堡垒主机用户操作手册
运维管理
版本2.3.2
2011-06
目 录
1. 前言 . .......................................................................................................................... 1
1.1. 系统简介 . .......................................................................................................... 1
1.2. 文档目的 . .......................................................................................................... 1
1.3. 读者对象 . .......................................................................................................... 1
2. 登录系统 . .................................................................................................................. 2
2.1. 静态口令认证登录 . .......................................................................................... 2
2.2. 字证书认证登录 . .............................................................................................. 2
2.3. 动态口令认证登录 . .......................................................................................... 3
2.4. LDAP 域认证登录 . ............................................................................................. 4
2.5. 单点登录工具 . .................................................................................................. 4
3. 单点登录(SS0) . .................................................................................................... 6
3.1. 安装控件 . .......................................................................................................... 6
3.2. 单点登录工具支持列表 . .................................................................................. 9
3.3. 单点登录授权资源查询 . .................................................................................. 9
3.4. 单点登录操作 . ................................................................................................ 10
3.4.1. Windows 资源类(域内主机\域控制器\windows2003\2008) . . 10
3.4.2. Unix\Linux资源类 . ....................................................................... 13
3.4.3. 数据库(独立)资源类 . ................................................................ 16
3.4.4. ORACLE_PLSQL单点登录 . ............................................................... 17
3.4.5. ORACLE_SQLDeveleper单点登录 . ................................................. 19
3.4.6. MSSQLServer2000查询分析器单点登录 . ..................................... 20
3.4.7. MSSQLServer2000 企业管理器单点登录 . .................................... 22
3.4.8. SQL Server 2005 Management Studio单点登录 . ..................... 23
3.4.9. SQL Server 2008 Management Studio单点登录 . ..................... 24
3.4.10. Sybase Dbisqlg单点登录 . ........................................................... 25
3.4.11. SQL-Front 单点登录 . ..................................................................... 26
3.4.12. 数据库(系统)资源类单点登录(DB2/informix) . ................ 27
3.4.13. 网络设备(RADIUS\local\其他)资源类 . .................................. 31
3.4.14. Web 应用资源类 . ............................................................................. 33
1. 前言
1.1. 简介
堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。它面向的对象是,企业的运维人员。该模块是堡垒主机系统为运维人员提供的登录入口。因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。
