文档首页/ 云堡垒机 CBH/ 用户指南/ 系统资源/ 将纳管的主机或应用添加到资源账户
更新时间:2024-09-24 GMT+08:00

将纳管的主机或应用添加到资源账户

一个主机或应用可能有多个登录主机或应用的账户,每个被纳管的主机账户或应用账户对应一个资源账户。登录被纳管资源账户时,自动登录无需输入账号和密码。

当添加主机或应用未纳管账户和密码时,默认生成一个“Empty”账户,登录“Empty”资源账户时需手动输入账户名和相应密码。

本小节主要介绍纳管资源后,如何添加资源账户。

约束限制

  • Edge浏览器应用资源不支持配置自动登录资源账户。
  • 若资源安装了AD域服务,添加的资源账户为域名\资源账户名,例如ad\administrator。

前提条件

  • 已获取“资源账户”模块操作权限。
  • 已添加主机或应用资源。

新建单个资源账户

  1. 登录堡垒机系统。
  2. 选择资源 > 资源账户,进入资源账户列表页面。
  3. 单击“新建”,弹出资源账户编辑窗口,配置资源账户的属性。

    图1 新增资源账户
    表1 新建资源账户参数说明

    参数

    说明

    关联资源

    选择已添加的主机或应用资源。

    登录方式

    选择登录方式,可选择手动登录、自动登录、提权登录、CSMS凭据登录。

    • 选择“自动登录”“资源账户”“密码”为必填项。
    • 选择“手动登录”,可选配置“资源账户”
    • 选择“CSMS凭证登录”,可选配置仅为“CSMS凭证”“账户描述”
    • 选择“提权登录”,必须输入。
    • 仅针对SSH协议类型主机,可选择“提权登录”。选择后,“切换自”“切换命令”为必填项,可将原资源账户提权为特权账户。

    资源账户

    输入资源的账户名称。创建后不可修改,且系统内“资源账户”名唯一,不能重复。

    勾选“特权账户”,即该账户可标识为管理资源的特权账户,拥有改密权限。

    密码

    资源账户对应的密码。

    默认勾选“验证”,配置完成确定后,自动验证资源账户的状态。
    • 验证账户通过后,直接保存资源相关信息。
    • 验证账户不通过,根据提示修改配置。

      提示验证账户超时,请修改资源的相关配置信息。

      提示账户密码错误,请返回配置窗口,确认并修改资源账户密码。

    SSH Key

    针对SSH协议类型主机,可配置登录SSH Key验证。

    配置后优先使用SSH Key登录SSH主机资源。

    Passphrase

    针对SSH协议类型主机,SSH Key对应私钥序列。

    CSMS凭证

    (仅登录方式选择CSMS凭证登录时可见)选择需要纳管的CSMS凭证。

    切换自

    针对SSH协议类型主机,选择已配置SSH主机资源账户,将该账户提权为特权账户。

    切换命令

    针对SSH协议类型主机,配置相应切换命令,例如su root

    账户描述

    对资源账户的简要描述。

  4. 单击“确定”,返回资源账户列表页面,看到新建的账户。

批量导入资源账户

文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。

  1. 登录堡垒机系统。
  2. 选择资源 > 资源账户,进入资源账户列表页面。
  3. 单击界面右上角的“导入”,弹出配置界面。

    图2 导入资源账户

  4. 如果本地没有可编辑的模板,可以单击“单击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写要导入的账户配置信息。

