更新时间:2024-09-24 GMT+08:00

命令授权工单

堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。

当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。

图1 命令被拦截示例

本小节主要介绍如何管理命令控制工单。

约束限制

  • 仅SSH和Telnet协议类型的Linux主机,支持拦截敏感操作生成工单。
  • 命令授权工单由运维用户触发命令策略,自动创建,不能手动创建。

前提条件

  • 已获取“命令授权工单”模块管理权限。
  • 已触发命令拦截,生成命令授权工单。

操作步骤

  1. 登录堡垒机系统。
  2. 选择工单 > 命令授权工单,进入命令授权工单列表页面。

    图2 命令授权工单

  3. 提交工单。

    命令授权工单可通过“自动提交”“手动提交”。工单提交方式说明请参见配置工单基本模式
    • 若为自动提交方式,则由系统自动提交工单给管理员审批。
    • 若为手动提交方式,则需运维用户在工单列表页面,单击指定工单“操作”列的“提交”,手动提交工单给管理员审批。
    • 若工单被管理员驳回,可修改工单信息后再次提交工单。
      图3 已提交工单状态

  4. 撤回工单。

    单击指定工单“操作”列的“撤回”,即可取消已提交的工单申请,工单状态变为“已撤回”

  5. 修改工单信息。

    • 单击“管理”,进入工单详情页面,即可查看工单基本信息。
    • 单击工单详情页面编辑,即可修改工单授权运维时间。

    “审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”“待提交”状态的工单才能被修改。

  6. 删除工单。

    • 单击指定工单“操作”列的“删除”,可以删除该工单。
    • 同时勾选多个工单,单击列表下方的“删除”,批量删除多个工单。

    删除后工单信息不能找回,请谨慎操作。

后续管理

  • 运维用户提交工单后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。
  • 相关管理员审批工单通过后,运维用户权限立刻生效,即可在授权范围和时间段拥有命令操作权限。
  • 相关管理员撤销工单权限后,运维用户权限立刻失效,操作命令会再次被拦截。