运维人员登录堡垒主机系统认证成功后,将不会继续认证。从堡垒主机单点登录平台可以登录任意经过授权的资源。堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。
1.2. 文档目的
堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。在该模块中经常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。
1.3. 读者对象
本文档适用于企业运维人员使用。
2. 登录系统
系统登录主要的工作就是系统认证。堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。
堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP 域认证、指纹认证等。
无论堡垒主机配置哪种认证方式,登录系统都需要在浏览器中输入服务地址。例如:https://192.168.23.195。在该例中,192.168.23.195为堡垒主机系统IP 地址(堡垒主机系统出厂设置的管理IP 为192.168.2.92)。当在浏览器中输入示例内容后,点击回车(堡垒主机配置双向认证时,如果需要域名方式访问的情况除外)系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。
2.1. 静态口令认证登录
静态口令登录认证是最基本得认证方式,登录界面入图2.1.1所示。
图2.1.1
用户需要输入用户名及口令后,点击登录按钮后登录系统。
2.2. 字证书认证登录
堡垒主机系统证书认证登录,支持的形式包括软证书认证,Usbkey 证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey 证书只是将证书导入Usb 硬件Key 中,安全性相应增加。但无论证书以哪种方式存在,堡垒主机系统都会统一对待。
如图2.2.1所示,当自然人在浏览器地址栏中输入堡垒主机系统地址后,点
击回车,弹出选择证书提示框。
图2.2.1
此时用户需要选择所要使用的数字证书,点击确定按钮。此例子选择名称为simper 的证书,点击确定按钮,进入图2.2.2界面。
图2.2.2
由于在上一操作步骤中选择的是名称为simper 证书,所以堡垒主机系统此时自动将用户名锁定,禁止自然人修改登录用户名。防止身份篡改。此时,用户需要输入simper 用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。
2.3. 动态口令认证登录
动态口令认证是指可以通过OTP 令牌方式通过堡垒认证登录。认证界面如图
2.3.1所示。
图2.3.1
堡垒主机系统的动态口令登录认证,采用的是双因子认证方式。也就是说,用户需要输入动态口令的同时必须输入自身的静态口令作为PIN 码。当两项认证都通过时才可以进入堡垒主机系统。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。
2.4. LDAP 域认证登录
堡垒主机系统域认证是另外一种第三方认证方式。堡垒主机系统将自身的部分系统认证交由第三方安全平台认证。堡垒主机系统中将LDAP 域口令的认证指派到LDAP 服务器上。LDAP 域认证的操作界面入图2.4.1所示。
图2.4.1
与动态口令的认证方式类似,域口令认证需要在LDAP 域认证通过的情况下同时满足自然人的静态口令认证认证通过,此时才可以成功进入堡垒主机系统。
2.5. 单点登录工具
介绍完堡垒主机系统中常见的认证方式后,用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具,及堡垒主机系统SSO 登录控件的下载。点击【工具下载】选项弹出如图2.5.1所示界面。
图2.5.1
图2.5.1只截取了部分的内容,其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。
用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接,下载单点登录工具。有关单点登录工具详细内容请参见《堡垒主机系统运维工程师操作手册》。
3. 单点登录(SS0)
3.1. 安装控件
在元目录->帮助或登录页->帮助页面中按照如下操作方式安装控件。如图
3.1.1所示。
图3.1.1
使用目标另存为下载相应控件,如图3.1.2和3.1.3所示。
图3.1.2
图3.1.3
运行该安装程序。如图3.1.4所示
注意:为避免安装失败请关闭所有IE 窗口
图3.1.4
选择安装目录,如图3.1.5与图3.1.6所示
图
3.1.5
图3.1.6
可以选择要安装的路径,这里我们默认为当前路径,如图3.1.7所示。
图3.1.7
3.2. 单点登录工具支持列表
图3.2.1 3.3. 单点登录授权资源查询
在SSO 列表界面点击 按钮进入添加命令策略界面,如图3.2.1.1所
示,输入基本信息。点击提交即完成查询操作。如图3.3.1所示
图3.3.1
如图所示:
【资源名称查询】依照资源名称进行查询。
【资源类型查询】依照资源类型进行查询,具体类型包括如下几种:如图
3.3.2所示。
图3.3.2
【资源IP 查询】依照资源IP 进行模糊查询。
3.4. 单点登录操作
3.4.1. Windows 资源类(域内主机\域控制器
\windows2003\2008)
图3.4.1.1
在SSO 列表界面中选择windows 主机的
按钮进入windows 资源单点登录界面,如上图所示点击相应登录方式即完成对目标windwos 资源的单点登录。如图3.4.1.2所示。
图3.4.1.2
如图所示:
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【控制台选择】等同于 mstsc /admin或 mstsc /console的控制台登录
【RDP 单点登录】点击并进行标准远程桌面的RDP 登录
【登录会话号登录】依照资源IP 进行会话号方式的登录
第一步:点击
进入会话号页面,如图3.4.1.3所示
图3.4.1.3
第二步:在本机运行中输入mstsc 如下图3.4.1.4所示:
图3.4.1.4
第三步:在弹出的远程桌面连接中输入页面看到的IP 与会话号,会话号填在用户名的位置。如图3.4.1.5所示:
图3.4.1.5
【RDP 网页登录方式】无需安装单点登录控件的单点登录方式。
第一步:点击
进入无插件RDP 单点登录,
第二步:点击后可见如图3.4.1.6所示:
图3.4.1.6
第三步:选择大小后点击
按钮
【vnc 登录】参考【RDP 登录方式】
【vnc 网页登录方式】参见【RDP 网页登录方式】。
【windowsFTP 登录方式】点击
选择正确。如图3.4.1.7所示。
按钮进行FTP 登录,并确保模式及编码
图3.4.1.7
注意:本功能需要客户机安装SSO 控件,并安装JRE 。
