堡壘主機用戶操作手冊運維管理

1、堡壘主機用戶操作手冊運維管理版本 2.3.22011-06 目錄1.前言.1.1.系統簡介.1.2.文檔目的.1.3.讀者對象.2.登錄系統 .2.1.靜態口令認證登錄 . 32.2.字證書認證登錄.2.3.動態口令認證登錄.2.4.LDAP認證登錄.2.5.單點登錄工具.單點登錄（SS0 .3.1.安裝控件.32單點登錄工具支持列表 .3.3.單點登錄授權資源查詢 .3.4.單點登錄操作 .Win dows 資源類（域內主機 域控制器windows20032008）UnixLin ux 資源類 .數據庫（獨立）資源類 .ORACLE_PLSQL點登錄.ORACLE_SQLDevelepe 單

2、點登錄.MSSQLServer200（查詢分析器單點登錄.MSSQLServer2000 企業管理器單點登錄.SQLServer2005ManagementStudio 單點登錄.3.SQLServer2008ManagementStudio 單點登錄.SybaseDbisqlg 單點登錄.SQL-Front 單點登錄.數據庫（系統）資源類單點登錄（DB2/informix ）網絡設備（其他）資源類.Web 應用資源類.1. 前言1.1.簡介堡壘主機系統運維管理是堡壘主機系統中使用最為頻繁的一個平臺。它面向 的對象是，企業的運維人員。該模塊是堡壘主機系統為運維人員提供的登錄入口。 因此堡壘主機

3、系統加強了登錄的認證手段，提高安全性的同時不失用戶的方便 性。運維人員登錄堡壘主機系統認證成功后，將不會繼續認證。從堡壘主機單點 登錄平臺可以登錄任意經過授權的資源。 堡壘主機系統為每次訪問資源都建立了 唯一的授權一次性會話號，用以確保登錄會話的安全性。1.2.文檔目的堡壘主機系統運維管理手冊是指導運維人員如何登錄堡壘主機系統認證和 訪問資源。 在該模塊中經常會有很多的問題出現。 通過該手冊能夠解決運維人員 的常見問題。1.3.讀者對象本文檔適用于企業運維人員使用。2. 登錄系統系統登錄主要的工作就是系統認證。 堡壘主機系統登錄界面隨系統配置的認 證方式不同而有所差異。堡壘主機支持的認證方式包

4、括靜態口令認證、 數字證書認證、 動態口令認證、LDAF 域認證、指紋認證等。圖 .靜態口令認證登錄圖 2.1.1用戶需要輸入用戶名及口令后，點擊登錄按鈕后登錄系統。2.2.字證書認證登錄堡壘主機系統證書認證登錄， 支持的形式包括軟證書認證， Usbkey 證書認證 兩種。這兩種形式的唯一區別在于證書所依賴的存儲截止不同。 Usbkey 證書只 是將證書導入 Usb 硬件 Key 中，安全性相應增加。但無論證書以哪種方式存在， 堡壘主機系統都會統一對待。圖 2.2.1圖 2.2.2由于在上一操作步驟中選擇的是名稱為 simper 證書，所以堡壘主機系統此 時自動將用戶名鎖定，

5、禁止自然人修改登錄用戶名。 防止身份篡改。 此時， 用戶 需要輸入 simper用戶口令即可進行靜態口令認證。 靜態口令操作內容請參考 2.1 章節。2.3.動態口令認證登錄圖 3.1.2堡壘主機系統的動態口令登錄認證，采用的是雙因子認證方式。也就是說， 用戶需要輸入動態口令的同時必須輸入自身的靜態口令作為 PIN 碼。當兩項認證 都通過時才可以進入堡壘主機系統。 這一點與數字證書認證方式是類似的。 這種 方式大大增強了系統登錄的安全性。24LDAP 域認證登錄圖 2.4.1與動態口令的認證方式類似，域口令認證需要在LDAP 域認證通過的情況下同時滿足自然人的靜態口令認證認證通過，此時才可以成

