文档首页/ 云堡垒机 CBH/ 用户指南/ 资源管理/ 等密账户组
更新时间:2026-05-22 GMT+08:00
查看PDF
分享

等密账户组

操作场景

在日常的主机管理中,用户经常需要对同一台主机上的不同账户进行管理,例如使用root账户通过SSH和SFTP端口进行操作。然而,在当前的堡垒机系统中,即使是对同一主机的同一账户(如root),在不同的端口下使用时,系统会将其视为不同的资源账户(如root@sshroot@sftp)。这种情况下,当用户对其中一个账户进行密码修改时,系统无法自动识别并同步修改其他相关账户的密码,导致账户管理的不便和安全风险。如何解决这一问题,确保账户密码的一致性和安全性?为此,CBH引入了等密账户组的概念,通过该功能,用户可以将同一主机下不同端口的相同账户设置为等密账户组,实现密码修改的同步,从而简化账户管理流程,提高系统的安全性和管理效率。

约束与限制

  • 仅支持对协议为SSH、SFTP、SCP的主机账户,且登录方式为自动登录或提权登录的资源账户进行等密账户组分组。
  • 通过等密账户组触发的改密只针对堡垒机内保存的密码,不会修改实际主机的密码,如需修改实际主机的密码,请使用改密策略
  • 当同一个等密账户组中的多个账户,在同一个改密策略中时,会优先选择带有SSHkey的账户进行改密;如果该账户有SSHkey,改密时会优先使用SSHkey进行登录,如果该账户没有SSHkey,则使用等密账户组的密码进行登录。
  • 选择了一个账户之后,改密策略中,同一个等密账户组内的其他账户将不再进行改密,该账号的改密结果作为整个等密账户组在同一个改密策略下的改密结果。
  • 仅V3.3.66.0及以上版本实例支持等密账户组功能。

前提条件

  • 已获取“等密账户组”模块操作权限。
  • 系统中已存在支持等密账户组分组的资源账户。

自动分组(仅admin可操作)

系统管理员admin可执行自动分组操作,使堡垒机系统中的所有符合条件的资源账户按一定规则进行自动分组,可提升分组效率。

分组规则

  • 主机IP、端口、账户名相同的SSH、SCP和SFTP协议的账户会分到同一组下。
  • 已经在等密账户组中的账户不参与自动分组。
  • 不存在相同的账户则不会被自动分组。
  • 自动分组的等密账户组名称为“账号-IP”。
  • 等密账户组不支持应用账户。
  • 提权账号不支持分组。

操作步骤

  1. 登录堡垒机系统。
  2. 在左侧导航树,选择资源 > 等密账户组,进入等密账户组列表页面。
  3. 在列表的右上方单击“自动分组”
  4. 请仔细阅读弹框中的自动分组提示信息,确认无误后,单击“开始分组”

    您可以在右上方单击,进入任务中心,查看自动分组结果。

    • 在自动分组进行过程中,可以手动对未自动分组的资源账户进行分组,手动分组之后,自动分组将不再对该资源账户做分组操作。
    • 自动分组完成之后,新增的资源账户不会进行自动分组,请进行手动分组,或再次执行自动分组。

手动分组

方式一:手动创建等密账户组

通过手动方式,仅可创建单个等密账户组,后续,您还需要根据实际情况对资源账户进行分组,具体操作请参见添加等密账户组成员移除等密账户组成员

  1. 登录堡垒机系统。
  2. 在左侧导航树,选择资源 > 等密账户组,进入等密账户组列表页面。
  3. 单击“新建”
  4. 输入等密账户组的名称和描述信息后,单击“确定”

    创建完成后,您可以在等密账户组列表查看已创建的等密账户组。

方式二:批量导入等密账户组

通过导入方式,可将多个资源账户提前分组之后,通过一次导入,创建多个等密账户组。

  1. 登录堡垒机系统。
  2. 在左侧导航树,选择资源 > 等密账户组,进入等密账户组列表页面。
  3. 在列表的右上方单击
  4. 在弹框中单击“点击下载”,将模板下载到本地。
  5. 将模板填写完成后,上传模板。
  6. 单击“确定”

    导入完成后,您可以在等密账户组列表查看已导入的等密账户组。

添加等密账户组成员

约束与限制

  • 首个添加到等密账户组内的账户的密码,会作为等密账户组的密码,后续加入组内的账户,在使用密码时均使用组密码。首个添加到等密账户组内的账户,不允许添加密码为空的账户。
  • 只允许添加主机账号,协议为SSH、SFTP、SCP,登录方式为自动登录、提权登录的账号。
  • 空的等密账户组在首次添加时,如果选择多个账户,自动登录的账户会校验账户名、IP、端口、密码是否一致,如果密码不一致,则加入失败,并提示添加失败。
  • 空的等密账户组在首次添加时,如果选择多个账户,提权登录的账户会校验IP、端口、密码是否一致,如果密码不一致,则加入失败,并提示添加失败。
  • 空的等密账户组在首次添加时,如果选择多个账户,同时存在自动登录和提权的账户,会分别校验,然后再各取一个校验IP、端口、密码是否一致,如果密码不一致,则加入失败,并提示添加失败。
  • 非首个添加到等密账户组的账户,在添加时,会校验账户的IP和端口是否与组内的账户一致,如果不一致,则加入失败,并提示添加失败。
  • 非首个添加到等密账户组的账户,如果添加了不同的账户到等密组中,可能会导致不属于等密组内的账户密码丢失,此时请联系技术支持帮助找回。

操作步骤

  1. 登录堡垒机系统。
  2. 在左侧导航树,选择资源 > 等密账户组,进入等密账户组列表页面。
  3. 在目标等密账户组的“操作”列,单击“添加成员”
  4. 在添加成员的弹框中,勾选需要加入到该等密账户组的资源账户后,单击“确定”

移除等密账户组成员

加入等密账户组后的账户,如果在组密码没有修改的状态下直接移除,则移除后的账户密码与加入组之前一致;如果是在组密码修改之后移除,则会使用修改之后的组密码作为账户密码。

  1. 登录堡垒机系统。
  2. 在左侧导航树,选择资源 > 等密账户组,进入等密账户组列表页面。
  3. 在目标等密账户组的“操作”列,单击“移除成员”
  4. 在移除成员的弹框中,勾选需要从该等密账户组中移除的资源账户后,单击“确定”

后续操作

等密账户组分组完成之后,在资源账户中进行手动修改账户密码或者导入更新账户密码、或通过改密策略修改账户密码后,会触发等密账户组密码的修改。更多信息,请参见资源账户改密策略

父主题: 资源管理

相关文档