【windowsFTP 网页登录方式】点击可进行无插件FTP 单点登录。
【windows 文件共享登录方式】与【windowsFTP 登录方式】相同
【windows 文件共享网页登录方式】与【windowsFTP 网页登录方式】相同
3.4.2. Unix\Linux资源类
图3.4.1.8
在SSO 列表界面中选择相应Unix\Linux主机的
按钮进入Unix\Linux资源单点登录界面,如下图所示点击相应登录方式即完成对目标Unix\Linux资
源的单点登录。如图3.4.2.1所示。
图3.4.2.1
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录
【CRT 登录】点击
【NeTerm 登录】点击
并进行SecureCRT 单点登录 并进行SecureNeTerm 单点登录
【会话号登录】获取单点登录目标资源的一次性会话号
第一步:点击
进入会话号页面,如图3.4.2.2所示。
图3.4.2.2
第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP 地址及用户名。如图3.4.2.3所示。
图3.4.2.3
第三步:将网页提供的密码作为登录密码进行登录。如图3.4.2.4所示:
图3.4.2.4
【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,
点击 完成无插件单点登录。
【Unix\LinuxFTP登录方式】点击
编码选择正确。如图3.4.2.5所示。
按钮进行FTP 登录,并确保模式及
图3.4.2.5
注意:本功能需要客户机安装SSO 控件,并安装JRE 。
【Unix\LinuxFTP网页登录方式】点击
可进行无插件FTP 单点登录。
【Unix\LinuxSFTP登录方式】与【Unix\LinuxFTP登录方式】相同
【Unix\LinuxSFTP网页登录方式】与【Unix\LinuxFTP网页登录方式】相同
【x-windows 登录】点击下图所标注的按钮进行x-windows 登录,具体操作方法与【RDP 网页登录方式】相同
图3.4.2.6
【x-windows 会话号登录方式】参见【RDP 会话号登录方式】。
【x-windows 网页登录方式】参见【RDP 网页登录方式】。
【vnc 登录】参见【RDP 网页登录方式】
【vnc 会话号登录方式】参见【RDP 会话号登录方式】。
【vnc 网页登录方式】参见【RDP 网页登录方式】。
3.4.3. 数据库(独立)资源类
在介绍本部分以前请先熟悉一下应用发布的原理如下图:
对于数据库类资源堡垒主机需要通过中间的应用发布服务器(参见下图)完成对目标数据库的单点登录, 通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整
.
图3.4.3.1
图3.4.3.2
在SSO 列表界面中选择数据库的
按钮进入数据库资源单点登录界面,点击相应登录方式即完成对目标数据库资源的单点登录。
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【会话号登录】获取单点登录目标资源的一次性会话号
【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP 地址,如图3.4.3.3所示:
图3.4.3.3
3.4.4. ORACLE_PLSQL单点登录
自然人身份登录,点击相应ORACLE_PLSQL后边的[账号]按钮,进入如图
3.4.4.1所示页面。
图3.4.4.1
在图形下来菜单中选择登录身份 (Normal为普通身份,SYSDBA 为系统管理员身份,SYSOPER 为系统操作员身份)
此处我们选Normal, 点击PLSQL 图标,出现远程桌面连接,如图3.4.4.2所示
图3.4.4.2
点击[连接],连接到数据库oracle, 体现为图3.4.4.3所示:
图3.4.4.3
3.4.5. ORACLE_SQLDeveleper单点登录
自然人身份登录,点击相应ORACLE_PLSQL后边的[账号]按钮,进入如图
3.4.5.1所示页面
图3.4.5.1
点击sqlDeveleper 图标(下图红色区域)弹出远程桌面连接,如图3.5.5.2所示。
图3.5.5.2
点击[连接],连接到数据库orcl, 体现为图3.5.5.3所示:
图3.5.5.3
3.4.6. MSSQLServer2000查询分析器单点登录
自然人身份登录,点击MSSQLServer2000数据库资源后面的账号按钮。如图
3.4.6.1所示。
图3.4.6.1
点击[查询分析器]图标,出现远程桌面连接,如图3.4.6.2所示。
图3.4.6.2
点击[连接],连接成功,如图3.4.6.3所示
图3.4.6.3
3.4.7. MSSQLServer2000 企业管理器单点登录
自然人身份登录,点击相应MSSQLServer2000后边的[账号]按钮,进入如下图3.4.7.1所示页面
图3.4.7.1
点击[企业管理器]图标, 出现远程桌面连接, 如图3.4.7.2所示。
图3.4.7.2
点击[连接],连接成功,如图3.4.7.3所示。
图3.4.7.3
3.4.8. SQL Server 2005 Management Studio单点登录
自然人身份登录,点击相应MSSQLServer2005后边的[账号]按钮,进入如下图3.4.8.1所示页面。
图3.4.8.1
点击[SQL Server Management Studio Express]图标,出现远程桌面连接,如图3.4.8.2所示
图3.4.8.2
点击[连接],连接成功,如图3.4.8.3所示
图3.4.8.3
3.4.9. SQL Server 2008 Management Studio单点登录
自然人身份登录,点击相应MSSQLServer2008数据库后边的[账号]按钮,进入如下图3.4.9.1所示页面
图3.4.9.1
点击[SQL Server Management Studio Express]图标,出现远程桌面连接,如图3.4.9.2所示。
图3.4.9.2
点击[连接],连接成功,如图3.4.9.3所示。
图3.4.9.3
3.4.10. Sybase Dbisqlg单点登录
自然人身份登录,点击相应Sybase 数据库后边的[账号]按钮,进入如下图
3.4.10.1所示页面
图3.4.10.1
点击[Sybase Dbisqlg ]图标,出现远程桌面连接,如图3.4.10.2所示。
图3.4.10.2
点击[连接],连接成功,如图3.4.10.3所示
图3.4.10.3
3.4.11. SQL-Front 单点登录
自然人身份登录,点击相应Mysql 数据库后边的[账号]按钮,进入如下图
3.4.11.1所示页面。
图3.4.11.1
点击[Mysql-Front]图标,出现远程桌面连接,如图3.4.11.2所示。
图3.4.11.2
点击[连接],连接成功,如图3.4.11.3所示
图3.4.11.3
3.4.12. 数据库(系统)资源类单点登录(DB2/informix)
