更新时间:2025-02-17 GMT+08:00
配置用户登录限制
背景介绍
为加强用户账号登录管理,堡垒机支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。
- 多因子认证:指开启多因子认证后,用户登录时通过发送短信口令、动态令牌、USBKey等二次认证用户身份。
- 有效期:指用户账号的使用有效期,仅在限定时间内可登录。
- 登录时段限制:指用户账号限定登录星期和时刻。
- 登录IP地址限制:指限制指定来源IP地址的用户登录。
- 登录MAC地址限制:指在局域网内限制指定MAC地址的用户登录。
约束限制
- 为正常使用“手机令牌”多因子认证,需确保系统时间与绑定手机时间一致,精确到秒。否则使用手机令牌登录时,口令将验证失败。
- 系统默认内置短信网关有短信发送频率和条数限制,为避免对“手机短信”多因子认证登录造成影响,可设置“自定义”短信网关,详情请参见短信网关配置。
- 由于MAC地址属于数据链路层,用于局域网寻址。MAC地址在传输过程中经过路由或主机,地址会发生变化,因此“登录MAC地址限制”仅在局域网生效。
- 若admin用户配置了多因子认证,无法登录系统取消多因子认证配置,请联系技术支持。
前提条件
- 已获取“用户”模块操作权限。
- 若需开启“手机令牌”多因子认证,用户需已在个人中心绑定手机令牌,否则用户账号将无法登录。
单用户配置登录限制
- 登录堡垒机。
- 选择,进入用户列表页面,可通过快速查询或高级搜索查询目标用户。
- 快速查询:在搜索框中输入关键字,根据登录名、姓名等快速查询用户。
- 高级搜索:单击“高级搜索”,在相应属性搜索框中分别输入关键字,精确查询用户。
- 单击需修改的用户登录名,或者单击“管理”,进入“用户详情”页面。
- 单击“用户配置”区域的“编辑”,弹出用户登录限制配置窗口。
表1 用户登录限制参数说明 参数
说明
多因子认证
勾选认证方式,可选择“手机短信”、“手机令牌”、“USBKey”、“动态令牌”。
IAM登录
启用后,允许直接从IAM登录到堡垒机。
有效期
设置用户账号使用有效期,包括生效时间和失效时间。
登录时段限制
设置允许或禁止用户账号登录的星期和时刻。
登录IP地址限制
选择黑白名单方式,设置IP地址或地址段。
- 选择“黑名单”,并配置IP地址或地址段,限制该IP地址或地址段的用户登录。
- 选择“白名单”,并配置IP地址或地址段,仅允许该IP地址或地址段的用户登录。
- 选择“黑名单-名单内多因子登录”,并配置IP地址或地址段。该IP地址或地址段名单内的用户,仅允许通过多因子认证方式登录。
- 选择“白名单-名单外多因子登录”,并配置IP地址或地址段。该IP地址或地址段名单外的用户,仅允许通过多因子认证方式登录。
- IP地址缺省状态下,即不限制IP地址登录堡垒机。
登录MAC地址限制
选择黑白名单方式,设置MAC地址。
- 选择“黑名单”,并配置相应MAC地址,限制该MAC地址用户登录。
- 选择“白名单”,并配置相应MAC地址,仅允许该MAC地址用户登录。
- MAC地址缺省状态下,不限制MAC地址登录堡垒机。
- 单击“确定”,返回用户详情页面,即可查看用户登录配置信息。
批量配置用户登录限制
- 登录堡垒机。
- 选择,进入用户列表页面,可通过快速查询或高级搜索查询目标用户。
- 快速查询:在搜索框中输入关键字,根据登录名、姓名等快速查询用户。
- 高级搜索:单击“高级搜索”,在相应属性搜索框中分别输入关键字,精确查询用户。
- 勾选待修改配置的登录用户账号。
- 修改多因子认证
- 在左下角选择,在弹窗中勾选目标账号需要修改的多因子认证方式。
- 可同时勾选多个不同的认证方式。
- 勾选“修改全部”后,将会修改当前账号所属部门以及下级部门全部用户的多因子信息。
- 确认无误,单击“确定”,完成修改。
- 在左下角选择,在弹窗中勾选目标账号需要修改的多因子认证方式。
- 修改有效期
- 在左下角选择,在弹窗中选择目标账号的生效或失效时间。
- 设置后目标账号在生效时间前不可登录,超过失效时间后也无法登录。
- 可只设置生效时间和失效时间其中一个,也可同时设置生效和失效时间。
- 确认无误,单击“确定”,完成修改。
- 在左下角选择,在弹窗中选择目标账号的生效或失效时间。
- 修改登录时段限制
- 在左下角选择,在弹窗中选择登录时段的时间。
- 按照小时选择目标账号可登录的时间。
- 在图示中按照“允许登录”和“禁止登录”的标识选择时间。
- 确认无误,单击“确定”,完成修改。
- 在左下角选择,在弹窗中选择登录时段的时间。
- 修改登录IP地址限制
- 修改MAC地址限制
- 修改多因子认证
父主题: 用户管理
