新建用户并授权用户角色
堡垒机系统的一个用户代表一个可登录自然人,支持新建本地用户,批量导入用户,以及同步AD域用户。
系统管理员admin是系统最高权限用户,也是系统第一个可登录用户。
约束限制
为用户配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。修改用户角色管理权限,请参见修改角色信息。
前提条件
- 新建单个用户和批量导入用户,需已获取“用户”模块操作权限。
- 同步AD域用户,需已获取“系统”模块操作权限。
新建单个用户
- 登录堡垒机系统。
- 在左侧导航树中,选择 ,进入用户列表页面。
- 在界面的右上角,单击“新建”,弹出用户信息配置窗口。
图1 新建用户信息
表1 新建用户参数说明 参数
说明
登录名
自定义登录系统的用户名。
创建后不可修改,且系统内“登录名”唯一不能重复。
认证类型
选择登录系统的认证方式。
- 本地:系统默认方式,即通过系统自身的账号管理系统进行身份认证。
- AD域:通过Windows AD域服务器对用户进行身份认证。
- LDAP:通过LDAP协议,由第三方认证服务器对用户进行身份认证。
- RADIUS:通过RADIUS协议,由第三方认证服务器对用户进行身份认证。
- Azure AD:基于SAML配置,由Azure平台对登录用户进行身份认证。
说明:
若需启用AD域、LDAP、RADIUS、Azure AD远程认证方式的用户,需先在系统配置远程认证服务器信息,详细操作请参见认证配置。
域名
“认证类型”选择“Azure AD”时,需要配置此项。
需输入在Azure平台用户注册时的后缀。
密码/确认密码
仅“认证类型”选择“本地”时,需要配置用户登录系统的密码。
姓名
自定义用户姓名。
用户账号使用人员的姓名,便于区分不同的用户。
手机
输入手机号码。
用户账号系统预留手机号码,用于手机短信登录或找回密码。
邮箱
输入邮箱地址。
用户账号系统预留邮箱地址,用于通过邮箱接收系统消息通知。
角色
选择用户的角色,一个用户仅能配置一个角色。
缺省情况下,系统角色包括部门管理员、策略管理员、审计管理员和运维员。
- 部门管理员:负责部门管理,除“用户管理”和“角色管理”模块之外,部门管理员拥有其他全部模块的配置权限。
- 策略管理员:负责策略权限的配置,拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。
- 审计管理员:负责系统和运维数据的审计,拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。
- 运维员:系统普通用户和资源操作人员,拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。
- 自定义的角色:仅admin可自定义新角色或编辑默认角色的权限范围,详细介绍请见角色概述。
所属部门
选择用户所属部门组织。如何创建系统部门,请参见新建部门。
用户描述
(可选)对用户情况的简要描述。
- 单击“确定”,返回用户列表,即可查看和管理新建的用户。
批量导入用户
- 登录堡垒机系统。
- 在左侧导航树中,选择 ,进入用户列表页面。
- 单击界面右上角的,弹出导入用户操作窗口。
- 单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写用户信息。
表2 用户导入模板参数说明 参数
说明
登录名
(必填)填入自定义登录系统的用户名。
认证类型
(必填)填入认证方式,仅能填写一种类型。
可选择填入字样:本地,RADIUS,AD域,LDAP,Azure AD、IAM。
密码
(必填)选择认证类型为“本地”时,填入自定义的用户登录密码。
认证服务器/域名
(必填)选择认证类型为“AD域”、“LDAP”或“Azure AD”时,按填写格式要求,填入认证服务器。
- AD域认证填写格式为IP:PORT,例如10.10.10.10:389。