自然人身份登录,点击相应数据库后边的
按钮,如图3.4.12.1所示
图3.4.12.1
点击账号按钮后既可看到如下单点登录页面。如图3.4.12.2所示
图3.4.12.2
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录
【CRT 登录】点击
并进行SecureCRT 单点登录登录主机后输入dbaccess (informix )命令既可访问数据库如图3.4.12.3所示:
图3.4.12.3
【NeTerm 登录】点击
并进行SecureNeTerm 单点登录,同【CRT 登录】
【会话号登录】获取单点登录目标资源的一次性会话号
第一步:点击
进入会话号页面,如图3.4.12.4所示。
图3.4.12.4
第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP 地址及用户名。如图3.4.12.5所示。
图3.4.12.5
第三步:将网页提供的密码作为登录密码进行登录。如图3.4.12.6所示:
图3.4.12.6
【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,
点击 完成无插件单点登录。
【winsql 登录方式】对于informix 数据库点击
具登录登录。如图3.4.12.7所示 按钮进行winsql 工
图3.4.12.7
【DB2控制中心登录方式】对于DB2点击
登录。 登录后如图3.4.12.8所示:
按钮进行DB2控制中心工具
图3.4.12.8
【winsql/DB2控制中心网页登录方式】点击
winSQL/DB2控制中心单点登录,
可进行无插件
【winsql/DB2控制中心会话号登录方式】参见【RDP 会话号登录方式】。
3.4.13. 网络设备(RADIUS\local\其他)资源类
在介绍这一部分之前先简单说明RADIUS 方式的原理:
Raidus (Remote Authentication Dial In User Service)是对远端拨号接入用户的认证服务,Radius 服务分客户端和服务器端,通常我们公司的接入产品支持的是客户端,负责将认证等信息按照协议的格式通过UDP 包送到服务器,同时对服务器返回的信息解释处理。
图3.4.13.1
而对于堡垒机方案来说就是由堡垒主机开启Radius 服务,而将网络设备的3A 指向堡垒机。
在SSO 列表界面中选择相应网络设备的
登录界面。如图3.4.13.2所示。
按钮进入网络设备资源单点
图3.4.13.2
如下图所示点击相应登录方式即完成对网络设备资源的单点登录。如图
3.4.13.3所示。
图3.4.13.3
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录
【CRT 登录】点击
【NeTerm 登录】点击
并进行SecureCRT 单点登录 并进行SecureNeTerm 单点登录
【会话号登录】获取单点登录目标资源的一次性会话号
第一步:点击
进入会话号页面,如图3.4.13.4所示
图3.4.13.4
第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP 地址及用户名。如图3.4.13.5所示。
图3.4.13.5
第三步:将网页提供的密码作为登录密码进行登录。如图3.4.13.6所示:
图3.4.13.6
【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,
点击 完成无插件单点登录。
3.4.14. Web 应用资源类
在SSO 列表界面中选择Web 应用的
界面。如图3.4.14.1所示
按钮进入Web 应用资源单点登录
如下图所示点击相应登录方式即完成对目标Web 应用资源的单点登录。
图3.4.14.1
【资源IP 选择】对于部分多IP 资源可选择IP 进行登录。
【Web 应用单点登录】点击
单点登录】。
【Web 应用网页登录方式】无需安装单点登录控件的单点登录方式。
第一步:点击
进入无插件Web 应用单点登录, 并进行标准远程桌面的RDP 登录,同【RDP
第二步:点击后可见如3.4.14.2图所示页面:
图3.4.14.2
第三步:选择大小后点击
按钮
堡垒主机用户操作手册
运维管理
版本2.3.2
2011-06
目 录
1. 前言 . .......................................................................................................................... 1
1.1. 系统简介 . .......................................................................................................... 1
1.2. 文档目的 . .......................................................................................................... 1
1.3. 读者对象 . .......................................................................................................... 1
2. 登录系统 . .................................................................................................................. 2
2.1. 静态口令认证登录 . .......................................................................................... 2
2.2. 字证书认证登录 . .............................................................................................. 2
2.3. 动态口令认证登录 . .......................................................................................... 3
2.4. LDAP 域认证登录 . ............................................................................................. 4
2.5. 单点登录工具 . .................................................................................................. 4
