堡垒主机用户操作手册运维管理版本2.3.22011-06目录1.前言......................................................1.1.系统简介 ..............................................1.2.文档目的 ..............................................1.3.读者对象 ..............................................2.登录系统..................................................2.1.静态口令认证登录 (3)2.2.字证书认证登录 ........................................2.3.动态口令认证登录 ......................................2.4.LDAP域认证登录........................................2.5.单点登录工具 ..........................................3.单点登录(SS0)...........................................3.1.安装控件 ..............................................3.2.单点登录工具支持列表 ..................................3.3.单点登录授权资源查询 ..................................3.4.单点登录操作 ..........................................Windows资源类(域内主机\域控制器\windows2003\2008)Unix\Linux资源类...............................数据库(独立)资源类 ...........................ORACLE_PLSQL单点登录...........................ORACLE_SQLDeveleper单点登录....................MSSQLServer2000查询分析器单点登录..............MSSQLServer2000企业管理器单点登录..............SQLServer2005ManagementStudio单点登录..........SQLServer2008ManagementStudio单点登录..........SybaseDbisqlg单点登录..........................SQL-Front单点登录.............................. 数据库(系统)资源类单点登录(DB2/informix) ... 网络设备(RADIUS\local\其他)资源类 ............ Web应用资源类..................................1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
该模块是堡垒主机系统为运维人员提供的登录入口。
因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。
运维人员登录堡垒主机系统认证成功后,将不会继续认证。
从堡垒主机单点登录平台可以登录任意经过授权的资源。
堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。
1.2.文档目的堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。
在该模块中经常会有很多的问题出现。
通过该手册能够解决运维人员的常见问题。
1.3.读者对象本文档适用于企业运维人员使用。
2.登录系统系统登录主要的工作就是系统认证。
堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。
堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。
2.1.静态口令认证登录图2.1.1用户需要输入用户名及口令后,点击登录按钮后登录系统。
2.2.字证书认证登录堡垒主机系统证书认证登录,支持的形式包括软证书认证,Usbkey证书认证两种。
这两种形式的唯一区别在于证书所依赖的存储截止不同。
Usbkey证书只是将证书导入Usb硬件Key中,安全性相应增加。
但无论证书以哪种方式存在,堡垒主机系统都会统一对待。
图2.2.1图2.2.2由于在上一操作步骤中选择的是名称为simper证书,所以堡垒主机系统此时自动将用户名锁定,禁止自然人修改登录用户名。
防止身份篡改。
此时,用户需要输入simper用户口令即可进行静态口令认证。
静态口令操作内容请参考2.1章节。
2.3.动态口令认证登录图2.3.1堡垒主机系统的动态口令登录认证,采用的是双因子认证方式。
也就是说,用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。
当两项认证都通过时才可以进入堡垒主机系统。
这一点与数字证书认证方式是类似的。
这种方式大大增强了系统登录的安全性。
2.4.LDAP域认证登录图2.4.1与动态口令的认证方式类似,域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过,此时才可以成功进入堡垒主机系统。