- LDAP认证填写格式为IP:'PORT/ou=test,dc=test,dc=com',例如10.10.10.10:'389/ou=test,dc=com'。
- Azure AD认证时填写域名。
姓名
填入使用人员的姓名。
手机
填入使用人员的手机号码。
邮箱
(必填)填入使用人员的邮箱地址。
角色
(必填)填入用户的系统角色。
- 仅能填入一个角色类型,
- 默认可选角色包括部门管理员、策略管理员、审计管理员和运维员。
- 请务必确保填入系统内已创建的角色。
所属部门
(必填)填入用户所归属的部门,需完整填写部门结构。
- 仅可填入一组部门层级,一个用户只能分属一个部分。
- 默认可填入部门为总部,部门上下级之间用“,”隔开。
- 请务必确保填入系统内已创建的部门。
用户描述
填入对用户账号的简要描述。
用户组
填入用户账号所属的用户组。
- 用户账号可同时存在于同部门多个用户组,不同用户组之间用“,”隔开。
- 请务必确保填入系统内已创建的用户组。
- 单击“单击上传”,选择已填入用户信息的模板文件。
- (可选)勾选“覆盖已有用户”。
- 勾选,表示覆盖同“登录名”的用户账号,刷新用户信息。
- 不勾选,表示跳过同“登录名”的用户账号。
- 单击“确定”,返回用户列表中,即可查看和管理新增的用户。
同步AD域用户
堡垒机通过配置AD认证“同步模式”,可一键同步AD域服务器上已有用户信息,无须手动创建用户。在用户账号登录系统时,由AD域服务器提供身份认证服务。
- 登录堡垒机系统。
- 选择 ,进入远程认证配置管理页面。
- 单击“AD认证配置”区域的“添加”,弹出AD认证配置窗口。
- 选择AD域认证“模式”为“同步模式”,展开同步模式参数配置信息。
表3 AD域同步用户参数说明 参数
说明
服务器地址
输入AD域服务器地址。
状态
选择开启或关闭AD域远程认证,默认开启。
- 开启,表示开启AD域认证。在配置信息有效情况下,登录系统时启动AD域认证,或同步AD域用户。
- 关闭,表示关闭AD域认证。
SSL
选择开启或关闭SSL加密认证,默认关闭。
- 关闭,表示禁用SSL加密认证。
- 开启,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。
模式
选择“同步模式”。
端口
AD域远程服务器的接入端口,默认389端口。
登录名
输入AD域服务器的账户的登录名。
密码
输入AD域服务器的账户的密码。
域
输入AD域的域名。
Base DN
输入AD域远程服务器上的基准DN。
部门过滤
输入AD域远程服务器上待过滤的部门。
用户过滤
输入AD域远程服务器上待过滤的用户。
登录名过滤
输入待过滤的用户登录名,过滤多个登录名用“|”隔开。
姓名
输入AD域远程服务器上代表用户姓名的属性名,例如name。
邮箱
输入AD域远程服务器上代表用户邮箱的属性名,例如mail。
手机
输入AD域远程服务器上代表用户手机的属性名,例如mobile。
同步方式
选择同步AD域用户的方式,包括“手动同步”和“自动同步”。
- 手动同步:信息配置完成后,手动执行用户同步操作。
- 自动同步:信息配置完成后,按照配置自动执行用户同步。需同时配置“同步时间”、“同步周期”、“结束时间”。
目标部门
选择将用户账号的所归属的系统部门。
更多
- 勾选“覆盖已有用户”。
- 勾选,表示覆盖同“登录名”的用户账号,刷新用户信息。
- 不勾选,表示跳过同“登录名”的用户账号。
- 勾选“同步用户状态”,可将用户当前状态同步至堡垒机,建议勾选。
- (可选)如需选择同步AD域服务器中的用户,单击“下一步”,获取AD域服务器用户源部门结构。
- 默认开启“同步全部用户”。
- 勾选用户源上级部门,即该部门下级部门所有用户都将纳入导入源范畴。
- 开启“创建新部门”,根据AD域的部门结构,同步新建系统部门并同步部门中用户。
- 单击“确认”,返回AD域认证服务器表中,即可查看和管理的AD认证配置信息。
- 单击“立即同步”,立即启动同步AD域用户到堡垒机,返回用户列表,即可查看同步的用户信息。