTSC客户端登录堡垒机 |
入方向 |
TCP |
53389 |
通过SSH客户端登录堡垒机 |
入方向 |
TCP |
2222 |
通过FTP客户端登录堡垒机 |
入方向 |
TCP |
20~21 |
通过堡垒机的SSH协议远程访问Linux云服务器 |
出方向 |
TCP |
22 |
通过堡垒机的RDP协议远程访问Windows云服务器 |
出方向 |
TCP |
3389 |
通过堡垒机访问Oracle数据库 |
入方向 |
TCP |
1521 |
通过堡垒机访问Oracle数据库 |
出方向 |
TCP |
1521 |
通过堡垒机访问MySQL数据库 |
入方向 |
TCP |
33306 |
通过堡垒机访问MySQL数据库 |
出方向 |
TCP |
3306 |
通过堡垒机访问SQL Server数据库 |
入方向 |
TCP |
1433 |
通过堡垒机访问SQL Server数据库 |
出方向 |
TCP |
1433 |
通过堡垒机访问DB数据库 |
入方向 |
TCP |
50000 |
通过堡垒机访问DB数据库 |
出方向 |
TCP |
50000 |
通过堡垒机访问GaussDB数据库 |
入方向 |
TCP |
18000 |
通过堡垒机访问GaussDB数据库 |
出方向 |
TCP |
18000 |
License注册许可服务器 |
出方向 |
TCP |
9443 |
华为云服务 |
出方向 |
TCP |
443 |
同一安全组内通过SSH客户端登录堡垒机 |
出方向 |
TCP |
2222 |
短信服务 |
出方向 |
TCP |
10743、443 |
DNS域名解析 |
出方向 |
UDP |
53 |
通过堡垒机访问PGSQL数据库 |
入方向 |
TCP |
15432 |
通过堡垒机访问PGSQL数据库 |
出方向 |
TCP |
5432 |
认证类型
AD域、RADIUS、LDAP、Azure AD、SAML远程认证使用远程服务上的已有用户密码。
认证类型 |
认证说明 |
---|---|
本地认证 |
用户登录密码为系统配置静态密码。
|
AD域认证 |
用户登录密码为AD域用户密码。
|
RADIUS认证 |
用户登录密码为RADIUS服务器用户密码。
|
LDAP认证 |
用户登录密码为LDAP服务器用户密码。
|
Azure AD认证 |
用户登录密码为Microsoft用户账号密码。 需跳转到Microsoft登录页面,输入用户账户信息登录。
|
SAML认证 |
用户登录密码为SAML服务器用户密码。
|
登录方式
用户账号配置多因子认证后,静态密码登录方式失效。
登录方式 |
登录说明 |
---|---|
静态密码 |
输入用户登录名和密码。 |
手机短信 |
输入用户登录名和密码,单击“获取验证码”,并输入短信验证码。 |
手机令牌 |
输入用户登录名和密码,并输入手机令牌的动态验证码(每隔一段时间就会变化)。 |
USBKey |
接入并选择已签发的USBKey,并输入对应的PIN码。 |
动态令牌 |
输入用户登录名和密码,并输入动态令牌的动态口令(每隔一段时间就会变化) |