2.5.单点登录工具图2.5.1“单点登录控件”字样的下载链接,下载单点登录工具。
有关单点登录工具详细内容请参见《堡垒主机系统运维工程师操作手册》。
3.单点登录(SS0)3.1.安装控件在元目录->帮助或登录页->图3.1.1图3.1.2注意:为避免安装失败请关闭所有IE 窗口图3.1.4图3.1.5图3.1.6图3.1.73.2. 单点登录工具支持列表 资源类型windows资源mstsc ftpunix资源SecureCRT SecureNetTerm FTP SFTP Xwindow数据库(独立)oracle PL/SQLsqlserver2000查询分析器企业管理器sqlserver2005sqlserver2008sybase Sybase Dbisqlgmysql SQL-Front数据库(系统)DB2DB2控制中心INFORMIX Winsql网络设备(RADIUS)SecureCRT SecureNetTerm网络设备(LOCAL)SecureCRT SecureNetTerm支持的单点登录工具SQL Server 2005 Management StudioSQL Server 2008 Management Studio图3.2.13.3. 单点登录授权资源查询 在SSO 列表界面点击如图所示:【资源名称查询】依照资源名称进行查询。
图3.3.2【资源IP查询】依照资源IP进行模糊查询。
3.4.单点登录操作3.4.1.Windows资源类(域内主机\域控制器\windows2003\2008)在SSO列表界面中选择windows主机的图3.4.1.2如图所示:【资源IP选择】对于部分多IP设备可选择IP进行登录。
【控制台选择】等同于mstsc/admin或mstsc/console的控制台登录【RDP单点登录】点击并进行标准远程桌面的RDP登录【登录会话号登录】依照资源IP进行会话号方式的登录第一步:点击【RDP网页登录方式】无需安装单点登录控件的单点登录方式。
第一步:点击进入无插件RDP单点登录,第三步:选择大小后点击按钮【vnc登录】参考【RDP登录方式】【vnc网页登录方式】参见【RDP网页登录方式】。
【windowsFTP登录方式】点击注意:本功能需要客户机安装SSO控件,并安装JRE。
【windowsFTP网页登录方式】点击可进行无插件FTP单点登录。
【windows文件共享登录方式】与【windowsFTP登录方式】相同【windows文件共享网页登录方式】与【windowsFTP网页登录方式】相同3.4.2.Unix\Linux资源类在SSO列表界面中选择相应Unix\Linux主机的图3.4.2.1【资源IP选择】对于部分多IP设备可选择IP进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录【CRT登录】点击并进行SecureCRT单点登录【NeTerm登录】点击并进行SecureNeTerm单点登录【会话号登录】获取单点登录目标资源的一次性会话号第一步:点击【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,点击完成无插件单点登录。
【Unix\LinuxFTP登录方式】点击注意:本功能需要客户机安装SSO控件,并安装JRE。
【Unix\LinuxFTP网页登录方式】点击可进行无插件FTP单点登录。
【Unix\LinuxSFTP登录方式】与【Unix\LinuxFTP登录方式】相同【Unix\LinuxSFTP网页登录方式】与【Unix\LinuxFTP网页登录方式】相同【x-windows登录】点击下图所标注的按钮进行x-windows登录,具体操作方法与【RDP网页登录方式】相同【x-windows会话号登录方式】参见【RDP会话号登录方式】。
【x-windows网页登录方式】参见【RDP网页登录方式】。
【vnc登录】参见【RDP网页登录方式】【vnc会话号登录方式】参见【RDP会话号登录方式】。
【vnc网页登录方式】参见【RDP网页登录方式】。
3.4.3.数据库(独立)资源类在介绍本部分以前请先熟悉一下应用发布的原理如下图:对于数据库类资源堡垒主机需要通过中间的应用发布服务器(参见下图)完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整.在SSO列表界面中选择数据库的按钮进入数据库资源单点登录界面,点击相应登录方式即完成对目标数据库资源的单点登录。
【资源IP选择】对于部分多IP设备可选择IP进行登录。
【会话号登录】获取单点登录目标资源的一次性会话号【应用发布服务选择】3.4.4.ORACLE_PLSQL单点登录在图形下来菜单中选择登录身份(Normal为普通身份,SYSDBA为系统管理员身份,SYSOPER为系统操作员身份)3.4.5.ORACLE_SQLDeveleper单点登录3.4.6.MSSQLServer2000查询分析器单点登录3.4.7.MSSQLServer2000企业管理器单点登录自然人身份登录,点击相应MSSQLServer20003.4.8.SQLServer2005ManagementStudio单点登录自然人身份登录,点击相应MSSQLServer2003.4.9.SQLServer2008ManagementStudio单点登录自然人身份登录,点击相应MSSQLServer2003.4.10.SybaseDbisqlg单点登录自然人身份登录,点击相应Sybase点击[Sybase3.4.11.SQL-Front单点登录3.4.12.数据库(系统)资源类单点登录(DB2/informix)自然人身份登录,点击相应数据库后边的图3.4.12.2【资源IP选择】对于部分多IP设备可选择IP进行登录。