运维安全审计系统（HAC）运维管理员手册广州江南科友科技股份有限公司2012年3月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。

未经广州江南科友科技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本手册中的信息受中国知识产权法和国际公约保护。

版权所有，翻版必究?目录1前言1.1 概述本文档为运维安全审计系统的运维管理员使用手册，是运维管理员使用HAC的操作指南。

1.2 阅读说明本手册包含运维管理员的全部日常操作，主要是与运维相关的操作。

包含如何添加用户（组），如何添加资源（组），怎样给用户进行授权，并且分配该用户能自动登录使用的帐户，以及定义应用发布，如何对运维方面的配置进行设置。

1.3 适用版本本手册，适用于的发布版。

1.4 使用环境HAC的运维管理员使用WEB登录方式作为用户界面。

HAC的运维管理员，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。

2准备工作2.1 确定用户即确定运维人员的用户名、授权信息（主要是指某运维人员可以通过哪些协议访问哪些核心服务器或网络设备）。

2.2 确定访问服务器的协议该内容是准备工作的重点，主要是确定核心服务器提供何种类型的运维协议供运维终端访问，即确定运维终端使用Telnet、SSH、FTP、SFTP、RDP、HTTP、HTTPS、AS400、XWIN 和VNC的哪些协议、端口去访问核心服务器进行日常运行维护操作。

2.3 确定自动登录帐户该内容是为运维用户进行自动登录（SSO）做配置，主要是确定核心服务器提供的后台登录帐户可以由哪个运维用户使用。

如果，您所在的公司有独立的口令管理员，则帐户分配的工作需要在其为设备创建设备帐户后再进行帐户分配。

3首次登陆用IE浏览器访问：；访问过程中，如果是IE7/8，会出现证书安全警告等信息：选择“继续浏览此网站”，进入登陆页面。

用户名和密码使用系统管理员创建的用户登录，如果是令牌模式管理员，或证书认证的管理员，请不勾选“口令认证”。

以下以口令认证用户登录为例进行说明：运维管理员登录HAC系统，以下是登录首页：首页内容为：当前日期、上次登录时间及登录IP、最近10次操作记录。

操作记录包含操作时间、操作的客户IP、操作功能模块以及操作内容。

为了安全性考虑，建议静态口令用户登录后，点击页面右上角“修改密码”，对密码进行更新。

4用户管理在用户管理模块中，可以对运维用户的帐户进行管理，实现对其的添加、删除、修改和快速查找功能，可以实现用户的批量导入、导出功能，在后台设备已经定义的情况下，可以为用户直接进行授权。

添加用户的具体配置步骤如下：1)选择“运维管理\用户管理”，点击“添加”按钮，出现如下配置页面：用户名：定义运维人员用户名，格式由数字、英文、下划线、中杠线、点组成，必须以数字或字母开头；（注：不支持中文）[必选项]认证方式：HAC支持六种认证方式，包括口令认证、令牌认证、证书认证、LDAP认证、AD域认证、Radius认证，默认为口令认证；当认证方式为口令认证时，页面如上图所示，有口令策略、密码强度、密码、确认密码、密码有效期等项需要设置。

口令策略：包括手工配置口令和自动生成（邮件通知）口令；手工配置密码可以直接在下面的密码、确认密码框中输入用户密码；密码强度：系统会根据密码强度规则自动检测用户输入密码的安全强度，密码的强度由系统管理员进行全局设置；密码/确认密码：不限字符，但不能设置空格SPACE键；[必选项]密码有效期：限制用户密码在有效期范围内有效；自动生成密码，要求“邮箱地址”为必填项，系统生成的密码发到该邮箱地址中。

页面显示如下：注：口令策略中的“自动生成（邮件通知）”，只有在“系统管理/全局配置”中的“邮件服务器”配置了之后才会出现。

当认证方式为令牌认证时，页面如下图所示：令牌认证：使用动态口令认证方式（具体参见《运维安全审计系统（HAC）动态令牌使用手册》当认证方式为证书认证时，页面如下图所示，证书名为必填项，可以对证书的有效期进行设置。

证书认证：使用证书认证方式（具体参见《运维安全审计系统（HAC）科友key使用手册》）；LDAP认证：使用LDAP认证方式进行认证；AD域认证：使用AD认证方式进行认证；Radius认证：使用Radius认证方式进行认证；姓名：输入对应登录名的真实姓名，不限字符；[必选项]手机号码：即运维人员的手机号码；[可选项]邮箱地址：即运维人员的邮箱地址；[可选项]帐号密码更改、密码有效期到期、帐号激活变更通知、认证方式改变时系统会通过手机和邮箱的方式通知运维人员。

备注：主要是作为描述该用户的附加注释信息；[可选项]用户组：定义是否将该用户放置在一个定义好的用户组中；[可选项]可以点击“新建用户组”打开用户组添加页面，添加用户组。

状态：此状态表示此用户是否可用。

AS400协议的运维用户：鉴于AS400运维的特殊性，在HAC中要使用AS400协议，运维用户名必须指定为运维用户的客户端IP地址，其他信息如，认证方式可以随便填写。

