更新时间:2024-09-24 GMT+08:00

配置用户登录限制

背景介绍

为加强用户账号登录管理,堡垒机支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。

  • 多因子认证:指开启多因子认证后,用户登录时通过发送短信口令、动态令牌、USBKey等二次认证用户身份。
  • 有效期:指用户账号的使用有效期,仅在限定时间内可登录。
  • 登录时段限制:指用户账号限定登录星期和时刻。
  • 登录IP地址限制:指限制指定来源IP地址的用户登录。
  • 登录MAC地址限制:指在局域网内限制指定MAC地址的用户登录。

约束限制

  • 为正常使用“手机令牌”多因子认证,需确保系统时间与绑定手机时间一致,精确到秒。否则使用手机令牌登录时,口令将验证失败。
  • 系统默认内置短信网关有短信发送频率和条数限制,为避免对“手机短信”多因子认证登录造成影响,可设置“自定义”短信网关,详情请参见短信网关配置
  • 由于MAC地址属于数据链路层,用于局域网寻址。MAC地址在传输过程中经过路由或主机,地址会发生变化,因此“登录MAC地址限制”仅在局域网生效。
  • admin用户配置了多因子认证,无法登录系统取消多因子认证配置,请联系技术支持。

前提条件

  • 已获取“用户”模块操作权限。
  • 若需开启“手机令牌”多因子认证,用户需已在个人中心绑定手机令牌,否则用户账号将无法登录。

操作步骤

  1. 登录堡垒机系统。
  2. 选择用户 > 用户管理,进入用户列表页面。
  3. 单击需修改的用户登录名,或者单击“管理”,进入“用户详情”页面。
  4. 单击“用户配置”区域的“编辑”,弹出用户登录限制配置窗口。

    表1 用户登录限制参数说明

    参数

    说明

    多因子认证

    勾选认证方式,可选择“手机短信”“手机令牌”“USBKey”“动态令牌”

    • 默认都不勾选,即关闭多因子认证,仅通过本地密码验证身份。
    • 手机短信:用户账号需先绑定可接收短信的手机号码后,再配置手机短信多因子认证。
    • 手机令牌:先由用户在个人中心绑定手机令牌后,再配置手机令牌多因子认证。
    • USBKey:为生效USBKey多因子认证,用户账号需再关联签发USBKey
    • 动态令牌:为生效动态令牌多因子认证,用户账号需再关联签发动态令牌

    IAM登录

    启用后,允许直接从IAM登录到堡垒机。

    有效期

    设置用户账号使用有效期,包括生效时间和失效时间。

    登录时段限制

    设置允许或禁止用户账号登录的星期和时刻。

    登录IP地址限制

    选择黑白名单方式,设置IP地址或地址段。

    • 选择“黑名单”,并配置IP地址或地址段,限制该IP地址或地址段的用户登录。
    • 选择“白名单”,并配置IP地址或地址段,仅允许该IP地址或地址段的用户登录。
    • 选择“黑名单-名单内多因子登录”,并配置IP地址或地址段。该IP地址或地址段名单内的用户,仅允许通过多因子认证方式登录。
    • 选择“白名单-名单外多因子登录”,并配置IP地址或地址段。该IP地址或地址段名单外的用户,仅允许通过多因子认证方式登录。
    • IP地址缺省状态下,即不限制IP地址登录堡垒机。

    登录MAC地址限制

    选择黑白名单方式,设置MAC地址。

    • 选择“黑名单”,并配置相应MAC地址,限制该MAC地址用户登录。
    • 选择“白名单”,并配置相应MAC地址,仅允许该MAC地址用户登录。
    • MAC地址缺省状态下,不限制MAC地址登录堡垒机。

  5. 单击“确定”,返回用户详情页面,即可查看用户登录配置信息。

批量修改用户登录配置

  1. 登录堡垒机系统。
  2. 在左侧导航树中,选择用户 > 用户管理,进入用户列表页面。
  3. 勾选待修改配置的用户账号,单击左下角“更多”,展开批量操作项。
  4. 批量修改或取消多因子认证配置。

    1. 单击“修改多因子认证”,弹出多因子认证修改窗口。
      图1 修改账号多因子认证方式
    2. 勾选或去掉目标多因子认证方式。
    3. 单击“确定”,即完成配置修改。

  5. 批量修改或取消有效期配置。

    1. 单击“修改有效期”,弹出有效期修改窗口。
    2. 勾选账号生效期或失效期,并选择目标日期和时间。去掉勾选,则取消有效期配置。
    3. 单击“确定”,即完成配置修改。

  6. 批量修改登录时段限制配置。

    1. 单击“登录时段限制”,弹出登录时段配置窗口。
    2. 选择允许或禁止账号登录的目标星期和时刻。
    3. 单击“确定”,即完成配置修改。

  7. 批量修改或取消登录IP地址限制配置。

    1. 单击“登录IP地址限制”,弹出登录IP配置窗口。
    2. 选择黑白名单限制方式,并输入或删除目标IP地址或地址段。
    3. 单击“确定”,即完成配置修改。

  8. 批量修改或取消登录MAC地址限制配置。

    1. 单击“MAC地址限制”,弹出登录MAC配置窗口。
    2. 选择黑白名单限制方式,并输入或删除目标MAC地址。
    3. 单击“确定”,即完成配置修改。