6、功進入堡壘主機系統。2.5.單點登錄工具圖 2.5.1“單點登錄控件” 字樣的下載鏈接，下載單點登錄工具。有關單點登錄工具詳細 內容請參見堡壘主機系統運維工程師操作手冊。3.單點登錄（ SS0）3.1. 安裝控件在元目錄 - 幫助或登錄頁 -圖 3.1.1圖 3.1.3注意：為避免安裝失敗請關閉所有 IE 窗口圖 3.1.4圖 3.1.5圖 3.1.6圖 .單點登錄工具支持列表資源類型支持的單點登錄工具wi ndows 資源mstscftpunix 資源SecureCRTSecureNetTermFTPSFTPXwin dow數據庫（獨立）oraclePL/SQLsqlserv

7、er2000查詢分析器企業管理器sqlserver2005SQL Server 2005 Man ageme nt Studiosqlserver2008SQL Server 2008 Man ageme nt StudiosybaseSybase DbisqlgmysqlSQL-Fro nt數據庫（系統）DB2DB2空制中心INFORMIXWin sql網絡設備（RADIUSSecureCRTSecureNetTerm網絡設備（LOCALSecureCRTSecureNetTerm圖 . 單點登錄授權資源查詢在SSO列表界面點擊査詢圖 3.3.1如圖所示：【資源名稱查詢】依照

8、資源名稱進行查詢。圖 3.3.2【資源 IP 查詢】依照資源 IP 進行模糊查詢。3.4. 單點登錄操作3.4.1. Windows 資源類（域內主機 域控制器windows20032008）在 SSO 列表界面中選擇 windows 主機的 I咗圖 341.2如圖所示：【資源 IP 選擇】對于部分多 IP 設備可選擇 IP 進行登錄?！究刂婆_選擇】等同于 mstsc/admin 或 mstsc/console 的控制臺登錄【RDP 單點登錄】點擊并進行標準遠程桌面的 RDF 登錄【登錄會話號登錄】依照資源 IP 進行會話號方式的登錄第一步：點擊慣.1轉曹WL1K理ML斟餡【RDF 網頁登錄方

9、式】無需安裝單點登錄控件的單點登錄方式?！緑nc 登錄】參考【RDF 登錄方式】【vnc 網頁登錄方式】參見【RDP 網頁登錄方式】?！緒indowsFTP 登錄方式】點擊注意：本功能需要客戶機安裝 SSC 控件，并安裝 JR 呂【windowsFTP 網頁登錄方式】點擊可進行無插件 FTP 單點登錄?！緒indows 文件共享登錄方式】與【可鬥 dowsFTP 登錄方式】相同【windows 文件共享網頁登錄方式】與【可dowsFTP 網頁登錄方式】相同342.Un ixLi nux 資源類在 SSO 列表界面中選擇相應 UnixLinux 主機的-圖 第三步：選擇大小后點擊按

10、鈕第一步：點擊【資源 IP 選擇】對于部分多 IP 設備可選擇 IP 進行登錄【通訊協議選擇】依據需要訪問資源的通訊協議進行選擇SSHTELNE 方式【會話號登錄】獲取單點登錄目標資源的一次性會話號第一步：點擊.二【UNIXLINUX 網頁登錄方式】無需安裝單點登錄控件的單點登錄方式員完成無插件單點登錄注意：本功能需要客戶機安裝 SSC 控件，并安裝 JR 呂【UnixLinuxSFTP 登錄方式】與【UnixLinuxFTP 登錄方式】相同【UnixLinuxSFTP 網頁登錄方式】與 2 門 ixLinuxFTP 網頁登錄方式】相同【x-windows 登錄】點擊下圖所標注的按鈕進行 x-

11、windows 登錄，具體操作方法與【RDP 網頁登錄方式】相同【x-windows 會話號登錄方式】參見【RDF 會話號登錄方式】登錄【CRT 登錄】點擊并進行 SecureCRT 單點登錄【NeTerm 登錄】 點擊-上_）并進行 SecureNeTerm 單點登錄，點擊【Un ixLinuxFTP登錄方式】點擊 【Un ixLinuxFTP可進行無插件 FTP 單點登錄網頁登錄方式】點擊【x-windows 網頁登錄方式】參見【RDP 網頁登錄方式】?！緑nc 登錄】參見【RDP 網頁登錄方式】【vnc 會話號登錄方式】參見【RDP 會話號登錄方式】。【vnc 網頁登錄方式】參見【RDP