3. 单点登录(SS0) . .................................................................................................... 6
3.1. 安装控件 . .......................................................................................................... 6
3.2. 单点登录工具支持列表 . .................................................................................. 9
3.3. 单点登录授权资源查询 . .................................................................................. 9
3.4. 单点登录操作 . ................................................................................................ 10
3.4.1. Windows 资源类(域内主机\域控制器\windows2003\2008) . . 10
3.4.2. Unix\Linux资源类 . ....................................................................... 13
3.4.3. 数据库(独立)资源类 . ................................................................ 16
3.4.4. ORACLE_PLSQL单点登录 . ............................................................... 17
3.4.5. ORACLE_SQLDeveleper单点登录 . ................................................. 19
3.4.6. MSSQLServer2000查询分析器单点登录 . ..................................... 20
3.4.7. MSSQLServer2000 企业管理器单点登录 . .................................... 22
3.4.8. SQL Server 2005 Management Studio单点登录 . ..................... 23
3.4.9. SQL Server 2008 Management Studio单点登录 . ..................... 24
3.4.10. Sybase Dbisqlg单点登录 . ........................................................... 25
3.4.11. SQL-Front 单点登录 . ..................................................................... 26
3.4.12. 数据库(系统)资源类单点登录(DB2/informix) . ................ 27
3.4.13. 网络设备(RADIUS\local\其他)资源类 . .................................. 31
3.4.14. Web 应用资源类 . ............................................................................. 33
1. 前言
1.1. 简介
堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。它面向的对象是,企业的运维人员。该模块是堡垒主机系统为运维人员提供的登录入口。因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。
运维人员登录堡垒主机系统认证成功后,将不会继续认证。从堡垒主机单点登录平台可以登录任意经过授权的资源。堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。
1.2. 文档目的
堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。在该模块中经常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。
1.3. 读者对象
本文档适用于企业运维人员使用。
2. 登录系统
系统登录主要的工作就是系统认证。堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。
堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP 域认证、指纹认证等。
无论堡垒主机配置哪种认证方式,登录系统都需要在浏览器中输入服务地址。例如:https://192.168.23.195。在该例中,192.168.23.195为堡垒主机系统IP 地址(堡垒主机系统出厂设置的管理IP 为192.168.2.92)。当在浏览器中输入示例内容后,点击回车(堡垒主机配置双向认证时,如果需要域名方式访问的情况除外)系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。
2.1. 静态口令认证登录
静态口令登录认证是最基本得认证方式,登录界面入图2.1.1所示。
图2.1.1
用户需要输入用户名及口令后,点击登录按钮后登录系统。
2.2. 字证书认证登录
堡垒主机系统证书认证登录,支持的形式包括软证书认证,Usbkey 证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey 证书只是将证书导入Usb 硬件Key 中,安全性相应增加。但无论证书以哪种方式存在,堡垒主机系统都会统一对待。
如图2.2.1所示,当自然人在浏览器地址栏中输入堡垒主机系统地址后,点
击回车,弹出选择证书提示框。
图2.2.1
此时用户需要选择所要使用的数字证书,点击确定按钮。此例子选择名称为simper 的证书,点击确定按钮,进入图2.2.2界面。
图2.2.2
由于在上一操作步骤中选择的是名称为simper 证书,所以堡垒主机系统此时自动将用户名锁定,禁止自然人修改登录用户名。防止身份篡改。此时,用户需要输入simper 用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。
2.3. 动态口令认证登录
动态口令认证是指可以通过OTP 令牌方式通过堡垒认证登录。认证界面如图
2.3.1所示。
图2.3.1
