1、 运维安全堡垒平台管理员手册第 1 页麒麟开源堡垒机管理员手册 麒麟开源运维安全堡垒平台管理员手册第 2 页目录1 概述 .51.1 功能介绍 .51.2 名词解释 .51.3 环境要求 .62 管理员登录 .73 初始基本配置 .104 目录管理 .114.1 目录说明 .114.2 目录创建 .125 账号管理 .145.1 用户角色 .145.2 运维账号管理 .155.2.1 添加用户 .155.2.2 批量添加用户 .175.2.3 批量编辑用户 .185.3 RADIUS 账号 .185.4 目录管理 .195.5 在线用户管理 .195.6 登录策略 .195.7 设备管理 .2
2、05.8 设备信息导入导出 .245.9 普通用户自动登录 root 账号 .255.10 目录节点管理 .255.11 系统用户组 .275.12 应用发布 .295.12.1 应用发布服务器 .295.12.2 添加为资产设备 .295.12.3 添加为应用发布服务器 .31运维安全堡垒平台管理员手册第 3 页5.12.4 应用发布 .315.13 SSH 公私鈅上传 .336 权限查询 .346.1 系统权限查询 .346.2 应用权限查询 .357 策略设置 .367.1 默认策略 .367.2 来源 IP 组 .377.3 周组策略 .397.4 命令组 .407.5 命令权限 .4
3、17.6 自动改密 .427.7 系统类型 .437.8 授权策略 .438 密码密钥文件 .449 系统配置 .449.1 参数配置 .449.2 VPN 配置 .449.3 系统参数 .459.4 密码策略 .459.5 高可用性 .469.6 告警配置 .469.7 告警参数 .4710 系统管理 .4810.1 服务状态 .4810.2 系统状态 .4810.3 配置备份 .4910.4 数据同步 .4911 VPN 配置 .50运维安全堡垒平台管理员手册第 4 页12 动态口令 .5112.1 USBKEY 导入 .5112.2 USBKEY 绑定 .5113 Licnese 管理
4、.5114 运维审计 .5314.1 操作审计 .5314.1.1 字符会话审计(Telnet/SSH) .5314.1.2 SFTP 和 FTP 会话审计 .5514.1.3 图形会话审计 .5614.1.4 应用审计 .6014.2 实时监控 .6214.3 审计查询 .6514.3.1 会话搜索 .6614.3.2 内容搜索 .6615 日志报表 .6716 个人信息修改 .70运维安全堡垒平台管理员手册第 5 页1 概述麒麟运维安全堡垒平台(以下简称麒麟运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降
5、低安全风险、满足等级保护级其他法规对 IT 内控合规性的要求。1.1 功能介绍麒麟运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。麒麟支持常用的运维工具协议(如 SSH、telnet、ftp、sftp、RDP、VNC 等),并可以应用发布的方式支持图形化运维工具。麒麟运维堡垒机支持旁路模式和 VPN 模式两种方式,物理上旁路部署,灵活方面。麒麟运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。1.2 名词解释控制台指麒麟运维堡垒机提供给管理员实现对它进行管理的 Web 系统。管理员指麒麟运维堡垒机系
6、统的管理员,按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员,按照权限分立的原则分别承担不同的职责。超级管理员:是内置的最高权限管理员,可以创建其他管理员角色用户账运维安全堡垒平台管理员手册第 6 页号。配置管理员:负责资产管理、授权管理等。组管理员:只对特定组的资产管理、授权管理。审计员:只负责完成审计工作;密码管理员:负责维护资产设备的账号密码。协议 指麒麟运维堡垒机运维工具所用的通信协议,比如 Putty 使用 SSH 协议,CRT 支持 SSH 和 Telnet 等。工具指运维人员实现对设备的维护所使用的工具软件。设备账号指运维目标资产设备的用于维护的系统账户。自动登
7、录指麒麟运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO) 。命令阻断指麒麟根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,麒麟会拒绝转发此操作命令目标设备,同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。应用发布指通过在应用发布服务器部署应用程序,提供给用户远程虚拟化方式进行使用,就如同安装在本地一样的效果。1.3 环境要求麒麟运维堡垒机管理控制台为 Web 系统,要求客户端采用支持 IE 内核的浏览器登录,因为需要支持 ActiveX 控件,推荐使用 IE 浏览器,支持IE8、IE9
8、、IE10。 。另外,终端还需要安装 JRE 环境,支持麒麟 Web Portal运维安全堡垒平台管理员手册第 7 页的 Java Applet。2 管理员登录麒麟运维堡垒机管理控制台采用 HTTPS 安全通信连接,默认端口是 443。管理员登录控制台的方式是,以 IE 为例,在浏览器地址栏输入:https:/麒麟-ip麒麟运维堡垒机超级管理员的账号和密码是“admin/12345678” 。麒麟运维堡垒机初始状态未启用动态口令认证,因此初次登录不需要输入动态口令。另外,麒麟运维堡垒机还有两个预设的管理员用户,audit 和 password,分别是审计员账户和密码管理员账户,默认密码也是“1
9、2345678” 。管理控制台登录界面如下图所示。登录成功后界面如下图,进入系统当前状态界面。然后管理员可以根据需要选择功能菜单执行预期的管理操作。运维安全堡垒平台管理员手册第 8 页超级管理员可以完成其他所有管理员可以做的工作,因此超级管理员界面的功能就是管理控制台的所有功能,其他管理员操作界面只是其的一个子集。以非超级管理员的其他管理员身份登录,系统会要求首先修改个人账户密码,如下图所示:配置管理员登录后的操作界面如下图所示:运维安全堡垒平台管理员手册第 9 页密码管理员登录后的操作界面如下图所示:审计员登录后的操作界面如下图所示:组管理登录后的操作界面如下图所示:运维安全堡垒平台管理员手
10、册第 10 页不同角色管理员功能职责允许有交叉,超级管理员可以承担所有管理工作,比如他可以承担审计员的工作,其他管理员权限也可以根据需要进行授权。本文档对管理员功能的介绍按照功能模块进行组织,不同角色管理员根据自己的授权和管理界面,在对应功能模块章节查看操作说明。3 初始基本配置开始使用堡垒机,管理员应先进行一下配置检查,根据实际应用需要配置必要的系统参数,构建适合本单位的系统工作环境。1、 系统时间同步系统配置参数配置中的系统参数选项卡中各项需要确认,尤其是系统时间,有条件的请配置合适的 NTP 服务器,保证运维堡垒机时间的准确性。2、密码策略账号管理是麒麟运维堡垒机的核心功能之一,账号密码的安全性不容忽视,应在创建账号前首先确定密码安全策略,如下图所以。
