更新时间:2024-09-24 GMT+08:00

登录系统概述

登录堡垒机时支持本地登录、IAM登录、admin三种登录方式,可根据需求使用账号选择对应的本地登录或IAM登录方式进行登录,admin可直接登录。

如果当前浏览器已通过任意方式登录,在登录其他账号时,需要将已登录的账号退出才可正常登录。

开放端口要求

为避免网络故障或网络配置问题影响登录系统,请管理员优先检查网络ACL配置是否允许访问堡垒机,并参考表1配置实例安全组。

  • 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口,升级完成后若不需要使用请第一时间关闭。
  • 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口,升级完成后保持31679开放即可,其余端口若不需要使用请第一时间关闭。
表1 入/出方向规则配置参考

场景描述

方向

协议/应用

端口

通过Web浏览器登录堡垒机(HTTP、HTTPS)

入方向

TCP

80、443、8080

通过MSTSC客户端登录堡垒机

入方向

TCP

53389

通过SSH客户端登录堡垒机

入方向

TCP

2222

通过FTP客户端登录堡垒机

入方向

TCP

20~21

通过堡垒机的SSH协议远程访问Linux云服务器

出方向

TCP

22

通过堡垒机的RDP协议远程访问Windows云服务器

出方向

TCP

3389

通过堡垒机访问Oracle数据库

入方向

TCP

1521

通过堡垒机访问Oracle数据库

出方向

TCP

1521

通过堡垒机访问MySQL数据库

入方向

TCP

33306

通过堡垒机访问MySQL数据库

出方向

TCP

3306

通过堡垒机访问SQL Server数据库

入方向

TCP

1433

通过堡垒机访问SQL Server数据库

出方向

TCP

1433

通过堡垒机访问DB数据库

入方向

TCP

50000

通过堡垒机访问DB数据库

出方向

TCP

50000

通过堡垒机访问GaussDB数据库

入方向

TCP

18000

通过堡垒机访问GaussDB数据库

出方向

TCP

18000

License注册许可服务器

出方向

TCP

9443

华为云服务

出方向

TCP

443

同一安全组内通过SSH客户端登录堡垒机

出方向

TCP

2222

短信服务

出方向

TCP

10743、443

DNS域名解析

出方向

UDP

53

通过堡垒机访问PGSQL数据库

入方向

TCP

15432

通过堡垒机访问PGSQL数据库

出方向

TCP

5432

认证类型

AD域、RADIUS、LDAP、Azure AD、SAML远程认证使用远程服务上的已有用户密码。

表2 认证类型说明

认证类型

认证说明

本地认证

用户登录密码为系统配置静态密码。

  • 可选择多因子认证方式登录。
  • 可重置用户密码、个人找回密码、个人修改密码。

AD域认证

用户登录密码为AD域用户密码。

  • 可选择多因子认证方式登录。
  • 不能通过系统修改用户密码。

RADIUS认证

用户登录密码为RADIUS服务器用户密码。

  • 可选择多因子认证方式登录。
  • 不能通过系统修改用户密码。

LDAP认证

用户登录密码为LDAP服务器用户密码。

  • 可选择多因子认证方式登录。
  • 不能通过系统修改用户密码。

Azure AD认证

用户登录密码为Microsoft用户账号密码。

需跳转到Microsoft登录页面,输入用户账户信息登录。

  • 不能选择多因子认证方式登录。
  • 不能通过系统修改用户密码。

SAML认证

用户登录密码为SAML服务器用户密码。

  • 可选择多因子认证方式登录。
  • 不能通过系统修改用户密码。

登录方式

用户账号配置多因子认证后,静态密码登录方式失效。

表3 登录方式说明

登录方式

登录说明

静态密码

输入用户登录名和密码。

手机短信

输入用户登录名和密码,单击“获取验证码”,并输入短信验证码。

手机令牌

输入用户登录名和密码,并输入手机令牌的动态验证码(每隔一段时间就会变化)。

USBKey

接入并选择已签发的USBKey,并输入对应的PIN码。

动态令牌

输入用户登录名和密码,并输入动态令牌的动态口令(每隔一段时间就会变化)