【Selected】麒麟开源堡垒机管理员手册.doc

麒麟开源堡垒机管理员手册麒麟开源目录1 概述 功能介绍 名词解释 环境要求 62 管理员登录 73 初始基本配置 104 目录管理 目录说明 目录创建 125 账号管理 用户角色 运维账号管理 添加用户 批量添加用户 批量编辑用户 RADIUS账号 目录管理 在线用户管理 登录策略 设备管理 设备信息导入导出 普通用户自动登录root账号 目录节点管理 系统用户组 应用发布 应用发布服务器 添加为资产设备 添加为应用发布服务器 应用发布 SSH公私鈅上传 336 权限查询 系统权限查询 应用权限查询 357 策略设置 默认策略 来源IP组 周组策略 命令组 命令权限 自动改密 系统类型 授权策略 438 密码密钥文件 449 系统配置 参数配置 VPN配置 系统参数 密码策略 高可用性 告警配置 告警参数 4710 系统管理 服务状态 系统状态 配置备份 数据同步 4911 VPN配置 5012 动态口令 USBAEY导入 USBAEY绑定 5113 ese管理 5114 运维审计 操作审计 字符会话审计(/SSH) SFTP和FTP会话审计 图形会话审计 应用审计 实时监控 审计查询 会话搜索 内容搜索 6615 日志报表 6716 个人信息修改 70概述麒麟运维安全堡垒平台(以下简称麒麟运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。功能介绍麒麟运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。麒麟支持常用的运维工具协议(如SSH、、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。麒麟运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。麒麟运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。名词解释控制台指麒麟运维堡垒机提供给管理员实现对它进行管理的Web系统。管理员指麒麟运维堡垒机系统的管理员,按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员,按照权限分立的原则分别承担不同的职责。超级管理员:是内置的最高权限管理员,可以创建其他管理员角色用户账号。配置管理员:负责资产管理、授权管理等。组管理员:只对特定组的资产管理、授权管理。审计员:只负责完成审计工作;密码管理员:负责维护资产设备的账号密码。协议指麒麟运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,等。工具指运维人员实现对设备的维护所使用的工具软件。设备账号指运维目标资产设备的用于维护的系统账户。自动登录指麒麟运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。命令阻断指麒麟根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,麒麟会拒绝转发此操作命令目标设备,同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。应用发布指通过在应用发布服务器部署应用程序,提供给用户远程虚拟化方式进行使用,就如同安装在本地一样的效果。环境要求麒麟运维堡垒机管理控制台为Web系统,要求客户端采用支持IE内核的浏览器登录,因为需要支持ActiveX控件,推荐使用IE浏览器,支持IE8、IE9、IE10。。另外,终端还需要安装JRE环境,支持麒麟WebPortal的JavaApplet。管理员登录麒麟运维堡垒机管理控制台采用HTTPS安全通信连接,默认端口是443。管理员登录控制台的方式是,以IE为例,在浏览器地址栏输入:https://麒麟-ip麒麟运维堡垒机超级管理员的账号和密码是“admin/12345678”。麒麟运