通过堡垒机纳管应用服务器
通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入堡垒机管理的功能。
用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。
堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。
本章节主要介绍通过添加单个应用服务器、从文件导入应用服务器、添加单个应用发布、从文件导入应用发布,将应用资源纳入堡垒机进行集中管理。
约束限制
- 添加的主机和应用资源数量总和不能超过资产数。
- 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。
- 支持对Centos7.9系统的Linux服务器的应用进行管理。
- Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。
- Linux服务器和堡垒机之间需要开通的端口号:2376和35000~40000,且端口号不可修改。
- Linux服务器的密码请联系华为云技术支持获取。
- 添加应用发布前,需已添加应用服务器。
- Edge浏览器应用不支持配置自动登录账户。
前提条件
- 已有Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源,用于部署应用发布服务器。
- 已成功安装应用服务器,详细操作指导请参见安装应用发布服务器。
- 已获取“应用服务器”和“应用发布”模块管理权限。
添加单个应用服务器
- 登录堡垒机系统。
- 选择 ,进入应用服务器列表页面。
- 单击“新建”,进入应用服务器配置窗口。
图1 新建应用发布服务器
表1 应用服务器参数说明 参数
说明
服务器类型
- Windows
- Linux
服务器名称
自定义的访问应用服务器名称,系统内“服务器名称”不能重复。
服务器地址
输入访问应用的服务器IP地址或域名。
类型
选择访问应用的浏览器或客户端工具类型。
- “服务器类型”选择“Windows”时:
默认支持14种类型,包括MySQL Tool、Edge、Firefox-Windows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other。
- “服务器类型”选择“Linux”时:
支持类型:DM Tool、KingbaseES Tool、Firefox-Linux、GBaseDataStudio for GBase8a。
每一类应用类型默认一种应用程序,可在默认“程序启动路径”中获取应用程序名称。
端口
输入访问应用发布服务器的端口,Windows服务器默认为3389,Linux服务器固定为2376。
服务器账户
“服务器类型”选择“Windows”时,需要配置此参数。
输入访问应用的服务器账户。
因应用服务器通过AD域安装,“服务器账号”输入格式为域名\账户名,例如ad\administrator。
密码
- “服务器类型”选择“Windows”时,输入访问应用的服务器账户的密码。
- “服务器类型”选择“Linux”时,密码联系华为云技术支持获取。
所属部门
选择应用服务器的归属部门。
程序启动路径
“服务器类型”选择“Windows”时,需要配置此参数。
输入限制应用资源访问应用服务器上的具体应用的程序路径。
- 选择“Other”类型,必须手动配置相应程序路径。
服务器描述
(可选)对应用服务器的简要描述。
- 单击“确定”,返回应用服务器列表中查看新增的服务器。
从文件导入应用服务器
文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
- 登录堡垒机系统。
- 选择 ,进入应用服务器列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
图2 导入应用服务器
- 如果本地没有可编辑的模板,可以单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写要导入的应用服务器配置信息。
- 单击“单击上传”,选择要导入的文件。
- (可选)勾选“覆盖已有应用服务器”,默认不勾选。
- 勾选,表示当应用服务器名称重复时,覆盖原有应用服务器信息。
- 不勾选,表示当应用服务器名称重复时,跳过重复的应用服务器信息。
- 单击“确定”,可以在列表中看到新增的应用服务器。
添加单个应用发布
- 登录堡垒机系统。
- 选择 ,进入应用发布列表页面。
- 单击“新建”,进入应用发布资源配置窗口。
图3 新建应用
表2 新建应用发布参数说明 参数
说明
应用名称
自定义的应用发布名称,系统内“应用名称”不能重复。
说明:应用名称全系统唯一,不能重复,也不能与主机名称重复。
应用服务器
选择已创建的应用发布服务器。
所属部门
选择应用所属部门。
应用地址
(可选)输入有效IP或域名。
- 应用发布为浏览器时,输入网页地址。若地址有对应的端口,则地址为URL:端口号。
- 应用发布为数据库或客户端时,输入数据库服务器的地址。
应用端口
(可选)输入应用访问端口。
- 应用发布为数据库时,输入对应数据库访问的端口。
- 应用发布为除数据库外其他应用时,无需填写。
应用参数
(可选)输入应用相关参数。
- 应用发布为数据库时,输入实例名。
- 应用发布为除数据库外其他应用时,无需填写。
更多选项
(可选)选择文件管理、上行剪切板、下行剪切板、键盘审计。
标签
(可选)自定义标签或选择已有标签。
应用描述
(可选)对应用发布的简要描述。
- 单击“下一步”,进入资源账户配置页面。
表3 添加应用资源账户 参数
说明
添加账户
- 选择“立即添加”,需要继续配置依次配置“登录方式”、“应用账户”等信息。
- 选择“以后添加”,将结束本页配置,后续您可以在资源列表或资源详情中添加账户。
单击“确定”,自动创建一个“[Empty]”资源账户(一个应用仅包含一个“[Empty]”账户)。
登录方式
- 登录方式为“自动登录”时,“应用账户”和“密码”为必填项。
- 登录方式为“手动登录”时,可选设置“应用账户”。
未设置“应用账户”时,自动创建一个“[Empty]”资源账户。
应用账户
访问应用使用的账户名。
密码
应用账户对应的密码。
AD域
针对Radmin类型应用,可填入AD域地址。
账户描述
对资源账户的简要描述。
登录“[Empty]”账户时,需在运维会话窗口手动输入应用账户名和密码。
- 单击“确认”,返回应用发布列表页面,查看新建的应用发布服务。
从文件导入应用发布
文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
- 登录堡垒机系统。
- 选择 ,进入应用发布列表页面。
- 单击界面右上角的“导入”,弹出配置界面。
图4 导入应用发布
- 单击“单击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写要导入的应用发布服务配置信息。
- 单击“单击上传”,选择要导入的文件。
- (可选)勾选“覆盖已有应用”,默认不勾选。
- 勾选,表示当应用名称重复时,覆盖原有应用信息。
- 不勾选,表示当应用名称重复时,跳过重复的应用信息。
- 单击“确定”,可以在应用发布服务列表中看到新增的应用发布。
批量导出应用服务器列表
- 在“应用发布”页面,勾选需要导出的应用资源。
若不勾选,默认导出全部主机资源。
- 右上角单击,弹出导出应用资源确认窗口。
- 设置加密密码,将导出文件加密。
- 输入当前用户的密码,确保导出数据安全。
- 单击“确认”,下载文件到本地,打开本地文件,即可查看导出的应用资源信息。