10.2 资源添加类
10.2.14 Empty 帐户是什么帐户?
10.3.1 动态授权的作用及操作流程是什么?
动态授权是授权用户运维操作触发规则集,系统对字符命令或数据库会话操作进行拦 截,自动生成授权工单。授权用户若需继续执行操作,需管理员批准工单。
以命令控制策略的动态授权为例。
步骤1 管理员用户登录云堡垒机,选择“策略 > 命令控制策略”,新建字符(SSH或Telnet)
命令集和命令控制策略。
命令控制策略“执行动作”需选择“动态授权”。
说明
详细动态授权配置说明请参见命令控制策略和数据库控制策略。
图10-14 配置动态授权
步骤2 命令控制策略设置成功后,授权用户登录云堡垒机,登录目标主机,执行相关命令触 发命令拦截,生成命令授权工单。
图10-15 动态拦截
步骤3 授权用户选择“工单 > 命令授权工单”,查看并提交工单。
说明
详细动态授权工单说明请参见命令授权工单和数据库授权工单。
步骤4 管理员或上级部门领导可以在“工单 > 工单审批”,查看工单并批准工单。
步骤5 获得批准后,授权用户即可成功运行相关命令。
图10-16 获取授权
----结束
10.4 系统配置类
10.4.1 如何配置 SSH Key 登录主机资源?
云堡垒机支持配置SSH Key登录主机资源,主机资源配置SSH Key后优先验证SSH Key 登录资源。
生成 SSH Key
步骤1 生成认证Key。
登录主机,执行以下命令,生成SSH Key。
ssh-keygen –t rsa 回显信息如下:
[root@Server ~]# ssh-keygen -t rsa Generating public/private rsa key pair.
可根据需要配置SSH Key的文件名和密码,回显信息示例如下:
Enter file in which to save the key (/root/.ssh/id_rsa):置空或输入将生成的文件名,文件保存目录为/root/.ssh。
Enter passphrase (empty for no passphrase):置空或根据需要输入密码 Enter same passphrase again:确认输入密码
| o + |
参数-t rsa表示使用rsa算法进行加密,也可以使用dsa加密算法加密,命令如下:
ssh-keygen -t dsa
步骤2 执行以下命令,查看SSH Key文件。
cd /root/.ssh(文件保存目录)/
在当前用户SSH Key文件保存目录下,查看已生成私钥id_rsa和公钥id_rsa.pub文件,
配置密码后还可查看到私钥密码key和公钥密码key.pub。
回显信息示例如下:
[root@Server ~]# cd /root/.ssh/
[root@Server ~]# ll total 16
-rw--- 1 root root 0 Oct 14 15:47 authorized_keys -rw--- 1 root root 1679 Nov 15 09:45 id_rsa -rw--- 1 root root 430 Nov 15 09:45 id_rsa.pub -rw--- 1 root root 1766 Nov 15 09:48 key -rw--- 1 root root 430 Nov 15 09:48 key.pub
步骤3 在当前用户/.ssh目录下,执行以下命令,拷贝公钥内容到authorized_keys文件中。
cat id_rsa.pub >>authorized_keys 步骤4 打开主机SSH Key登录验证方式。
1. 执行以下命令,修改sshd_config配置文件参数,生效“RSAAuthentication”和
“PubkeyAuthentication”,授权SSH Key验证。
vim /etc/ssh/sshd_config
2. 修改完后按“Esc”,输入:wq!命令并按“Enter”,保存修改并退出。
3. 执行以下命令,重启sshd服务。
service sshd restart
回显如下信息表示sshd服务重启成功。
Redirecting to /bin/systemctl restart sshd.service
----结束
图10-17 配置 SSH Key
步骤4 拷贝生成的私钥id_rsa文件内容和私钥密码,配置“SSH Key”和“passphrase”。
说明
云堡垒机系统可选择性配置“passphrase”,当未配置“passphrase”时:
● 未生成私钥密码情况下,登录主机无需输入密码。
● 已生成私钥密码情况下,每次登录主机需手动输入私钥密码。
步骤5 单击“确定”,新增拥有SSH Key的主机资源账户。
说明
● “批量导入”主机资源请正确输入SSH Key私钥和Passphrase密码,不要引入其他字符或空 格。
● 建议批量导入的资源先仅配置主机账户和密码登录,主机导入云堡垒机系统后,再修改“资 源账户”添加私钥和密码。
步骤6 配置访问控制策略。
将配置了SSH Key的主机资源账户授权给用户。详情请参见访问控制策略。
10.4.2 如何设置个人网盘空间大小?