堡垒主机系统的动态口令登录认证,采用的是双因子认证方式。也就是说,用户需要输入动态口令的同时必须输入自身的静态口令作为PIN 码。当两项认证都通过时才可以进入堡垒主机系统。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。
2.4. LDAP 域认证登录
堡垒主机系统域认证是另外一种第三方认证方式。堡垒主机系统将自身的部分系统认证交由第三方安全平台认证。堡垒主机系统中将LDAP 域口令的认证指派到LDAP 服务器上。LDAP 域认证的操作界面入图2.4.1所示。
图2.4.1
与动态口令的认证方式类似,域口令认证需要在LDAP 域认证通过的情况下同时满足自然人的静态口令认证认证通过,此时才可以成功进入堡垒主机系统。
2.5. 单点登录工具
介绍完堡垒主机系统中常见的认证方式后,用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具,及堡垒主机系统SSO 登录控件的下载。点击【工具下载】选项弹出如图2.5.1所示界面。
图2.5.1
图2.5.1只截取了部分的内容,其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。
用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接,下载单点登录工具。有关单点登录工具详细内容请参见《堡垒主机系统运维工程师操作手册》。
3. 单点登录(SS0)
3.1. 安装控件
在元目录->帮助或登录页->帮助页面中按照如下操作方式安装控件。如图
3.1.1所示。
图3.1.1
使用目标另存为下载相应控件,如图3.1.2和3.1.3所示。
图3.1.2
图3.1.3
运行该安装程序。如图3.1.4所示
注意:为避免安装失败请关闭所有IE 窗口
图3.1.4
选择安装目录,如图3.1.5与图3.1.6所示
图
3.1.5
图3.1.6
可以选择要安装的路径,这里我们默认为当前路径,如图3.1.7所示。
图3.1.7
3.2. 单点登录工具支持列表
图3.2.1 3.3. 单点登录授权资源查询
在SSO 列表界面点击 按钮进入添加命令策略界面,如图3.2.1.1所
示,输入基本信息。点击提交即完成查询操作。如图3.3.1所示
图3.3.1
如图所示:
【资源名称查询】依照资源名称进行查询。
【资源类型查询】依照资源类型进行查询,具体类型包括如下几种:如图
3.3.2所示。
图3.3.2
【资源IP 查询】依照资源IP 进行模糊查询。
3.4. 单点登录操作
3.4.1. Windows 资源类(域内主机\域控制器
\windows2003\2008)
图3.4.1.1
在SSO 列表界面中选择windows 主机的
按钮进入windows 资源单点登录界面,如上图所示点击相应登录方式即完成对目标windwos 资源的单点登录。如图3.4.1.2所示。
图3.4.1.2
如图所示:
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【控制台选择】等同于 mstsc /admin或 mstsc /console的控制台登录
【RDP 单点登录】点击并进行标准远程桌面的RDP 登录
【登录会话号登录】依照资源IP 进行会话号方式的登录
第一步:点击
进入会话号页面,如图3.4.1.3所示
图3.4.1.3
第二步:在本机运行中输入mstsc 如下图3.4.1.4所示:
图3.4.1.4
第三步:在弹出的远程桌面连接中输入页面看到的IP 与会话号,会话号填在用户名的位置。如图3.4.1.5所示:
图3.4.1.5
【RDP 网页登录方式】无需安装单点登录控件的单点登录方式。
第一步:点击
进入无插件RDP 单点登录,
第二步:点击后可见如图3.4.1.6所示:
图3.4.1.6
第三步:选择大小后点击
按钮
【vnc 登录】参考【RDP 登录方式】
【vnc 网页登录方式】参见【RDP 网页登录方式】。
【windowsFTP 登录方式】点击
选择正确。如图3.4.1.7所示。
按钮进行FTP 登录,并确保模式及编码
图3.4.1.7
注意:本功能需要客户机安装SSO 控件,并安装JRE 。
【windowsFTP 网页登录方式】点击可进行无插件FTP 单点登录。
【windows 文件共享登录方式】与【windowsFTP 登录方式】相同
【windows 文件共享网页登录方式】与【windowsFTP 网页登录方式】相同
3.4.2. Unix\Linux资源类
图3.4.1.8
在SSO 列表界面中选择相应Unix\Linux主机的
按钮进入Unix\Linux资源单点登录界面,如下图所示点击相应登录方式即完成对目标Unix\Linux资
源的单点登录。如图3.4.2.1所示。
图3.4.2.1
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录
【CRT 登录】点击
【NeTerm 登录】点击
并进行SecureCRT 单点登录 并进行SecureNeTerm 单点登录
【会话号登录】获取单点登录目标资源的一次性会话号
第一步:点击
进入会话号页面,如图3.4.2.2所示。
图3.4.2.2
第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP 地址及用户名。如图3.4.2.3所示。
图3.4.2.3
第三步:将网页提供的密码作为登录密码进行登录。如图3.4.2.4所示:
图3.4.2.4
【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,
点击 完成无插件单点登录。
【Unix\LinuxFTP登录方式】点击
编码选择正确。如图3.4.2.5所示。
按钮进行FTP 登录,并确保模式及
图3.4.2.5
注意:本功能需要客户机安装SSO 控件,并安装JRE 。
【Unix\LinuxFTP网页登录方式】点击
可进行无插件FTP 单点登录。
【Unix\LinuxSFTP登录方式】与【Unix\LinuxFTP登录方式】相同
【Unix\LinuxSFTP网页登录方式】与【Unix\LinuxFTP网页登录方式】相同
【x-windows 登录】点击下图所标注的按钮进行x-windows 登录,具体操作方法与【RDP 网页登录方式】相同
图3.4.2.6
【x-windows 会话号登录方式】参见【RDP 会话号登录方式】。
【x-windows 网页登录方式】参见【RDP 网页登录方式】。
【vnc 登录】参见【RDP 网页登录方式】
【vnc 会话号登录方式】参见【RDP 会话号登录方式】。
【vnc 网页登录方式】参见【RDP 网页登录方式】。
3.4.3. 数据库(独立)资源类
在介绍本部分以前请先熟悉一下应用发布的原理如下图:
对于数据库类资源堡垒主机需要通过中间的应用发布服务器(参见下图)完成对目标数据库的单点登录, 通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整
.
