动态令牌管理
用户账号需配置了“动态令牌”多因子认证,才能为用户账号签发动态令牌。
动态令牌需要提前申购。目前堡垒机支持坚石诚信ETZ201/203型号。
前提条件
- 已申购硬件令牌。
- 已获取“用户”模块管理权限。
- 已获取“动态令牌”模块管理权限。
签发动态令牌
一个动态令牌只能签发给一个用户使用。
- 登录堡垒机系统。
- 选择 ,进入动态令牌列表页面。
- 单击“签发”,新建签发令牌标识。
- 配置令牌标识信息。
图1 签发动态令牌
表1 签发动态令牌参数说明 参数
说明
令牌标识
动态令牌条形码。
密钥
动态令牌的厂商提供,与“令牌标识”一一对应的唯一“密钥”。
关联用户
选择已配置“动态令牌”多因子认证的用户账号。
- 单击“确定”,返回动态令牌列表,即可查看已签发令牌标识。
关联用户登录堡垒机系统时,在登录界面输入用户登录名、用户密码,以及动态令牌上动态口令,即可完成动态令牌方式登录。
导入动态令牌
- 登录堡垒机系统。
- 选择 ,进入动态令牌列表页面。
- 单击“导入”,弹出批量导入动态令牌窗口。
- 单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写需导入的动态令牌配置信息。
- 单击“单击上传”,选择已配置的模板文件。
- 支持上传的文件类型包括CSV、xls、xlsx。
- 勾选“覆盖已有令牌”。
- 勾选:当密钥、关联用户重复时,将覆盖令牌标识并更新现有令牌的标识信息,但不会删除令牌重新创建。
- 未勾选:当密钥、关联用户重复时,直接跳过密钥、关联用户重复的令牌。
- 单击“确定”,返回动态令牌列表,接口查看导入的动态令牌。
导出动态令牌
- 登录堡垒机系统。
- 选择 ,进入动态令牌列表页面。
- 勾选需要导出的动态令牌。
若不勾选,默认导出全部动态令牌。
- 单击“导出”,保存文件到本地。
吊销动态令牌
动态令牌删除后,关联用户账号将暂时不能通过动态令牌方式登录。
- 登录堡垒机系统。
- 选择 ,进入动态令牌列表页面。
- 单击“操作”列的“吊销”,即可吊销该动态令牌。
- 在动态令牌列表中,同时选中多个动态令牌,单击列表下方的“吊销”按钮,可批量吊销动态令牌。