配置手机令牌登录

约束限制

系统时间与手机时间必须一致，精确到秒，否则可能提示绑定失败。

绑定失败后，请先修改系统时间与手机时间一致，刷新页面重新生成二维码绑定。

步骤一：配置系统手机令牌类型

1. 登录堡垒机系统。
2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。
3. 在“手机令牌配置”区域，单击“编辑”，弹出手机令牌类型配置窗口。
4. 选择系统手机令牌类型。
   支持“内置手机令牌”和“RADIUS手机令牌”，设置为“RADIUS手机令牌”时，各参数说明如下：

   表1 RADIUS手机令牌参数说明

   参数名称	参数说明
   服务器地址	填写RADIUS服务器的地址。
   端口	填写RADIUS服务器的端口。
   认证协议	支持“PAP”和“CHAP”。
   认证共享密钥	填写RADIUS服务器的认证共享密钥。
   认证超时	设置认证超时时间，取值：5~30，单位：秒。 认证最多尝试3次，每次尝试的时间为认证超时配置时间。

5. 单击“确定”，返回安全配置管理页面，查看当前系统手机令牌类型。

步骤二：用户绑定手机令牌

内置手机令牌方式

1. 用户通过静态密码方式登录堡垒机系统。
2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面。
3. 选择“手机令牌”页签，进入个人手机令牌配置页面。
   按照界面提示信息依次执行操作。

   

   若您没有微信APP，请直接使用谷歌验证码程序扫描第二个二维码。

4. 后续若需要解除手机令牌绑定，可在“手机令牌”页签，单击“解除”。

RADIUS手机令牌方式

1. 在RADIUS服务器上创建用户，并根据提示为该用户完成手机令牌绑定。

步骤三：管理员配置手机令牌认证

内置手机令牌方式

1. 管理员登录堡垒机系统。
2. 选择“用户 > 用户管理”，进入用户管理页面。
3. 找到已绑定手机令牌的用户，单击用户登录名，进入用户详情页面。
4. 在“用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。
5. 勾选“手机令牌”多因子认证项。
6. 单击“确定”，完成用户配置。

   用户再次登录系统时，手机令牌登录认证生效。

RADIUS手机令牌方式

1. 在堡垒机系统中创建用户，该用户的登录名须与1中RADIUS服务器上创建的用户同名。
   1. 管理员登录堡垒机系统。
   2. 选择“用户 > 用户管理”，进入用户管理页面。
   3. 单击“新建”，弹出用户信息配置窗口。

      表2 新建用户参数说明

      参数	说明
      登录名	须与RADIUS服务器上创建的用户同名。 创建后不可修改，且系统内“登录名”唯一不能重复。
      认证类型	选择“本地”认证类型。 本地：系统默认方式，即通过系统自身的账号管理系统进行身份认证。
      密码/确认密码	需要配置用户登录系统的密码，可自定义。
      姓名	自定义用户姓名。 用户账号使用人员的姓名，便于区分不同的用户。
      手机	输入手机号码。 用户账号系统预留手机号码，用于手机短信登录或找回密码。
      邮箱	输入邮箱地址。 用户账号系统预留邮箱地址，用于通过邮箱接收系统消息通知。
      角色	选择用户的角色，一个用户仅能配置一个角色。 缺省情况下，系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员：负责部门管理，除“用户管理”和“角色管理”模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员：负责策略权限的配置，拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员：负责系统和运维数据的审计，拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员：系统普通用户和资源操作人员，拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 自定义的角色：仅admin可自定义新角色或编辑默认角色的权限范围。
      所属部门	选择用户所属部门组织。如何创建系统部门，请参见新建部门。
      用户描述	对用户情况的简要描述。

   4. 单击“确定”。

      在用户管理页面，可以查看已创建的用户。

2. 在堡垒机系统中为该同名用户配置手机令牌认证。
   1. 在用户管理页面。
   2. 找到该同名用户，单击用户登录名，进入用户详情页面。
   3. 在“用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。
   4. 勾选“手机令牌”多因子认证项。
   5. 单击“确定”，完成用户配置。

      使用该同名用户登录系统时，手机令牌登录认证生效。