图3.4.3.1
图3.4.3.2
在SSO 列表界面中选择数据库的
按钮进入数据库资源单点登录界面,点击相应登录方式即完成对目标数据库资源的单点登录。
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【会话号登录】获取单点登录目标资源的一次性会话号
【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP 地址,如图3.4.3.3所示:
图3.4.3.3
3.4.4. ORACLE_PLSQL单点登录
自然人身份登录,点击相应ORACLE_PLSQL后边的[账号]按钮,进入如图
3.4.4.1所示页面。
图3.4.4.1
在图形下来菜单中选择登录身份 (Normal为普通身份,SYSDBA 为系统管理员身份,SYSOPER 为系统操作员身份)
此处我们选Normal, 点击PLSQL 图标,出现远程桌面连接,如图3.4.4.2所示
图3.4.4.2
点击[连接],连接到数据库oracle, 体现为图3.4.4.3所示:
图3.4.4.3
3.4.5. ORACLE_SQLDeveleper单点登录
自然人身份登录,点击相应ORACLE_PLSQL后边的[账号]按钮,进入如图
3.4.5.1所示页面
图3.4.5.1
点击sqlDeveleper 图标(下图红色区域)弹出远程桌面连接,如图3.5.5.2所示。
图3.5.5.2
点击[连接],连接到数据库orcl, 体现为图3.5.5.3所示:
图3.5.5.3
3.4.6. MSSQLServer2000查询分析器单点登录
自然人身份登录,点击MSSQLServer2000数据库资源后面的账号按钮。如图
3.4.6.1所示。
图3.4.6.1
点击[查询分析器]图标,出现远程桌面连接,如图3.4.6.2所示。
图3.4.6.2
点击[连接],连接成功,如图3.4.6.3所示
图3.4.6.3
3.4.7. MSSQLServer2000 企业管理器单点登录
自然人身份登录,点击相应MSSQLServer2000后边的[账号]按钮,进入如下图3.4.7.1所示页面
图3.4.7.1
点击[企业管理器]图标, 出现远程桌面连接, 如图3.4.7.2所示。
图3.4.7.2
点击[连接],连接成功,如图3.4.7.3所示。
图3.4.7.3
3.4.8. SQL Server 2005 Management Studio单点登录
自然人身份登录,点击相应MSSQLServer2005后边的[账号]按钮,进入如下图3.4.8.1所示页面。
图3.4.8.1
点击[SQL Server Management Studio Express]图标,出现远程桌面连接,如图3.4.8.2所示
图3.4.8.2
点击[连接],连接成功,如图3.4.8.3所示
图3.4.8.3
3.4.9. SQL Server 2008 Management Studio单点登录
自然人身份登录,点击相应MSSQLServer2008数据库后边的[账号]按钮,进入如下图3.4.9.1所示页面
图3.4.9.1
点击[SQL Server Management Studio Express]图标,出现远程桌面连接,如图3.4.9.2所示。
图3.4.9.2
点击[连接],连接成功,如图3.4.9.3所示。
图3.4.9.3
3.4.10. Sybase Dbisqlg单点登录
自然人身份登录,点击相应Sybase 数据库后边的[账号]按钮,进入如下图
3.4.10.1所示页面
图3.4.10.1
点击[Sybase Dbisqlg ]图标,出现远程桌面连接,如图3.4.10.2所示。
图3.4.10.2
点击[连接],连接成功,如图3.4.10.3所示
图3.4.10.3
3.4.11. SQL-Front 单点登录
自然人身份登录,点击相应Mysql 数据库后边的[账号]按钮,进入如下图
3.4.11.1所示页面。
图3.4.11.1
点击[Mysql-Front]图标,出现远程桌面连接,如图3.4.11.2所示。
图3.4.11.2
点击[连接],连接成功,如图3.4.11.3所示
图3.4.11.3
3.4.12. 数据库(系统)资源类单点登录(DB2/informix)
