管理员快速入门
操作场景
超级管理员admin或其他拥有管理员权限的用户,可以通过控制台管理并配置堡垒机。
本文以如下配置为例,介绍管理员常用操作指导。
- 版本规格:标准版
- 纳管资产:Linux主机资源
- 用户类型:本地用户
- 文件服务器:SFTP类型
操作流程
| 操作步骤 | 说明 |
|---|---|
| 准备待纳管至堡垒机的资产信息,以及用于配置数据归档的文件服务器。 | |
| 管理员创建不同角色的账号实现权限的细分管理。 | |
| 管理员添加需要纳管的Linux资源,实现通过堡垒机访问资源。 | |
| 管理员为资源绑定管理角色,同时配置登录的时间段、操作权限、黑名单或白名单等信息,创建对资源的访问控制策略。 | |
| 管理员管理运维会话数据归档及存储。 |
步骤一:创建用户
- 单击
,将控制台切换到“管理控制台”模式。 - 在左侧导航树,选择,进入用户列表页面。
- 单击“新建”,设置用户信息后,单击“确定”。
表1 创建用户参数说明 分类
参数
示例
说明
基本信息
用户名
test
自定义用户名称,全局唯一,设置之后将不可更改。
平台角色
普通用户
选择用户角色,包括系统预置的超级管理员、系统管理员、安全管理员、安全审计员、普通用户,或其他自定义角色。
单击
,可查看各角色拥有的具体权限。部门
root
选择用户所属部门。
认证源
本地认证
选择用户认证方式,支持本地认证、RADIUS、AD、LDAP、钉钉、企业微信等多种认证方式。
本地密码
自动生成
设置用户的登录密码。
- 自动生成:系统自动生成密码。
- 自定义用户密码:在输入框中自行输入密码,请确保输入的密码满足如下要求。
- 最小长度8,最大长度64。
- 至少包含3种字符类型。
- 不能与用户名相同。
- 不能与用户名逆序相同。
密码发送至用户邮箱或手机
暂不勾选
勾选后,设置的用户密码将发送至您已配置的邮箱或手机。
如需勾选,请确保已配置邮件服务器或短信网关,并填写用户邮箱或手机。
同步源
本地认证
用户使用远程认证时,可自定义选择用户数据的同步来源。
安全配置
状态
启用
设置用户状态。
- 启用(默认):用户创建成功后,该用户可正常登录堡垒机进行操作。
- 禁用:用户创建成功后,该用户无法登录堡垒机进行操作。
多因素认证
跟随系统
选择用户多因素认证类型。
- 跟随系统(默认):该用户的认证方式始终与系统配置的认证方式保持一致(系统配置路径:)。
- 自定义:可指定该用户的认证方式,认证方式包括“密码和第三方USBKEY”、“密码和RADIUS动态口令”、“密码和短信口令”、“密码和手机OTP口令”、“密码”。
有效期
永久
设置用户有效期。
- 永久(默认):该用户永久有效
- 自定义:自定义有效期,超出有效期后,该用户将无法登录堡垒机。
更多信息
用户组
暂不填写
选择用户所属用户组。
手机号
暂不填写
设置用户手机号,用于接收系统通知。
邮箱
暂不填写
设置用户邮箱,用于接收系统通知。
备注
暂不填写
用户备注信息。
- 在“新建用户成功”页面,单击“复制信息”,可获取该用户的登录URL、认证源、用户名及密码。请妥善保管该信息,供后续提供给运维人员使用。 图1 复制用户信息
- 单击“返回用户列表”,您可以在用户列表中查看新建的用户。
步骤二:创建资产
- 在左侧导航树,选择,进入资产列表页面。
- 单击“新建”,进入新建资产页面。
- “资产模板”选择“Linux”,单击“下一步”。 图2 选择资产模板
- 参考表2设置资产信息后,单击“下一步”。 图3 设置资产信息
- 配置资产账号后,单击“确定”。
步骤三:创建授权规则
- 在左侧导航树,选择,进入“规则视图”页面。
- 单击“新建”,参考表3配置完成后,单击“确定”。 图4 新建授权规则
表3 授权规则参数说明 参数
示例
说明
规则名称
rule01
自定义授权规则名称,仅用于识别,项目内不可重复。
最多可输入150个字符。
有效期
永久
设置授权规则生效的时间期限。
