文档首页/ 云堡垒机 CBH/ 用户指南/ 系统用户/ 用户管理/ 新建用户并授权用户角色
更新时间:2024-12-03 GMT+08:00

新建用户并授权用户角色

堡垒机系统的一个用户代表一个可登录自然人,支持新建本地用户,批量导入用户,以及同步AD域用户。

系统管理员admin是系统最高权限用户,也是系统第一个可登录用户。

约束限制

为用户配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。修改用户角色管理权限,请参见修改角色信息

前提条件

  • 新建单个用户和批量导入用户,需已获取“用户”模块操作权限。
  • 同步AD域用户,需已获取“系统”模块操作权限。

新建单个用户

  1. 登录堡垒机系统。
  2. 在左侧导航树中,选择用户 > 用户管理,进入用户列表页面。
  3. 在界面的右上角,单击“新建”,弹出用户信息配置窗口。

    图1 新建用户信息
    表1 新建用户参数说明

    参数

    说明

    登录名

    自定义登录系统的用户名。

    创建后不可修改,且系统内“登录名”唯一不能重复。

    认证类型

    选择登录系统的认证方式。

    • 本地:系统默认方式,即通过系统自身的账号管理系统进行身份认证。
    • AD域:通过Windows AD域服务器对用户进行身份认证。
    • LDAP:通过LDAP协议,由第三方认证服务器对用户进行身份认证。
    • RADIUS:通过RADIUS协议,由第三方认证服务器对用户进行身份认证。
    • Azure AD:基于SAML配置,由Azure平台对登录用户进行身份认证。
      说明:

      若需启用AD域、LDAP、RADIUS、Azure AD远程认证方式的用户,需先在系统配置远程认证服务器信息,详细操作请参见认证配置

    域名

    “认证类型”选择“Azure AD”时,需要配置此项。

    需输入在Azure平台用户注册时的后缀。

    密码/确认密码

    “认证类型”选择“本地”时,需要配置用户登录系统的密码。

    姓名

    自定义用户姓名。

    用户账号使用人员的姓名,便于区分不同的用户。

    手机

    输入手机号码。

    用户账号系统预留手机号码,用于手机短信登录或找回密码。

    邮箱

    输入邮箱地址。

    用户账号系统预留邮箱地址,用于通过邮箱接收系统消息通知。

    角色

    选择用户的角色,一个用户仅能配置一个角色。

    缺省情况下,系统角色包括部门管理员、策略管理员、审计管理员和运维员。

    • 部门管理员:负责部门管理,除“用户管理”“角色管理”模块之外,部门管理员拥有其他全部模块的配置权限。
    • 策略管理员:负责策略权限的配置,拥有“用户组管理”“资源组管理”“访问策略管理”等模块的配置权限。
    • 审计管理员:负责系统和运维数据的审计,拥有“实时会话”“历史会话”“系统日志”等模块的配置权限。
    • 运维员:系统普通用户和资源操作人员,拥有“主机运维”“应用运维”“授权工单”模块的操作访问权限。
    • 自定义的角色:仅admin可自定义新角色或编辑默认角色的权限范围,详细介绍请见角色概述

    所属部门

    选择用户所属部门组织。如何创建系统部门,请参见新建部门

    用户描述

    (可选)对用户情况的简要描述。

  4. 单击“确定”,返回用户列表,即可查看和管理新建的用户。

批量导入用户

  1. 登录堡垒机系统。
  2. 在左侧导航树中,选择用户 > 用户管理,进入用户列表页面。
  3. 单击界面右上角的,弹出导入用户操作窗口。
  4. 单击“单击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写用户信息。

    表2 用户导入模板参数说明

    参数

    说明

    登录名

    (必填)填入自定义登录系统的用户名。

    认证类型

    (必填)填入认证方式,仅能填写一种类型。

    可选择填入字样:本地,RADIUS,AD域,LDAP,Azure AD、IAM。

    密码

    (必填)选择认证类型为“本地”时,填入自定义的用户登录密码。

    认证服务器/域名

    (必填)选择认证类型为“AD域”“LDAP”“Azure AD”时,按填写格式要求,填入认证服务器。

    • AD域认证填写格式为IP:PORT,例如10.10.10.10:389。
    • LDAP认证填写格式为IP:'PORT/ou=test,dc=test,dc=com',例如10.10.10.10:'389/ou=test,dc=com'。
    • Azure AD认证时填写域名。

