更新时间:2024-08-27 GMT+08:00
配置用户登录限制
背景介绍
为加强用户账号登录管理,堡垒机支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。
- 多因子认证:指开启多因子认证后,用户登录时通过发送短信口令、动态令牌、USBKey等二次认证用户身份。
- 有效期:指用户账号的使用有效期,仅在限定时间内可登录。
- 登录时段限制:指用户账号限定登录星期和时刻。
- 登录IP地址限制:指限制指定来源IP地址的用户登录。
- 登录MAC地址限制:指在局域网内限制指定MAC地址的用户登录。
约束限制
- 为正常使用“手机令牌”多因子认证,需确保系统时间与绑定手机时间一致,精确到秒。否则使用手机令牌登录时,口令将验证失败。
- 系统默认内置短信网关有短信发送频率和条数限制,为避免对“手机短信”多因子认证登录造成影响,可设置“自定义”短信网关,详情请参见短信网关配置。
- 由于MAC地址属于数据链路层,用于局域网寻址。MAC地址在传输过程中经过路由或主机,地址会发生变化,因此“登录MAC地址限制”仅在局域网生效。
- 若admin用户配置了多因子认证,无法登录系统取消多因子认证配置,请联系技术支持。
前提条件
- 已获取“用户”模块操作权限。
- 若需开启“手机令牌”多因子认证,用户需已在个人中心绑定手机令牌,否则用户账号将无法登录。
操作步骤
- 登录堡垒机系统。
- 选择,进入用户列表页面。
- 单击需修改的用户登录名,或者单击“管理”,进入“用户详情”页面。
- 单击“用户配置”区域的“编辑”,弹出用户登录限制配置窗口。
表1 用户登录限制参数说明 参数
说明
多因子认证
勾选认证方式,可选择“手机短信”、“手机令牌”、“USBKey”、“动态令牌”。
IAM登录
启用后,允许直接从IAM登录到堡垒机。
有效期
设置用户账号使用有效期,包括生效时间和失效时间。
登录时段限制
设置允许或禁止用户账号登录的星期和时刻。
登录IP地址限制
选择黑白名单方式,设置IP地址或地址段。
- 选择“黑名单”,并配置IP地址或地址段,限制该IP地址或地址段的用户登录。
- 选择“白名单”,并配置IP地址或地址段,仅允许该IP地址或地址段的用户登录。
- 选择“黑名单-名单内多因子登录”,并配置IP地址或地址段。该IP地址或地址段名单内的用户,仅允许通过多因子认证方式登录。
- 选择“白名单-名单外多因子登录”,并配置IP地址或地址段。该IP地址或地址段名单外的用户,仅允许通过多因子认证方式登录。
- IP地址缺省状态下,即不限制IP地址登录堡垒机。
登录MAC地址限制
选择黑白名单方式,设置MAC地址。
- 选择“黑名单”,并配置相应MAC地址,限制该MAC地址用户登录。
- 选择“白名单”,并配置相应MAC地址,仅允许该MAC地址用户登录。
- MAC地址缺省状态下,不限制MAC地址登录堡垒机。
- 单击“确定”,返回用户详情页面,即可查看用户登录配置信息。
批量修改用户登录配置
- 登录堡垒机系统。
- 在左侧导航树中,选择,进入用户列表页面。
- 勾选待修改配置的用户账号,单击左下角“更多”,展开批量操作项。
- 批量修改或取消多因子认证配置。
- 单击“修改多因子认证”,弹出多因子认证修改窗口。
图1 修改账号多因子认证方式
- 勾选或去掉目标多因子认证方式。
- 单击“确定”,即完成配置修改。
- 单击“修改多因子认证”,弹出多因子认证修改窗口。
- 批量修改或取消有效期配置。
- 单击“修改有效期”,弹出有效期修改窗口。
- 勾选账号生效期或失效期,并选择目标日期和时间。去掉勾选,则取消有效期配置。
- 单击“确定”,即完成配置修改。
- 批量修改登录时段限制配置。
- 单击“登录时段限制”,弹出登录时段配置窗口。
- 选择允许或禁止账号登录的目标星期和时刻。
- 单击“确定”,即完成配置修改。
- 批量修改或取消登录IP地址限制配置。
- 单击“登录IP地址限制”,弹出登录IP配置窗口。
- 选择黑白名单限制方式,并输入或删除目标IP地址或地址段。
- 单击“确定”,即完成配置修改。
- 批量修改或取消登录MAC地址限制配置。
- 单击“MAC地址限制”,弹出登录MAC配置窗口。
- 选择黑白名单限制方式,并输入或删除目标MAC地址。
- 单击“确定”,即完成配置修改。
父主题: 用户管理
