文档首页/ 云堡垒机 CBH_系列2/ 用户指南/ 系统管理/ 资产配置/ 配置管理
更新时间:2026-05-14 GMT+08:00
查看PDF
分享

配置管理

运维配置

用于配置运维登录、运维时长和会话数量等参数。

  1. 登录堡垒机系统。
  2. 单击,将控制台切换到“管理控制台”模式。
  3. 在左侧导航树,选择“配置 > 资产配置 > 配置管理”。
  4. 参见配置参数说明,按需配置运维参数,单击“保存”。

    图1 运维配置
    表1 配置参数说明

    类别

    参数名称

    参数说明

    未授权登录

    允许WEB未授权登录

    开启后,主机运维页面显示未授权登录功能,允许用户通过Web方式登录未授权主机。

    允许API未授权登录

    开启后,允许用户通过API方式登录未授权主机。

    收集未授权登录

    开启后,未授权登录成功时系统会自动收集用户和主机的授权对应关系,并显示在“授权 > 未授权登录”中,如果管理员授权通过,系统会自动创建运维规则,后续运维时无需再手动授权,可以在主机运维中直接登录,授权操作说明请参见未授权登录运维。

    收集主机账户的密码

    开启后,未授权登录成功时系统会自动收集主机的登录账户密码。

    自动创建运维规则

    开启后,未授权登录成功时系统会自动创建相应授权关系(即运维规则),后续运维时无需再手动授权,可以在主机运维中直接登录,授权操作说明请参见未授权登录运维。

    运维登录

    允许使用用户密码登录主机

    开启后运维时允许使用用户密码登录主机。

    亲和性

    开启后SSH CS运维主机列表仅展示开启了SSH/TELNET/RLOGIN服务的主机,RDP CS运维主机列表仅展示开启了RDP服务的主机。

    允许使用用户SSH私钥登录主机

    开启后运维时允许使用用户SSH私钥登录主机。

    允许使用SSH-agent-forwarding方式登录SSH服务器

    开启后,系统将支持SSH-agent-forwarding特性,适用于登录堡垒机和登录SSH服务器使用相同私钥的场景。如果使用Xshell工具登录时,需要在SSH登录项中设置SSH banner。

    二次身份验证方式

    支持手机APP令牌认证和短信口令认证两种方式,配置后,运维登录时需要完成二次身份验证才可以登录。需同步开启主机配置或者关联协议控制策略中二次身份验证功能。

    禁用数据库SSH隧道运维

    开启后数据库无法使用SSH隧道方式运维。仅专业版实例支持设置此参数。

    BS隧道运维端口映射

    开启后,通过隧道代理的方式对堡垒机协议代理端口进行收敛。

    在NAT场景下支持对BS隧道运维端口进行映射端口配置(堡垒机端BS隧道运维端口为20045),端口映射后,需要绑定NAT地址,映射端口才会生效。

    FTP协议不支持该功能。

    SSH登录

    允许使用公钥登录

    开启后,SSH运维时,用户可以使用SSH公钥登录堡垒机和目标服务器。

    允许使用密码登录

    开启后,SSH运维时,用户可以使用密码登录堡垒机和目标服务器。

    允许发送环境变量

    开启后,SSH运维时,用户可以选择发送运维用户信息和运维来源IP,变量名称支持自定义。

    Shell使用命令行方式

    开启后,SSH运维时,将通过命令行方式登录目标服务器。

    SSH banner

    配置后,可以使用SSH-agent-forwarding方式登录SSH服务器。

    空闲时长超过X分钟时自动断开

    开启并设置时长后,运维过程中空闲时长达到设定时长,运维会话将自动断开连接,时长范围为0~43200,0代表不限制。

    不同协议对空闲的定义不同:

    RDP、VNC:客户端无数据发送。

    FTP:命令通道和数据通道均无数据发送。

    SSH、Telnet、Rlogin、SFTP、MySQL、SQL Server、Oracle、DB2、PostgreSQL、KingbaseES、DM:客户端和服务端均无数据发送。