自然人身份登录,点击相应数据库后边的
按钮,如图3.4.12.1所示
图3.4.12.1
点击账号按钮后既可看到如下单点登录页面。如图3.4.12.2所示
图3.4.12.2
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录
【CRT 登录】点击
并进行SecureCRT 单点登录登录主机后输入dbaccess (informix )命令既可访问数据库如图3.4.12.3所示:
图3.4.12.3
【NeTerm 登录】点击
并进行SecureNeTerm 单点登录,同【CRT 登录】
【会话号登录】获取单点登录目标资源的一次性会话号
第一步:点击
进入会话号页面,如图3.4.12.4所示。
图3.4.12.4
第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP 地址及用户名。如图3.4.12.5所示。
图3.4.12.5
第三步:将网页提供的密码作为登录密码进行登录。如图3.4.12.6所示:
图3.4.12.6
【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,
点击 完成无插件单点登录。
【winsql 登录方式】对于informix 数据库点击
具登录登录。如图3.4.12.7所示 按钮进行winsql 工
图3.4.12.7
【DB2控制中心登录方式】对于DB2点击
登录。 登录后如图3.4.12.8所示:
按钮进行DB2控制中心工具
图3.4.12.8
【winsql/DB2控制中心网页登录方式】点击
winSQL/DB2控制中心单点登录,
可进行无插件
【winsql/DB2控制中心会话号登录方式】参见【RDP 会话号登录方式】。
3.4.13. 网络设备(RADIUS\local\其他)资源类
在介绍这一部分之前先简单说明RADIUS 方式的原理:
Raidus (Remote Authentication Dial In User Service)是对远端拨号接入用户的认证服务,Radius 服务分客户端和服务器端,通常我们公司的接入产品支持的是客户端,负责将认证等信息按照协议的格式通过UDP 包送到服务器,同时对服务器返回的信息解释处理。
图3.4.13.1
而对于堡垒机方案来说就是由堡垒主机开启Radius 服务,而将网络设备的3A 指向堡垒机。
在SSO 列表界面中选择相应网络设备的
登录界面。如图3.4.13.2所示。
按钮进入网络设备资源单点
图3.4.13.2
如下图所示点击相应登录方式即完成对网络设备资源的单点登录。如图
3.4.13.3所示。
图3.4.13.3
【资源IP 选择】对于部分多IP 设备可选择IP 进行登录。
【通讯协议选择】依据需要访问资源的通讯协议进行选择SSH\TELNET方式登录
【CRT 登录】点击
【NeTerm 登录】点击
并进行SecureCRT 单点登录 并进行SecureNeTerm 单点登录
【会话号登录】获取单点登录目标资源的一次性会话号
第一步:点击
进入会话号页面,如图3.4.13.4所示
图3.4.13.4
第二步:在本机开启任意常用SSH\TELNET工具,输入网页中看到的IP 地址及用户名。如图3.4.13.5所示。
图3.4.13.5
第三步:将网页提供的密码作为登录密码进行登录。如图3.4.13.6所示:
图3.4.13.6
【UNIX\LINUX网页登录方式】无需安装单点登录控件的单点登录方式,
点击 完成无插件单点登录。
3.4.14. Web 应用资源类
在SSO 列表界面中选择Web 应用的
界面。如图3.4.14.1所示
按钮进入Web 应用资源单点登录
如下图所示点击相应登录方式即完成对目标Web 应用资源的单点登录。
图3.4.14.1
【资源IP 选择】对于部分多IP 资源可选择IP 进行登录。
【Web 应用单点登录】点击
单点登录】。
【Web 应用网页登录方式】无需安装单点登录控件的单点登录方式。
第一步:点击
进入无插件Web 应用单点登录, 并进行标准远程桌面的RDP 登录,同【RDP
第二步:点击后可见如3.4.14.2图所示页面:
图3.4.14.2
第三步:选择大小后点击
按钮