通过堡垒机纳管应用资源
通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入堡垒机管理的功能。
用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。
堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。
纳管应用资源流程
通过在堡垒机实例新建应用服务器,实现应用客户端与堡垒机实例的对接,随后在堡垒机实例新建应用资源实现纳管。
约束限制
- 添加的主机和应用资源数量总和不能超过资产数。
- 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。
- 支持对Centos7.9系统的Linux服务器的应用进行管理。
- Linux服务器和堡垒机之间需要开通的端口号:2376和35000~40000,且端口号不可修改。
- 添加应用发布前,需已添加应用服务器。
- Edge浏览器应用不支持配置自动登录账户。
- 当多个堡垒机实例共用一个应用服务器时,堡垒机实例版本需保持一致,否则可能会出现低版本实例无法正常使用应用服务器的问题。
前提条件
- 已有Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源,用于部署应用发布服务器。
- 已成功安装应用服务器,详细操作指导请参见安装应用发布服务器。
- 已获取“应用服务器”和“应用发布”模块管理权限。
添加单个应用服务器
- 登录堡垒机系统。
- 选择,进入应用服务器列表页面。
- 单击“新建”,进入应用服务器配置窗口。
- 新建Windows应用服务器
表1 Windows应用服务器参数说明 参数
说明
服务器类型
Windows
服务器名称
自定义的访问应用服务器名称,系统内“服务器名称”不能重复。
服务器地址
输入访问应用的服务器IP地址或域名。
类型
选择访问应用的浏览器或客户端工具类型。
默认支持14种类型,包括MySQL Tool、Edge、Firefox-Windows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other。
每一类应用类型默认一种应用程序,可在默认“程序启动路径”中获取应用程序名称。
端口
输入访问应用发布服务器的端口,Windows服务器默认为3389。
服务器账户
输入访问应用的服务器账户。
因应用服务器通过AD域安装,“服务器账号”输入格式为域名\账户名,例如ad\administrator。
密码
输入访问应用的服务器账户的密码。
所属部门
选择应用服务器的归属部门。
程序启动路径
输入限制应用资源访问应用服务器上的具体应用的程序路径。
- 选择“Other”类型,必须手动配置相应程序路径。
服务器描述
(可选)对应用服务器的简要描述。
- 新建Linux应用服务器
表2 Linux应用服务器参数说明 参数
说明
服务器类型
Linux
服务器名称
自定义的访问应用服务器名称,系统内“服务器名称”不能重复。
服务器地址
输入访问应用的服务器IP地址或域名。
类型
选择访问应用的浏览器或客户端工具类型。
支持类型:DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。
端口
输入访问应用发布服务器的端口,Linux服务器固定为2376。
密码
密码请联系华为云技术支持获取。
所属部门
选择应用服务器的归属部门。
服务器描述
(可选)对应用服务器的简要描述。
- 新建Windows应用服务器
- 单击“确定”,返回应用服务器列表中查看新增的服务器。
从文件导入应用服务器
文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
- 登录堡垒机系统。
- 选择,进入应用服务器列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
图2 导入应用服务器
- 如果本地没有可编辑的模板,可以单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写要导入的应用服务器配置信息。
- 单击“单击上传”,选择要导入的文件。
- (可选)勾选“覆盖已有应用服务器”,默认不勾选。
- 勾选,表示当应用服务器名称重复时,覆盖原有应用服务器信息。
- 不勾选,表示当应用服务器名称重复时,跳过重复的应用服务器信息。
- 单击“确定”,可以在列表中看到新增的应用服务器。
添加单个应用资源
- 登录堡垒机系统。
- 选择,进入应用发布列表页面。
- 单击“新建”,进入应用发布资源配置窗口。
表3 添加应用资源参数说明 参数
说明
应用名称
自定义的应用发布名称,系统内“应用名称”不能重复。
说明:应用名称全系统唯一,不能重复,也不能与主机名称重复。
应用服务器
选择已创建的应用发布服务器。
所属部门
选择应用所属部门。
应用地址
(可选)输入有效IP或域名。
- 应用发布为浏览器时,输入网页地址。若地址有对应的端口,则地址为URL:端口号。
- 应用发布为数据库或客户端时,输入数据库服务器的地址。
应用端口
(可选)输入应用访问端口。
- 应用发布为数据库时,输入对应数据库访问的端口。
- 应用发布为除数据库外其他应用时,无需填写。
应用参数
(可选)输入应用相关参数。
- 应用发布为数据库时,输入实例名。
- 应用发布为除数据库外其他应用时,无需填写。
自定义参数
(可选)输入应用的自定义参数。
- 代填节点:填写被代填输入框的Selector路径。例如:#accountNamed > input
如何获取Selector路径,请参见获取Selector路径。
- 代填内容:填写代填的文本,可使用{account}或者{password}替代应用账户和密码。
勾选参数识别
(可选)开启后,将自动识别勾选框并勾选。用于控制登录页所有能识别的可勾选框,如浏览器需要勾选用户隐私协议等。
仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。
勾选参数
(可选)开启“勾选参数识别”后,可设置勾选节点,即被勾选复选框的Selector路径。例如:用户隐私协议:.agreement input[type="checkbox"]
如何获取Selector路径,请参见获取Selector路径。
仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。
自动登录
(可选)开启后,当浏览器登录Web类资源时,无需手动单击登录按钮,可自动登录资源。
仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。
登录按钮
开启“自动登录”后,须设置自动登录按钮的Selector路径。例如:#login-button
如何获取Selector路径,请参见获取Selector路径。
仅当“应用服务器”选择为Chrome、Firefox-Windows、Firefox-Linux类型的服务器时,才支持设置本参数。
更多选项
(可选)设置在运维过程中,会话窗口功能选项。
标签
(可选)自定义标签或选择已有标签。
应用描述
(可选)对应用发布的简要描述。
- 单击“下一步”,进入资源账户配置页面。
表4 添加应用资源账户参数说明 参数
说明
添加账户
- 选择“立即添加”,需要继续配置依次配置“登录方式”、“应用账户”等信息。
- 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加账户。
单击“确定”,自动创建一个“[Empty]”资源账户(一个应用仅包含一个“[Empty]”账户)。
登录方式
- 登录方式为“自动登录”时,“应用账户”和“密码”为必填项。
- 登录方式为“手动登录”时,可选设置“应用账户”。
未设置“应用账户”时,自动创建一个“[Empty]”资源账户。
应用账户
访问应用使用的账户名。
密码
应用账户对应的密码。
AD域
针对Radmin类型应用,可填入AD域地址。
账户描述
对资源账户的简要描述。
登录“[Empty]”账户时,需在运维会话窗口手动输入应用账户名和密码。
- 单击“确认”,返回应用发布列表页面,查看新建的应用发布服务。
从文件导入应用资源
文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
- 登录堡垒机系统。
- 选择,进入应用发布列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
图3 导入应用发布
- 单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写要导入的应用发布服务配置信息。
- 单击“单击上传”,选择要导入的文件。
- (可选)勾选“覆盖已有应用”,默认不勾选。
- 勾选,表示当应用名称重复时,覆盖原有应用信息。
- 不勾选,表示当应用名称重复时,跳过重复的应用信息。
- 单击“确定”,可以在应用发布服务列表中看到新增的应用发布。
