运维安全审计系统（HAC）口令管理员手册广州江南科友科技股份有限公司2010年5月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。

未经广州江南科友科技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本手册中的信息受中国知识产权法和国际公约保护。

版权所有，翻版必究©目录1.前言 (2)1.1 概述 (2)1.2 阅读说明 (2)1.3 适用版本 (2)1.4 使用环境 (2)2.准备工作 (3)2.1 确定设备对应的帐户 (3)2.2 确定统一帐户进行运维的用户 (3)3.首次登陆 (4)4.统一帐户管理 (6)5.设备帐户管理 (9)5.1 设备帐户管理 (9)5.2 设备帐户托管 (11)5.3 设备帐户获取 (13)6.SSO配置 (15)6.1 配置模板 (15)6.2 配置内容 (17)7.口令管理配置 (19)8.密函打印审批 (20)9.技术支持 (21)1.前言1.1 概述本文档为运维安全审计系统的口令管理员使用手册，是口令管理员使用HAC的操作指南。

1.2 阅读说明本手册包含口令管理员的全部日常操作，主要是与后台核心服务器的帐户密码管理相关的操作。

包含如何添加统一主机帐户，如何添加设备帐户，怎样进行设备口令的托管，帐户的获取，如何根据主机的个性配置情况进行自动登录配置文件的调整，以及与口令相关的配置。

1.3 适用版本本手册，依据HAC 3.6.5374E版本编写，适用于3.6的发布版。

1.4 使用环境HAC的运维管理员使用WEB登录方式作为用户界面。

HAC的运维管理员，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。

2.准备工作2.1 确定设备对应的帐户即确定核心服务器中进行运维的登录帐户，管理帐户，以及是否需要HAC进行定期自动更新这些帐户。

这些帐户需要手动的添加到对应设备帐户中。

2.2 确定统一帐户进行运维的用户统一帐户在添加时，对于其使用的用户要进行定义，所以需要提前准备。

3.首次登陆用IE浏览器访问：https://172.16.1.162/admin；访问过程中，如果是IE7/8，会出现证书安全警告等信息：选择“继续浏览此网站”，进入登陆页面。

用户登录，如果是令牌模式的口令管理员，或证书认证的口令管理员，请不勾选“口令认证”。

以下以口令认证的管理员登录为例进行说明：以下是登录成功首页：首页内容为：当前日期、上次登录时间及登录IP、最近10次操作记录。

操作记录包含操作时间、操作的客户IP、操作功能模块以及操作内容。

为了安全性考虑，建议静态口令用户登录后，点击页面右上角“修改密码”，对密码进行更新。

4.统一帐户管理统一帐户，是根据HAC用户反映的现实应用而增加的一种比较特殊的帐户，用于方便，快捷的统一管理相同帐户。

在实际应用中，会有如下情形：一个运维用户负责维护多台服务器，出于方便记忆和管理，这些服务器上的帐户和密码相同。

通过统一帐户管理进行帐户、密码的分配，实现了添加一次，则自动匹配所有的符合统一帐户条件的授权，同时，可以做到多台服务器帐户密码同时进行定期更新，大大减轻了口令管理员和运维用户的工作量。

统一帐户的特殊性，添加成功有以下的前提：1.运维管理员已经配置了运维用户对资源的授权；2.如果是Linux和类Linux的帐户，必须满足相同操作系统，相同的登录配置（具体参见本文的第6章节）；3.如果是Windows帐户，在服务器端需要安装sso同步软件。

见光盘。

具体操作步骤：选择“设备口令管理/统一帐户管理”，进入统一帐户管理页面：¾可添加、编辑、删除设备统一帐户；¾可查看统一帐户日志；¾可添加、删除统一帐户的隶属设备；1）添加设备统一帐户，点击“添加”按钮，进入帐户添加页面帐户名、密码、确认密码：即服务器的帐户和密码密码有效期：密码有效期分为7天、15天、30天、60天、90天，默认为永久有效即不启用托管。

当密码有效期设置不为永久有效时，启用密码托管功能，根据设置的时间周期，定期自动修改该帐户的密码。

运维用户：将该设备帐户关联到对应的运维用户，必填项。

帐户备注：输入该帐户的备注信息。

帐户状态：只有被激活的帐户才能在运维过程被使用。

添加完后，在“设备帐户管理”页面中，也会自动添加该设备帐户。

并且该帐户不能重置密码，进入编辑页面后，只能修改帐户备注和帐户性质。

在设备帐户分配页面中，会自动完成对该运维用户的帐户分配。

2）编辑设备统一帐户，点击主机帐户后面对应操作中的“编辑”，可对帐户信息进行编辑。

3）查看设备帐户日志：4）隶属设备，设备统一帐户添加完成，检测到用该帐户的设备会在这里显示，可添加，删除隶属设备：5) 设备统一帐户删除，在您要删除的设备统一帐户前面复选框打钩，点击“删除”即可。

5.设备帐户管理设备帐户管理，实现的是对单个主机帐户的配置。

选择“设备口令管理/设备帐户管理”，页面如下：¾可对主机进行添加、编辑、删除帐户；¾可获取主机帐户；¾可对主机帐户进行密码重置；¾可进行帐户导出；¾可查看主机帐户日志；¾可进行SSO配置。

