堡垒机安装部署测试文档.doc

-
. z.
堡垒机安装部署测试及优缺点总结
近期出于管理和检查需要，单位领导要求上堡垒机系统，测试了几个商业堡垒机，因为价格超过预算等原因都未购买，又测试了三个开源的堡垒机，感觉麒麟3
系统配置好后，如果你要用图形协议，需要找开发者申请图形的Licenses，如果只用字符的，就可以直接使用了，我这里全是LINU*，因此没有进行Licenses申请，麒麟堡垒机上线我主要做了四步：
建立目录结构—导入堡垒机**（主**）—导入服务器**（从**）—主从**关联授权，说真的，比商业堡垒机都要好用。
建立目录结构：
目录是类于设备组和用户组，麒麟堡垒机是LDAP结构，组里可以放用户也可以放设备，我觉得这点不方便，我是把用户和设备分别建组，在添加用户、设备时，一定要先加组，因为没有组的话设备和用户加不上。
-
. z.
资源管理-资产管理-目录管理，页签，单击“增加新节点”；根据所要创建的组类型选择“所属目录”与“属性”。
图 1
PS：“节点名”输入节点的名称，“所属目录”新创建目录所属那个父组，目录树可以无限级目录，堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入，用户和设备导入时，必须有配置好的目录树。
导入堡垒机**（主**），菜单-资源管理-资产管理-用户管理中，默认有四个**: Admin、Audit、Password、Test，如果**少，可以一个一个加，我这里运维人员有40多个，所以我用的导入方式，只要点一下导出就会下来一个CSV模版，按模版填进去再导回去就行了。
导出后，CSV表只需要填：
用户名:运维人员登录堡垒机时的名称，要求唯一（必须填写）
密码:运维人员登录堡垒机时的密码（必须填写）
真实**：运维人员的真实**（必须填写）
电子：运维人员的电子地址（选择填写）
用户权限：统一配置为普通用户（必须填写）
组名：目录结构中的资源组名称，如果出现同样名称的资源组，则导入时需要用组名(id)方式：比如出现重名的first组，如果你想在界面中这个组加入，则组名为first(221)
填好后，把第一行test那行删除，然后点导入菜单，注意：一定要勾上加密！不然导进去用不了。
7. 服务器**（从**）导入，麒麟堡垒机在导入从**时会自动创建服务器，所以只需要在资源管理-资产管理-设备列表中导出一个CSV文件，按文件进行填写，然后导入即可以完成设备、设备**的录入：
一般只需要A到H列，后面只要复制模版中的即可，各列说明如下:
主机名：主机的名称
IP：主机的IP地址
服务器组：服务器所属组的ID号，因为目录中允许同名称的组，因此，服务器组用ID号替代，可以在资产管理-资源管理-目录节点中查看ID号，如下图：
系统类型：主机的操作系统类型，必须在第一章中添加的或系统自带的中选择添加。
-
. z.
系统用户：系统用户名，如果不想托管，则这项不填。
当前密码：系统播放的密码，如果不想托管，则这项可以不填。
登录协议：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/*11 ，可以在这些登录方式中选择相应的
端