12、 網頁登錄方式】。343.數據庫（獨立）資源類在介紹本部分以前請先熟悉一下應用發布的原理如下圖：對于數據庫類資源堡壘主機需要通過中間的應用發布服務器（參見下圖）完 成對目標數據庫的單點登錄，通過應用發布服務器完成數據庫客戶端的單點登錄 并保證審計業務完整.在 SSO 列表界面中選擇數據庫的匹皂1按鈕進入數據庫資源單點登錄界面，點擊相應登錄方式即完成對目標數據庫資源的單點登錄?！举Y源 IP 選擇】對于部分多 IP 設備可選擇 IP 進行登錄?！緯捥柕卿洝揩@取單點登錄目標資源的一次性會話號【應用發布服務選擇】3.4.4.ORACLE PLSQL 點登錄在圖形下來菜單中選擇登錄身份（Normal

13、為普通身份，SYSDB 為系統管理員身份，SYSOPE 為系統操作員身份）345.ORACLE_SQLDevelepe 單點登錄346.MSSQLServer200（查詢分析器單點登錄3.4.7.MSSQLServer200（企業管理器單點登錄自然人身份登錄，點擊相應 MSSQLServer20003.4.8.SQLServer2005Ma nageme ntStudio 單點登錄自然人身份登錄，點擊相應 MSSQLServer2003.4.9.SQLServer2008Ma nageme ntStudio 單點登錄自然人身份登錄，點擊相應 MSSQLServer2003.4.10.Sybas

14、eDbisqlg 單點登錄自然人身份登錄，點擊相應 Sybase點擊Sybase自然*3.4.11.SQL-Front 單點登錄3.4.12.數據庫（系統）資源類單點登錄（DB2/informix）賬號圖 3412.2【資源 IP 選擇】對于部分多 IP 設備可選擇 IP 進行登錄【通訊協議選擇】依據需要訪問資源的通訊協議進行選擇 SSHTELNE 方式登錄巴并進行 SecureNeTerm 單點登錄，同【CRT 登錄】【會話號登錄】獲取單點登錄目標資源的一次性會話號第一步：點擊理捋IF：(W|【UNIXLINUX 網頁登錄方式】無需安裝單點登錄控件的單點登錄方式，點擊控制中心單點登錄【win

15、sql/DB2 控制中心會話號登錄方式】參見【RDF 會話號登錄方式】【CRT 登錄】點擊并進行 SecureCRT【NeTerm 登錄】 點擊【winsql 登錄方式】對于 informix【DB2 控制中心登錄方式】對于 DB2 點擊按鈕進行 DB2 控制中心【winsql/DB2 控制中心網頁登錄方式可進行無插件 winSQL/DB2數據庫點擊在介紹這一部分之前先簡單說明 RADIUS 方式的原理：Raidus ( RemoteAuthenticationDiallnUserService)是對遠端撥號接入用戶的認證服務，Radius 服務分客戶端和服務器端，通常我們公司的接入產品支持的

16、 是客戶端，負責將認證等信息按照協議的格式通過UDP 包送到服務器，同時對服務器返回的信息解釋處理。而對于堡壘機方案來說就是由堡壘主機開啟Radius 服務，而將網絡設備的3A 指向堡壘機。在 SSO 列表界面中選擇相應網絡設備的因芝圖 【資源 IP 選擇】對于部分多 IP 設備可選擇 IP 進行登錄。【通訊協議選擇】依據需要訪問資源的通訊協議進行選擇 SSHTELNE 方式登錄【會話號登錄】獲取單點登錄目標資源的一次性會話號3413.網絡設備(其他)資源類【CRT 登錄】點擊并進行 SecureCRT 單點登錄【NeTerm 登錄】 點擊上！ J 并進行 SecureNeTerm 單點登錄第一步：點擊査拖IF:用$366 3 11號二 ；VEF!.* iaiKwarrssr【UNIXLINUX 網頁登錄方式】無需安裝單點登錄控