    授权到期时,立即阻断对话

    开启后,运维规则到期,运维会话将自动断开连接。

    会话保持

    勾选后,开启会话保持,仅支持H5运维RDP服务会话,默认超时5分钟,空闲超时自动断开功能对此功能不生效。

    每用户最多打开X个会话

    开启并设置数量后,用户同时可打开的会话数量不能超过设定值,有效值范围0~100,0代表不限制。

    运维密码缓存

    开启后,自动记住手动登录的账号上次登录的密码,记录密码时长不能超过设置值,有效值1-30天。

    OCR识别

    开启后,堡垒机开启OCR识别技术,能够识别RDP图像运维中的文字。

    窗口标题识别仅WindowServer2012操作系统支持。

    菜单、键盘命令、其他等内容WindowServer2016/2019操作系统均支持。

    因系统性能及资产配置等影响,OCR识别存在误差。

    运维方式

    开启并设置本地客户端和H5客户端,勾选则代表提供该运维方式,取消勾选则代表不提供该运维方式。

    H5运维组合键

    开启后,支持配置H5运维组合键,能够选择启用/禁用该组合键,默认为启用状态。支持自定义配置,单击“添加”,输入需要配置的按键,再单击空白处即可配置成功。

    H5运维软键盘配置

    单击键盘中的按键,支持禁用该按键,禁用的按键在H5运维的过程中无法使用,再次单击可恢复使用。

    RDP运维

    关闭位图缓存能力

    默认不勾选,即开启位图缓存能力,可有效解决win11运维花屏问题。

    RDP运维空闲

    配置后达到空闲时间关闭画面显示,可配置有效值为1-3600分钟。

    关闭TLS连接

    勾选后,客户端不使用tls加密连接。

    RDP不加密

    勾选后,RDP协议不加密,关闭tls连接选项未勾选时不生效。

    运维规则有效期

    配置后,当运维规则即将过期时,系统将通过邮件提醒授权的用户。如果设置为 0,则不发送提示邮件。请确保已启用邮件服务器,并且用户已配置有效的邮箱地址。

资产导出配置

  1. 登录堡垒机系统。
  2. 单击,将控制台切换到“管理控制台”模式。
  3. 在左侧导航树,选择“配置 > 资产配置 > 配置管理”。
  4. 在资产导出配置区域,勾选“密码和密钥导出”,单击“保存”。

    图2 资产导出配置
    表2 配置参数说明

    参数名称

    参数说明

    密码和密钥导出

    系统全局配置,导出资产账号是否含账号的密码和密钥。

    • 勾选:导出资产账号时,导出的文件包含账号的密码和密钥。
    • 未勾选:导出资产账号时,导出的文件不包含账号的密码和密钥。

审计配置

用于配置审计相关的配置项。

  1. 登录堡垒机系统。
  2. 单击,将控制台切换到“管理控制台”模式。
  3. 在左侧导航树,选择“配置 > 资产配置 > 配置管理”。
  4. 进入审计配置页面,配置后单击“保存”。

    图3 审计配置
    表3 配置参数说明

    参数名称

    参数说明

    SQL语句最大长度

    控制数据库事件中,记录的SQL语句最大长度。超过设置的最大长度部分内容将被截断。有效值:1-64KB,默认值:64KB。

密码管理

用于配置验密超时时间以及尝试恢复密码次数。

  1. 登录堡垒机系统。
  2. 单击,将控制台切换到“管理控制台”模式。
  3. 在左侧导航树,选择“配置 > 资产配置 > 配置管理”。
  4. 在资产配置区域,选择“密码管理”,参考表4配置后,单击“保存”。

    图4 密码管理
    表4 密码管理参数说明

    参数名称

    参数说明

    验密超时时间

    配置后账号验密最大超时时间为配置值,有效值范围:1-300秒。

    验密最大尝试次数

    代表账号验密失败或恢复密码失败的尝试次数。有效值范围:0-9999次,0代表不限制。

工单配置

  1. 登录堡垒机系统。
  2. 单击,将控制台切换到“管理控制台”模式。
  3. 在左侧导航树,选择“配置 > 资产配置 > 配置管理”。
  4. 在资产配置区域,选择“工单配置”,按需配置后,单击“保存”。

    图5 工单配置
    表5 配置参数说明

    参数名称

    参数说明

    工单类型

    设置工单类型。

    允许申请人选择审批员

    开启后,工单申请人在创建工单时可以指定审批员或告警人员,对工单进行审批或接收紧急工单创建通知。

父主题: 资产配置

相关文档