例如：用户要在上做AS400运维，运维用户名必须为“.2.104”：授权和其他协议授权类似，具体运维过程见运维用户使用手册。

5用户组管理“用户组管理”与“用户管理”类似，其主要功能是实现组授权、批量授权。

可添加、编辑、删除用户组。

可以按照用户组名和备注排序。

选择“运维管理\用户组管理”，点击“添加”后右方出现如下配置界面：用户组名：填写用户组名称，可任意填写；[必填项]备注：主要是作为描述该用户组的附加注释信息；[可选项]检索：可以检索用户，支持模糊查询；用户列表：可选择属于该用户组的用户；添加user组，选择其中的user_a和user_b用户，点击“添加”，如下图所示：添加完成，在用户组列表页面会有显示：6资源管理在资源管理模块中，实现对被审计的核心设备及提供的服务协议的管理，包括添加、编辑和删除，提供授权用户的入口，提供资源的批量导入和导出功能，同时也提供用户自定义操作系统的功能。

6.1 资源管理进入“运维管理/资源管理”页面：可通过快速查找（设备名、操作系统、资源组、协议、IP地址）对资源进行过滤可针对设备名、操作系统、IP地址对资源进行排序可添加、编辑、删除资源可通过设备导入、导出批量添加资源设备导入：即以Excel的形式导入设备配置列表。

导出列表包括：设备名、操作系统、IP地址、资源列表等信息；设备导出：即以Excel的形式导出设备配置列表。

导入列表包括：设备名、操作系统、IP地址、资源列表等信息。

具体设置步骤如下：1)添加资源：点击上图的“添加”按钮，出现如下界面：设备名：定义设备名称，由格式设备名由中文、数字、字母、下划线、中杠线、点组成，长度为3-64位；[必选项]IP地址：输入服务器IP地址；[必选项]检测：用于检查该设备与HAC是否可达。

操作系统：从下拉框中选择该设备对应的操作系统；[必选项]（注：如果下拉菜单中的操作系统列表不能满足您实际应用的需求，请进行“配置”，参见本文第章节）资源：选择远程访问设备时使用的协议；[必填项]（注：如果列表中默认的协议不能满足实际应用的需求，请进行“配置”，参见本文第章节）备注：附加注释区域，不限字符；[可选项]2)添加资源，如定义一台Redhad_AS4：10.10.1.29，协议为：telnet，如下图：可在协议对应的操作中编辑该协议的端口：其中telnet协议是否支持中文，如下；AS400协议，添加如下：此协议比较特殊，需要虚拟网卡，虚拟网卡的配置由系统管理员进行配置，具体请参见《运维安全审计系统（HAC）_系统管理员使用手册》第节。

点击“保存”完成添加。

3)编辑资源：“运维管理/资源管理”页面，点击设备名进入编辑页面，可编辑除了“设备名”之外的所有信息：4)删除资源：“运维管理/资源管理”页面，勾选要删除的设备前面的复选框，点击“删除”完成删除。

5)授权：完成添加，可点击操作中的“授权”，则跳转到授权页面，可进行用户和用户组授权。

6.2 操作系统配置可对操作系统类型及协议做配置，进入“运维管理/资源管理”，如上图，添加一个设备，再添加页面点击操作系统后面的“配置”，进入到操作系统配置页面：注：操作系统“RaritanKVM”，不可修改，提供给支持力登KVM用户使用。

通过编辑进行操作系统配置，可添加你所需要的页面上不存在的操作系统，可删除您不需要的操作系统，下面以Redhad_AS4操作系统为例，编辑Redhad_AS4：操作系统名称：编辑操作系统时不可修改，添操作系统时可通过下拉列表选择您所需要的操作系统；操作系统版本：操作系统对应的版本，编辑操作系统时不可修改，添操作系统时可手动输入；权限提升：具有权限提升的操作系统，可勾选此项，例如：Cisco，H3C等设备。

这里以Cisco网络设备为例，编辑Cisco：权限提升命令：填写权限提升的命令，如：Cisco为en，H3C为su注意：提升权限的完整命令为：enable和super。

但是在实际应用中，通常使用简写。

如果在这里填写en、su，那么在实际应用过程中，en/ena/enable、su/super等命令都可匹配为权限提升。

权限提升口令符：填写当输入“权限提升命令”后，操作系统出现的固定提示符，如：Password：注意：应根据实际的情况，确认权限提升口令符中的“：”后，是否需要添加一个空格。

说明：对操作系统的描述说明；协议：选择操作系统开放的协议；服务协议：TELNET、FTP、SFTP、SSH、RDP、AS400、XWIN、VNC、HTTP、HTTPS、VDH 应用协议；[必选项]点击“保存”完成编辑。

6.3 AD域资源配置HAC对于AD域资源的处理有特殊之处，配置上与其他资源有部分不同。

该部分介绍AD域控制器、域成员以及域帐户在HAC上的配置，以下是具体配置过程：1. 添加AD域操作系统因AD域比较特殊，默认配置中无此系统，需要手工配置此操作系统。

进入“运维管理/资源管理/操作系统配置”：点击“添加”：勾选rdp协议后，保存。

2. 添加域控制器进入“运维管理/资源管理/设备列表”，添加域控制器：设备名：要求是域控制器的正确名称；[必填项]操作系统：选择AD域；3. 添加域成员设备名：可自定义，符合设备名要求即可；操作系统：选择windows。

4. 添加域帐户进入“设备口令管理/设备帐户管理/帐户列表”，给域控制器添加帐户user：添加完成，返回到“设备口令管理/设备帐户管理/帐户列表”可查看到域帐户的格式显示为：帐户名+@+域名：授权，过程同普通授权相同；进入“运维管理/授权管理/授权列表”页面，点击域成员设备的“帐户分配”，域成员服务器，在帐户分配中显示域控制器的帐户名：勾选上后保存，即完成AD域资源配置。