文档首页/ 云堡垒机 CBH/ 用户指南/ 用户管理/ 用户/ 新建用户
更新时间:2026-06-26 GMT+08:00
查看PDF
分享

新建用户

操作场景

一个用户是登录堡垒机系统的一个登录账号。系统管理员admin是系统默认用户,为系统第一个可登录用户,拥有系统最高操作权限,且无法删除和更改权限配置。

管理员在堡垒机系统中创建用户,并为用户分配不同的角色,根据角色权限的不同,各用户拥有不同的系统操作和访问权限。

系统管理员admin和其他拥有“用户”模块管理权限的人员,可以新建和管理用户。

前提条件

当前用户所属角色已拥有“用户”模块的管理权限,如需同步AD域用户,则还需拥有“系统”模块的管理权限。如何查看各角色的权限,请参见角色

方式一:新建单个用户

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择用户 > 用户管理,进入用户列表页面。
  3. 在界面的右上角,单击“新建”,弹出用户信息配置窗口。

    图1 新建用户信息
    表1 新建用户参数说明

    参数

    说明

    登录名

    自定义登录系统的用户名。

    创建后不可修改,且系统内“登录名”唯一不能重复。

    认证类型

    选择登录系统的认证方式。

    • 本地:系统默认方式,即通过系统自身的账号管理系统进行身份认证。
    • AD域:通过Windows AD域服务器对用户进行身份认证。如需设置,需先在系统配置远程认证服务器信息,详细操作请参见配置AD域远程认证
    • LDAP:通过LDAP协议,由第三方认证服务器对用户进行身份认证。如需设置,需先在系统配置远程认证服务器信息,详细操作请参见配置LDAP远程认证
    • RADIUS:通过RADIUS协议,由第三方认证服务器对用户进行身份认证。如需设置,需先在系统配置远程认证服务器信息,详细操作请参见配置RADIUS远程认证
    • Azure AD:基于SAML配置,由Azure平台对登录用户进行身份认证。如需设置,需先在系统配置远程认证服务器信息,详细操作请参见配置Azure AD远程认证

    域名

    “认证类型”选择“Azure AD”时,需要配置此项。

    需输入在Azure平台用户注册时的后缀。

    密码/确认密码

    “认证类型”选择“本地”时,需要配置用户登录系统的密码。

    姓名

    自定义用户姓名。

    用户账号使用人员的姓名,便于区分不同的用户。

    手机

    输入手机号码。

    用户账号使用人员的手机号码,用于手机短信登录或找回密码。

    邮箱

    输入邮箱地址。

    用户账号使用人员的邮箱地址,用于通过邮箱接收系统消息通知。

    角色

    选择用户的角色,一个用户仅能配置一个角色。

    堡垒机系统提供了多种系统默认角色供您使用,并支持自定义角色。各角色类型及权限请参见角色

    说明:

    为用户分配角色时,若为其分配具备“创建用户”权限的角色,则该用户在新建用户时,可从admin预定义的角色池中选择角色进行分配,可能出现该用户创建出高于该用户权限的用户的情况,建议谨慎为用户授予“创建用户”权限,严格管控,仅为可信用户授予“创建用户”权限,此外也可通过日志审计来分析回溯。

    所属部门

    选择用户所属的部门组织。如何创建系统部门,请参见新建部门

    如需为用户配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。修改角色的管理权限,请参见角色

    用户描述

    (可选)对用户情况的简要描述。

  4. 单击“确定”

    返回用户列表,即可查看和管理新建的用户。

方式二:批量导入用户

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择用户 > 用户管理,进入用户列表页面。
  3. 单击界面右上角的,弹出配置窗口。
  4. 单击“点击下载”,下载模板文件到本地。
  5. 按照模板文件中的配置项说明,填写用户信息。
  6. 单击“点击上传”,上传已填入用户信息的模板文件。
  7. (可选)勾选“覆盖已有用户”

    • 勾选,表示覆盖同“登录名”的用户账号,刷新用户信息。
    • 不勾选,表示跳过同“登录名”的用户账号。

  8. 单击“确定”

    返回用户列表,即可查看已导入的用户。

方式三:同步AD域用户

堡垒机通过配置AD认证“同步模式”,可一键同步AD域服务器上已有用户信息,无需手动创建用户。在用户账号登录系统时,由AD域服务器提供身份认证服务。

  1. 登录堡垒机系统
  2. 选择系统 > 系统配置 > 认证配置,进入认证配置页面。

    图2 配置远程认证

  3. 单击“AD认证配置”区域的“添加”,弹出AD认证配置窗口。
  4. 选择AD域认证“模式”“同步模式”,展开同步模式参数配置信息。

    表2 AD域同步用户参数说明

    参数

    说明

    服务器地址

    输入AD域服务器地址。

    状态

    选择开启或关闭AD域远程认证,默认开启。

    • 开启,表示开启AD域认证。在配置信息有效情况下,登录系统时启动AD域认证,或同步AD域用户。
    • 关闭,表示关闭AD域认证。

    SSL

    选择开启或关闭SSL加密认证,默认关闭。

    • 关闭,表示禁用SSL加密认证。
    • 开启,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。

    模式

    选择“同步模式”

    端口

    AD域远程服务器的接入端口,默认389端口。

    登录名

    输入AD域服务器的账户的登录名。

    密码

    输入AD域服务器的账户的密码。

    输入AD域的域名。

    Base DN

    输入AD域远程服务器上的基准DN。

    部门过滤

    输入AD域远程服务器上待过滤的部门。

    用户过滤

    输入AD域远程服务器上待过滤的用户。

    登录名过滤

    输入待过滤的用户登录名,过滤多个登录名用“|”隔开。

    姓名

    输入AD域远程服务器上代表用户姓名的属性名,例如name。

    邮箱

    输入AD域远程服务器上代表用户邮箱的属性名,例如mail。

    手机

    输入AD域远程服务器上代表用户手机的属性名,例如mobile。

    同步方式

    选择同步AD域用户的方式,包括“手动同步”“自动同步”

    • 手动同步:信息配置完成后,手动执行用户同步操作。
    • 自动同步:信息配置完成后,按照配置自动执行用户同步。需同时配置“同步时间”“同步周期”“结束时间”

    目标部门

    选择将用户账号的所归属的系统部门。

    更多
    • 勾选“覆盖已有用户”
      • 勾选,表示覆盖同“登录名”的用户账号,刷新用户信息。
      • 不勾选,表示跳过同“登录名”的用户账号。
    • 勾选“同步用户状态”,可将用户当前状态同步至堡垒机,建议勾选。

  5. (可选)如需选择同步AD域服务器中的用户,单击“下一步”,获取AD域服务器用户源部门结构。

    • 默认开启“同步全部用户”
    • 勾选用户源上级部门,即该部门下级部门所有用户都将纳入导入源范畴。
    • 开启“创建新部门”,根据AD域的部门结构,同步新建系统部门并同步部门中用户。

  6. 单击“确认”,返回AD域认证服务器表中,即可查看和管理的AD认证配置信息。
  7. 单击“立即同步”,立即启动同步AD域用户到堡垒机,返回用户列表,即可查看同步的用户信息。
父主题: 用户

相关文档