    表2 资源账户导入模板参数说明

    参数

    说明

    账户

    (必填)填入资源账户名称。

    登录方式

    选择资源登录方式。

    • 可选择自动登录、手动登录、提权登录。

    特权账户

    选择是否设置资源账户为特权账户。

    • 可选择是或否。

    密码

    填入资源账户的登录密码。

    SSH Key

    针对SSH协议类型主机,可填入登录SSH Key验证。

    配置后优先使用SSH Key登录资源。

    Passphrase

    填入SSH Key对应私钥序列。

    Oracle参数

    针对Oracle协议类型主机,必须填入参数。

    • 可选择SERVICE_NAME或SID
    • 可填入多个参数,参数之间用“,”隔开。

    SERVICE_NAME或SID

    针对Oracle协议类型主机,必须填入参数值。

    • 可填入多个参数值,参数值之间用“,”隔开。

    登录角色

    针对Oracle协议类型主机,必须填入参数。

    • 可选择normal、sysdba、sysoper
    • 可填入多个参数,参数之间用“,”隔开。

    数据库名

    针对DB2数据库,必须填入参数。

    • 可选择数据库名、实例名。
    • 可填入多个参数,参数之间用“,”隔开。

    实例名

    针对DB2数据库,必须填入参数。

    • 可选择数据库名、实例名。
    • 可填入多个参数,参数之间用“,”隔开。

    切换自

    填入一级账户名称。

    切换命令

    填入切换账户的执行命令。

    AD域

    针对Radmin类型应用资源,必须填入AD域地址。

    账户描述

    填入对资源账户的简要描述。

    关联资源名称

    填入已添加到主机列表或应用列表的资源名称。

    IP地址/域名

    针对关联主机资源,必须填入主机资源的IP地址或域名。

    类型

    (必填)填入主机资源的协议类型或应用资源的应用类型。

    • 主机资源协议类型:SSH、RDP、TELNET、FTP、SFTP、VNC 、DB2、MySQL、SQL Server、Oracle、SCP、PostgreSQL、GaussDB。
    • 应用资源应用类型:IE、Firefox-Windows、Chrome、VNC Client、SecBrowser、VSphere Client、Radmin、dbisql、Other、Mysql Tool、Sql Server Tool、Oracle Tool、Rlogin、Firefox-Linux、DM Tool、KingbaseES Tool、GBaseDataStudio for GBase8a、X11。

    端口

    针对关联主机资源,必须填入主机端口号。

    账户组

    填入资源账户所属的账户组。

    • 资源账户可同时存在于同部门多个账户组,不同账户组之间用“,”隔开。
    • 请务必确保填入系统内已创建的账户组

  6. 单击“单击上传”,选择要导入的文件。
  7. (可选)勾选“覆盖已有账户”,默认不勾选。

    • 勾选,表示当账户名称重复时,覆盖原有账户信息。
    • 不勾选,表示当账户名称重复时,跳过重复的账户信息。

  8. (可选)勾选“验证账户”,默认勾选。

    • 勾选,表示当导入账户信息时,同时验证账户状态。
    • 不勾选,表示当导入账户信息时,不验证账户状态。

  9. 单击“确定”,返回资源账户列表页面,查看新增的账户。

批量创建资源账户

可同时为多台主机创建资源账户。

  1. 登录堡垒机系统。
  2. 选择资源 > 主机管理,进入主机管理列表页面。
  3. 勾选需要创建账户的多台主机,单击下方的更多 > 添加账户

    只支持协议类型相同的主机。

  4. 填写添加的账户信息,如表3所示。

    表3 批量添加资源账户参数

    参数名称

    参数说明

    登录方式

    选择创建的账户的登录方式。

    • 自动登录
    • 手动登录
    • CSMS凭证登录
    • 提权登录

    主机账户

    添加账户的名称,可自定义。

    如果登录方式选择自动登录,则该项为必选项。

    密码

    添加账户的密码。

    SSH Key

    如果当前账户需要SSH Key方式登录,则需要填写该项。

    支持PEM或RFC4716格式的RSA私钥,填写之后将优先通过SSH Key登录。

    passphrase

    SSH Key对应的口令、密码,需先填写SSH Key,如果SSH Key为免密,则该项不需要填写。

    CSMS凭证

    仅支持登录方式选择CSMS凭证时需要选择填写。

    账户描述

    当前账户的描述。

    描述最长128个汉字或字符。

    更多选项

    自主选择勾选项。

    • 覆盖已有账户:如果账户名重复,是否覆盖已有的账户信息。
    • 验证账户:验证添加的账户是否可正常登录,仅支持登录方式为自动登录。

  5. 确认无误,单击“确认”,完成创建。