5.1 设备帐户管理1）设备帐户添加，选择所要添加的设备：2）点击“添加”进入添加页面：设备名：设备名是上一步您选择的设备；帐户名、密码、确认密码：即服务器10.10.1.23的帐户和密码；帐户备注：对该帐户的补充说明；密码有效期：密码有效期分为7天、15天、30天、60天、90天，默认为永久有效即不启用托管。

当密码有效期设置不为永久有效时，启用密码托管功能，根据设置的时间周期，定期自动修改该帐户的密码；帐户类型：可设置为普通帐户（系统帐户）或ftp专属帐户；帐户性质：帐户本身具备主机的管理员权限，并在本页面定义为管理帐户时，对应主机的“帐户获取”功能才能使用；帐户状态：设置帐户激活或未激活，激活时可用；点击“保存”完成添加。

3）编辑设备帐户，点击对应帐户操作下面的“编辑”，以root帐户为例：可编辑帐户备注、密码有效期（是否启用托管）、帐户类型、帐户性质、帐户状态等信息。

4）删除设备帐户，勾选您要删除的帐户前面的复选框，点击“删除”完成帐户删除。

5）查看帐户日志，点击对应帐户操作下面的“日志”，以root帐户为例：可查看管理员对帐户的操作记录。

5.2 设备帐户托管当密码有效期设置不为永久有效时，启用密码托管功能。

启用密码托管功能时，密码更改一次，以后根据设置的时间周期，定期自动修改该帐户的密码。

系统每8个小时自动检测一次密码是否过期。

密码有效期分为7天、15天、30天、60天、90天。

托管前提：存在管理帐户，对应操作系统的SSO配置要正确。

windows服务器只有在开启windowsSSO帐户检测功能时才能设置密码托管1）启用密码托管以帐户meng为例，设置密码有效期为15天：保存后，帐户meng的密码托管显示为“是”：2）密码重置勾选帐户meng前面的复选框，点击右上角的“密码重置”：重置成功：5.3 设备帐户获取1)帐户获取选择已经定义了管理帐户的主机，点击“帐户获取”，如下图：帐户获取成功：说明：通过“帐户获取”功能获得的帐户，默认“帐户性质”是“普通帐户”，默认“密码托管”是“否”，默认“帐户状态”是“未激活”。

如果定义了两个或两个以上管理帐户，那么在帐户获取时，系统只匹配第一个管理账户来获取其他帐户。

对于windows系统，不能使用帐户获取功能。

2)帐户导出“帐户导出”功能，可以导出全部主机或者指定主机的帐号信息。

导出指定主机的帐号，如下图：6.SSO配置SSO配置在设备帐户的托管方面，起到非常关键的作用，通过配置文件，可以实现自动登录，帐户的更新托管。

HAC系统默认出厂时，配置了常用的操作系统文件，因操作系统，尤其是Linux各版本或多或少存在些特殊设置，所以当出现帐户添加失败，托管不成功的错误等，就要检查此部分配置文件是否需要更新。

选择“设备口令管理/设备帐户管理”，右上角“SSO配置”进入以下页面：6.1 配置模板目前有三类模板：Linux、SCO（Unix）、网络设备：1）linux模板的配置内容为：2）sco模板的配置内容为：3）网络设备模板的配置内容为：6.2 配置内容配置内容时，首先选择需要配置的操作系统，然后选择模板。

当显示的模板符合要求时，再进行配置。

以Redhat_AS4系统为例¾telnet登录配置，如下图：¾SSH登录配置，如下图：¾修改密码配置，如下图：该部分的配置是根据系统的普通用户修改自身密码来填写，而非root帐号的修改密码。

图形终端命令：指的是xwin协议自动登录时，启动的应用程序，比如xterm，或firefox 等。

7.口令管理配置托管通知：实现当帐户密码被更改时，系统会自动发送邮件到指定的邮箱。

接收人邮箱：填写密码变更时要通知的管理员的邮箱地址；邮件主题：填写邮件主题；状态：设为启用时有效；点击“保存“完成设置。

（发邮件前提：邮件发送服务器完成配置，DNS完成配置）托管验证：开启后，添加windows服务器设备帐户时，系统对后台服务器进行帐户校验；密函打印审批超时：核心服务器的帐户密码，提出打印申请的超时失效时间，默认为24小时，超过此时限则申请过期。

8.密函打印审批密函打印的申请功能参见《运维安全审计系统（HAC）_密函打印客户端使用手册》。

本文只对密函打印申请审批过程进行描述。

选择“设备帐户管理/密函打印审批”，进入以下页面，查看所有密函打印申请的当前状态：勾选“列出可审批申请”选项，可显示当前可审批的申请：选择需审批的条目，点击“批准”或“拒绝”按钮，即可批准或拒绝该申请。

批准过的申请，可在密函打印客户端中进行实际的打印。

9.技术支持HAC技术支持联系方式如下：广州总部：地址：广州市天河区科韵路16号广州信息港C栋1003室邮编：510665电话：(0086)-020-********传真：(0086)-020-********北京分公司：地址：北京上地东路5-3号烽火科技大厦七层邮编：100085电话：(0086)-010-********传真：(0086)-010-********上海分公司：地址：上海市田州路159号3单元401室邮编：200233电话：(0086)-021-********传真：(0086)-021-********。