    姓名

    填入使用人员的姓名。

    手机

    填入使用人员的手机号码。

    邮箱

    (必填)填入使用人员的邮箱地址。

    角色

    (必填)填入用户的系统角色。

    • 仅能填入一个角色类型,
    • 默认可选角色包括部门管理员、策略管理员、审计管理员和运维员。
    • 请务必确保填入系统内已创建的角色

    所属部门

    (必填)填入用户所归属的部门,需完整填写部门结构。

    • 仅可填入一组部门层级,一个用户只能分属一个部分。
    • 默认可填入部门为总部,部门上下级之间用“,”隔开。
    • 请务必确保填入系统内已创建的部门

    用户描述

    填入对用户账号的简要描述。

    用户组

    填入用户账号所属的用户组。

    • 用户账号可同时存在于同部门多个用户组,不同用户组之间用“,”隔开。
    • 请务必确保填入系统内已创建的用户组

  6. 单击“单击上传”,选择已填入用户信息的模板文件。
  7. (可选)勾选“覆盖已有用户”

    • 勾选,表示覆盖同“登录名”的用户账号,刷新用户信息。
    • 不勾选,表示跳过同“登录名”的用户账号。

  8. 单击“确定”,返回用户列表中,即可查看和管理新增的用户。

同步AD域用户

堡垒机通过配置AD认证“同步模式”,可一键同步AD域服务器上已有用户信息,无须手动创建用户。在用户账号登录系统时,由AD域服务器提供身份认证服务。

  1. 登录堡垒机系统。
  2. 选择系统 > 系统配置 > 认证配置,进入远程认证配置管理页面。
  3. 单击“AD认证配置”区域的“添加”,弹出AD认证配置窗口。
  4. 选择AD域认证“模式”“同步模式”,展开同步模式参数配置信息。

    表3 AD域同步用户参数说明

    参数

    说明

    服务器地址

    输入AD域服务器地址。

    状态

    选择开启或关闭AD域远程认证,默认开启。

    • 开启,表示开启AD域认证。在配置信息有效情况下,登录系统时启动AD域认证,或同步AD域用户。
    • 关闭,表示关闭AD域认证。

    SSL

    选择开启或关闭SSL加密认证,默认关闭。

    • 关闭,表示禁用SSL加密认证。
    • 开启,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。

    模式

    选择“同步模式”

    端口

    AD域远程服务器的接入端口,默认389端口。

    登录名

    输入AD域服务器的账户的登录名。

    密码

    输入AD域服务器的账户的密码。

    输入AD域的域名。

    Base DN

    输入AD域远程服务器上的基准DN。

    部门过滤

    输入AD域远程服务器上待过滤的部门。

    用户过滤

    输入AD域远程服务器上待过滤的用户。

    登录名过滤

    输入待过滤的用户登录名,过滤多个登录名用“|”隔开。

    姓名

    输入AD域远程服务器上代表用户姓名的属性名,例如name。

    邮箱

    输入AD域远程服务器上代表用户邮箱的属性名,例如mail。

    手机

    输入AD域远程服务器上代表用户手机的属性名,例如mobile。

    同步方式

    选择同步AD域用户的方式,包括“手动同步”“自动同步”

    • 手动同步:信息配置完成后,手动执行用户同步操作。
    • 自动同步:信息配置完成后,按照配置自动执行用户同步。需同时配置“同步时间”“同步周期”“结束时间”

    目标部门

    选择将用户账号的所归属的系统部门。

    更多

    • 勾选“覆盖已有用户”
      • 勾选,表示覆盖同“登录名”的用户账号,刷新用户信息。
      • 不勾选,表示跳过同“登录名”的用户账号。
    • 勾选“同步用户状态”,可将用户当前状态同步至堡垒机,建议勾选。

  5. (可选)如需选择同步AD域服务器中的用户,单击“下一步”,获取AD域服务器用户源部门结构。

    • 默认开启“同步全部用户”
    • 勾选用户源上级部门,即该部门下级部门所有用户都将纳入导入源范畴。
    • 开启“创建新部门”,根据AD域的部门结构,同步新建系统部门并同步部门中用户。

  6. 单击“确认”,返回AD域认证服务器表中,即可查看和管理的AD认证配置信息。
  7. 单击“立即同步”,立即启动同步AD域用户到堡垒机,返回用户列表,即可查看同步的用户信息。