- 永久:长期有效。
- 自定义:自定义有效期时间段,仅该时间段内授权有效。
备注
暂不填写
自定义授权规则的备注信息。
授权用户
所有用户
选择授予资产操作和管理权限的堡垒机用户或用户组。
- 所有用户:表示授权给当前项目内用户列表中的所有用户。
- 指定用户:表示只授权给当前项目内的用户或用户组。
- 单击“添加”,选择“添加用户”或“添加用户组”,右侧弹出选择用户或选择用户组窗口,勾选用户或用户组,单击“确定”。
- 勾选用户或用户组,单击“删除”,即可删除所选用户或用户组。
授权资产
按资产授权,并勾选在步骤二:创建资产中创建的“Linux host”资产
选择授权的资产。
- 按资产授权:将指定资产授权给所选用户。
- 按账号授权:选择需要授权的账号,将所选账号下的资产,授权给所选用户。
- 按资产目录授权:选择需要授权的资产目录,将所选资产目录下的资产,授权给所选用户。
- 按资产标签授权:选择需要授权的资产标签,将所选资产标签匹配的资产,授权给所选用户。
- 按账号标签授权:选择需要授权的账号标签,将所选账号标签匹配的资产,授权给所选用户。
- 按动态账号组授权:选择需要授权的动态账号组,将动态账号组匹配的资产,授权给所选用户。
授权生效时间段
保持默认
设置用户允许登录当前运维规则授权资产的时间段。绿色代表生效,白色代表不生效。
授权生效IP范围
暂不填写
对指定IP或IP地址段授权登录或禁止登录当前授权规则授权的资产。
- 对以下IP不生效:在IP列表中填写IP地址范围,表示该范围内的IP地址不可以登录当前授权规则授权的资产,其他IP地址均可登录。
- 对以下IP生效:在IP列表中填写IP地址范围,表示仅该范围内的IP地址可以登录当前授权规则授权的资产。
- 不设置,则表示所有IP地址均可以登录当前授权规则授权的资产。
步骤四:配置数据归档
- 在左侧导航树,选择,进入数据管理页面。
- 配置文件服务器。
- 单击“文件服务器”页签,进入文件服务器页面。
- 单击“新建”,参考表4配置。 图5 新建文件服务器
表4 文件服务器参数说明 参数
示例
说明
名称
sftp
自定义名称,仅用于识别服务器。
地址
192.xx.xx.xx
输入文件服务器的IP地址或域名。
服务
SFTP
选择接入的文件服务器类型,支持FTP、SFTP、NFS、CIFS和OBS。
端口
22
输入文件服务器的访问端口,FTP默认为21,SFTP默认为22,文件服务器侧如有变更,请按实际填写。
当“服务”选择为“FTP”或“SFTP”时,需要设置此参数。
账号名
请根据实际情况填写
输入登录文件服务器的账号名。
当“服务”选择为“FTP”、“SFTP”或“CIFS”时,需要设置此参数。
密码
请根据实际情况填写
输入登录文件服务器的密码。
当“服务”选择为“FTP”、“SFTP”或“CIFS”时,需要设置此参数。
- 单击“测试连接”,测试成功后,单击“确定”。
- 配置录像归档。
- 单击“数据管理”页签,进入数据管理页面。
- 在“录像归档”区域,开启状态。
- 参考表5配置完成后,单击“保存”。 图6 录像归档
表5 录像归档参数说明 参数
示例
说明
时段
保持默认
设置每天进行录像归档的时段,有效值0-23。选择次日会进行跨天归档,此时填写的开始时间应大于次日时间。
速度限制
0
限定录像归档时的传输速度,单位为MB/s,有效值0-100,如果设置为0,则不限制传输速度。
时间范围
暂不设置
设置归档录像的时间范围。
- 如果设置了时间范围,则仅归档在所设置的时间范围内堡垒机所产生的录像数据。
- 如果不设置,则将一直对在堡垒机上产生的录像数据进行归档。
文件服务器
sftp
选择归档文件的文件服务器。
若无可选的文件服务器,请先参考2进行创建。
路径
/test 设置录像文件的归档路径。
- 请填写相对路径,例如填写:/test(对应的绝对路径为:文件服务器配置路径/test)。
- 请确保用户具有此路径的写入权限,若路径不存在,将自动创建该路径。
