配置用户登录限制
操作场景
为加强用户账号登录管理,堡垒机支持如下登录配置,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。
- 多因子认证:开启多因子认证后,用户登录堡垒机时,需通过本地密码+第二种认证因子(手机短信验证码、手机令牌、USBKey、动态令牌、邮箱验证码)双重认证用户身份。
- 有效期:限定用户可登录的日期范围。
- 登录时段限制:限定用户可登录的星期和时刻。
- 登录IP地址限制:限制指定来源IP地址的用户登录。
- 登录MAC地址限制:在局域网内限制指定MAC地址的用户登录。
约束与限制
- 由于MAC地址属于数据链路层,用于局域网寻址。MAC地址在传输过程中经过路由或主机,地址会发生变化,因此“登录MAC地址限制”仅在局域网生效。
- 若admin用户配置了多因子认证,无法登录系统取消多因子认证配置,请联系技术支持。
前提条件
当前用户所属角色已拥有“用户”模块的管理权限。如何查看各角色的权限,请参见角色。
为单个用户配置登录限制
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入用户列表页面。
- 单击目标用户的登录名,或在目标用户的“操作”列,单击“管理”,进入用户详情页面。
- 在“用户配置”区域右侧,单击“编辑”,弹出配置窗口。
表1 用户登录限制参数说明 参数
说明
多因子认证
设置用户的多因子认证方式,支持勾选多种方式。
- 默认不勾选,即关闭多因子认证,用户登录堡垒机系统时,仅通过本地密码验证身份。
- 手机短信:勾选后,用户登录堡垒机系统时,需通过本地密码和手机短信验证码双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置手机短信登录。
- 手机令牌:勾选后,用户登录堡垒机系统时,需通过本地密码和手机令牌双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置手机令牌登录。
- USBKey:勾选后,用户登录堡垒机系统时,需通过本地密码和USBKey双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置USBKey登录。
- 动态令牌:勾选后,用户登录堡垒机系统时,需通过本地密码和动态令牌双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置动态令牌登录。
- 邮箱认证:勾选后,用户登录堡垒机系统时,需通过本地密码和邮箱验证码双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置邮箱认证登录。
IAM登录
启用后,允许用户直接从IAM登录到堡垒机。
有效期
设置用户账号可登录的日期范围,包括生效时间和失效时间。
登录时段限制
设置用户账号可登录的星期和时刻。蓝色表示允许登录,白色表示禁止登录。
登录IP地址限制
限制指定来源IP的用户登录堡垒机,可选择白名单或黑名单。
- 黑名单:配置IP地址或地址段,即限制该IP地址或地址段的用户登录堡垒机。
- 白名单:配置IP地址或地址段,即允许该IP地址或地址段的用户登录堡垒机。
- 黑名单-名单内多因子登录:配置IP地址或地址段,即该IP地址或地址段名单内的用户,不允许通过多因子认证方式登录堡垒机。
- 白名单-名单外多因子登录:配置IP地址或地址段,即该IP地址或地址段名单外的用户,仅允许通过多因子认证方式登录堡垒机。
- IP地址为空时,即不限制IP地址登录堡垒机。
登录MAC地址限制
局域网内限制指定MAC地址的用户登录堡垒机,可选择白名单或黑名单。
- 黑名单:配置MAC地址,限制该MAC地址用户登录堡垒机。
- 白名单:配置MAC地址,仅允许该MAC地址用户登录堡垒机。
- MAC地址为空时,即不限制MAC地址登录堡垒机。
- 单击“确定”。
返回用户详情页面,即可查看用户登录配置信息。
批量为多个用户配置登录限制
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入用户列表页面。
- 在用户列表中,勾选一个或多个待修改配置的用户。
- 批量修改多因子认证
- 在左下方选择,弹出配置窗口。
- 多因子认证:设置用户的多因子认证方式,支持勾选多种方式。
- 默认不勾选,即关闭多因子认证,用户登录堡垒机系统时,仅通过本地密码验证身份。
- 手机短信:勾选后,用户登录堡垒机系统时,需通过本地密码和手机短信验证码双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置手机短信登录。
- 手机令牌:勾选后,用户登录堡垒机系统时,需通过本地密码和手机令牌双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置手机令牌登录。
- USBKey:勾选后,用户登录堡垒机系统时,需通过本地密码和USBKey双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置USBKey登录。
- 动态令牌:勾选后,用户登录堡垒机系统时,需通过本地密码和动态令牌双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置动态令牌登录。
- 邮箱认证:勾选后,用户登录堡垒机系统时,需通过本地密码和邮箱验证码双重验证通过后,才能成功登录堡垒机系统。更多使用限制和配置步骤,请参见配置邮箱认证登录。
- 修改全部:勾选后,将会修改当前登录账号所属部门以及下级部门全部用户的多因子认证方式。
- 多因子认证:设置用户的多因子认证方式,支持勾选多种方式。
- 确认无误,单击“确定”。
- 在左下方选择,弹出配置窗口。
- 批量修改有效期
- 在左下方选择,弹出配置窗口。
设置用户账号可登录的日期范围,包括生效时间和失效时间。
- 确认无误,单击“确定”。
- 在左下方选择,弹出配置窗口。
- 批量修改登录时段限制
- 在左下方选择,弹出配置窗口。
设置用户账号可登录的星期和时刻。蓝色表示允许登录,白色表示禁止登录。
- 确认无误,单击“确定”。
- 在左下方选择,弹出配置窗口。
- 批量修改登录IP地址限制
- 在左下方选择,弹出配置窗口。
限制指定来源IP的用户登录堡垒机,可选择白名单或黑名单。
- 黑名单:配置IP地址或地址段,即限制该IP地址或地址段的用户登录堡垒机。
- 白名单:配置IP地址或地址段,即允许该IP地址或地址段的用户登录堡垒机。
- 黑名单-名单内多因子登录:配置IP地址或地址段,即该IP地址或地址段名单内的用户,不允许通过多因子认证方式登录堡垒机。
- 白名单-名单外多因子登录:配置IP地址或地址段,即该IP地址或地址段名单外的用户,仅允许通过多因子认证方式登录堡垒机。
- IP地址为空时,即不限制IP地址登录堡垒机。
- 确认无误,单击“确定”。
- 在左下方选择,弹出配置窗口。
- 批量修改MAC地址限制
- 在左下方选择,弹出配置窗口。
局域网内限制指定MAC地址的用户登录堡垒机,可选择白名单或黑名单。
- 黑名单:配置MAC地址,限制该MAC地址用户登录堡垒机。
- 白名单:配置MAC地址,仅允许该MAC地址用户登录堡垒机。
- MAC地址为空时,即不限制MAC地址登录堡垒机。
- 确认无误,单击“确定”。
- 在左下方选择,弹出配置窗口。
- 批量修改多因子认证