步骤一：登录云堡垒机系统

背景介绍

云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。

• Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。
• SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。
• MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。

前提条件

• 已购买CBH实例，若从公网登录需要实例已绑定可用的EIP，具体的操作方法请参见购买云堡垒机。
• 实例的运行状态为“运行”，CBH系统在使用授权期内。
• 已获取登录CBH系统的登录地址，以及登录验证信息。

通过Web浏览器登录云堡垒机

1. 启动浏览器，在Web地址栏中输入CBH系统登录地址，进入系统登录页面。

   登录地址：https://云堡垒机实例EIP或私网IP。例如，https://10.10.10.10。

   

   • 未绑定EIP时，可通过私网IP登录，需确保用户本地网络与云堡垒机私网网络通畅。
   • 登录方式可选用IAM或本地登录，IAM登录堡垒机详情请参见：如何使用IAM登录云堡垒机。
   • 受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。推荐浏览器，请参见使用限制。

2. 选择登录认证方式。
   图1 云堡垒机系统登录界面
   
   • 系统所有用户可选择配置“手机短信”、“手机令牌”、“USBKey”和“动态令牌”多因子认证，详情请参考配置多因子认证。
   • 配置多因子认证后，“密码登录”方式认证失效。

     表1 Web浏览器登录验证说明

     登录方式	登录说明	登录方式配置说明
     密码登录	输入云堡垒机系统的用户登录名和密码。	默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码，详情请参见远程认证配置。
     手机短信	输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。	需要已经为用户帐号配置可用手机号码。
     手机令牌	输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明： 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。	需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统，详情请参考绑定手机令牌。
     USBKey	插入并选择已签发过的USBKey，并输入对应的PIN码。	需已为用户签发USBKey，详情请参考签发USBKey。
     动态令牌	输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。	需已为用户签发动态令牌，详情请参考签发动态令牌。

3. 单击“登录”，成功登录云堡垒机系统进行管理和运维操作。
   

   • 系统管理员admin为CBH系统第一个可登录用户，拥有系统最高操作权限，且无法更改权限配置，请妥善保管帐号信息。
   • 在首次登录系统成功后，请所有用户按照系统提示修改密码和绑定手机号码，否则无法进入系统运行页面。登录系统后，可在个人中心修改用户基本信息。

通过SSH客户端登录云堡垒机

用户获取资源运维权限后，可通过SSH客户端直接登录进行运维操作。

• 支持使用SSH客户端运维的资源，包括SSH、TELNET和Rlogin协议类型主机资源。
• 推荐使用客户端SecureCRT 8.0及以上版本、Xshell 5及以上版本。

1. 打开本地SSH客户端工具，选择“文件 > 新建”，新建用户会话。
2. 配置会话用户连接。
   • 方式一

     在新建会话弹出框，选择协议类型，输入系统登录IP地址、端口号（2222），单击“确认”。再输入系统用户登录名，单击“连接”，连接会话。

   • 方式二

     在新的空白会话窗口，执行登录命令：协议类型 用户登录名@系统登录IP 端口，例如执行ssh admin@10.10.10.10 2222。

   • 方式三

     在正在运行的Linux主机会话窗口，执行登录命令：协议类型 用户登录名@系统登录IP -p 端口，例如执行ssh admin@10.10.10.10 -p 2222。

3. 用户身份验证。

   根据命令提示，在新建会话窗口，输入用户身份验证信息。

   SSH客户端登录认证支持“密码登录”、“公钥登录”、“手机短信”、“手机令牌”和“动态令牌”方式。其中“手机短信”、“手机令牌”和“动态令牌”方式，需配置用户多因子认证，详情请参考配置多因子认证。

   表2 SSH客户端登录验证说明

   登录方式	登录说明	登录方式配置说明
   密码登录	输入云堡垒机系统的用户密码。	默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码，详情请参见远程认证配置。
   公钥登录	输入用于验证登录的私钥和私钥密码，登录验证成功后，再次登录时，该用户在SSH客户端可以免密登录。	用户需要先生成用于验证登录的公私钥对，并在云堡垒机系统内的“个人中心”处将SSH公钥添加到云堡垒机系统中，具体的操作请参见添加SSH公钥。
   手机短信	“密码登录”或“公钥登录”验证成功后，选择“短信验证码”方式，输入手机短信验证码。	需已为用户帐号配置可用手机号码。
   手机令牌	“密码登录”或“公钥登录”验证成功后，选择“手机令牌OTP”方式，输入手机令牌验证码。 说明： 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。	需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统，详情请参考绑定手机令牌。
   动态令牌	“密码登录”或“公钥登录”验证成功后，选择“动态令牌OTP”方式，输入动态令牌验证码。	需已为用户签发动态令牌，详情请参考签发动态令牌。

4. 登录到云堡垒机系统，可查看系统简要信息，并运维已授权的资源。
   

   除了使用云堡垒机用户密码直接登录外，还支持使用API方式登录云堡垒机指定的资源账户。

   在登录的用户窗口， 输入用户登录名@资源账户名@主机IP地址:主机端口，例如admin@root@192.0.0.0:22。

通过MSTSC客户端登录云堡垒机

用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。

1. 打开本地远程桌面连接（MSTSC）工具。
   图2 打开远程桌面连接
   

2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。
   图3 配置计算机
   

3. 单击“连接”，在登录页面完成登录。
   • username：堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口（默认3389），例如admin@Administrator@192.168.1.1:3389。
     

     “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户，请参考添加资源账户章节。

   • password：输入当前堡垒机的用户密码。