命令授权工单
堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。
当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。
本小节主要介绍如何管理命令控制工单。
约束限制
仅SSH和Telnet协议类型的Linux主机,支持拦截敏感操作生成工单。
前提条件
- 已获取“命令授权工单”模块管理权限。
- 已触发命令拦截,生成命令授权工单。
操作步骤
- 登录堡垒机系统。
- 选择
,进入命令授权工单列表页面。图2 命令授权工单
- 提交工单。
命令授权工单可通过“自动提交”和“手动提交”。工单提交方式说明请参见配置工单基本模式。
- 若为自动提交方式,则由系统自动提交工单给管理员审批。
- 若为手动提交方式,则需运维用户在工单列表页面,单击指定工单“操作”列的“提交”,手动提交工单给管理员审批。
- 若工单被管理员驳回,可修改工单信息后再次提交工单。
图3 已提交工单状态
- 撤回工单。
单击指定工单“操作”列的“撤回”,即可取消已提交的工单申请,工单状态变为“已撤回”。
- 修改工单信息。
- 单击“管理”,进入工单详情页面,即可查看工单基本信息。
- 单击工单详情页面编辑,即可修改工单授权运维时间。
“审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。
- 删除工单。
- 单击指定工单“操作”列的“删除”,可以删除该工单。
- 同时勾选多个工单,单击列表下方的“删除”,批量删除多个工单。
删除后工单信息不能找回,请谨慎操作。
后续管理
- 运维用户提交工单后,相关管理员即可在“消息中心”收到提醒,查看详细工单内容。并可在工单审批页面收到工单,可对工单进行批准或驳回操作。
- 相关管理员审批工单通过后,运维用户权限立刻生效,即可在授权范围和时间段拥有命令操作权限。
- 相关管理员撤销工单权限后,运维用户权限立刻失效,操作命令会再次被拦截。