云堡垒机“主机网盘”属于用户系统个人空间,即系统个人网盘。当用户个人网盘空 间内存不足时,可由管理员配置“个人网盘空间”,来解决个人网盘内存空间不足的 问题。
● 设置“个人网盘空间”后,默认为系统每个用户预置相同大小的个人网盘空间。
● 设置“个人网盘空间”和“网盘总空间”为零,表示在系统数据盘内存充足情况 下,不限制用户使用个人网盘,个人网盘空间可无限使用。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
步骤1 登录云堡垒机系统。
步骤2 选择“系统 > 数据维护 > 存储配置”,进入系统存储配置管理页面。
步骤3 查询“网盘空间”区域“个人网盘空间”和“网盘总空间”配置项。
“个人网盘空间”和“网盘总空间”默认值分别为100MB和5120MB。
图10-18 查看网盘空间
步骤4 单击“网盘空间”区域“编辑”,弹出“编辑网盘空间”窗口。
图10-19 修改网盘空间
步骤5 修改“个人网盘空间”为目标数值。
步骤6 单击“确定”,返回查看“个人网盘空间”设置成功。
----结束
更多网盘空间说明,请参见存储配置。
10.4.3 如何解决短信限制问题?
堡垒机赠送的短信服务有以下限制:
● 1分钟内发送短信不超过1条。
● 1小时内发送短信不超过5条 。
● 1天内发送短信不超过15条。
如果不够使用的话,建议修改短信网关配置,设置为“自定义”短信网关,详细操作 请参见配置短信外发。
11 运维资源
11.1 运维管理
11.1.1 云堡垒机支持图形化运维 Linux 主机吗?
支持。
云堡垒机支持纳管VNC协议类型的资源,并通过Web浏览器登录资源,实现Linux主机 的图形化运维。
您需要在添加主机资源时,将“协议类型”选择为“VNC”。详细添加主机说明,请 参见添加主机资源。
11.1.2 云堡垒机支持手机 APP 运维吗?
云堡垒机暂时不支持手机APP运维,但可以通过手机浏览器访问云堡垒机系统。
步骤1 打开手机浏览器,输入https://EIP地址,进入云堡垒机系统登录页面。
步骤2 输入用户登录名和密码,完成用户登录验证。
登录成功后,可管理部门、用户、资源、策略、系统配置等系统数据,以及审批工单 和下载日志。
说明
不支持“主机运维”和“应用运维”登录。
----结束
11.1.3 如何配置 SSO 单点登录工具?
云堡垒机数据库运维使用单点登录(Single Sign On,SSO)工具,登录主机运维方式 的数据库资源。
云堡垒机默认使用SsoDBSettings单点登录工具,用户登录数据库资源前,需在本地安 装好SSO单点登录工具和数据库客户端工具,并配置正确数据库客户端的路径到SSO单 点登录工具上。
说明
登录数据库资源前,需参照如何配置云堡垒机的安全组?放通对应场景的端口。
以Navicat客户端为例,示例正确的配置客户端路径操作。
步骤1 打开本地SsoDBSettings单点登录工具。
图11-1 单点登录工具界面
步骤2 在“Navicat路径”栏后,单击路径配置。
步骤3 根据本地Navicat客户端安装的绝对路径,选中Navicat工具的exe文件后,单击“打 开”。
图11-2 查找本地工具绝对路径
图11-3 确认配置路径
步骤5 单击“保存”,返回云堡垒机“主机运维”列表页面,即可登录数据库资源。
----结束
更多数据库运维登录说明,请参见SSO单点客户端运维。
11.1.4 云堡垒机允许多用户同时登录同一资源吗?
云堡垒机本身允许多用户同时登录同一资源,即不限制登录资源的用户数量。但受限 于资源的多用户登录配置,多个云堡垒机用户不能同时登录同一资源账户。
例如,受限于Windows资源的多用户同时登录配置,同时登录Windows资源的用户数 量有最大限额。Windows 2008和Windows 2012服务器默认仅支持两个用户同时登 录,即被CBH系统纳管的Windows服务器默认最多允许两个用户同时登录。
为解除资源多用户同时登录限制,您可以选择如下方式解决:
● 配置资源服务器允许多用户登录。例如,在Windows服务器配置远程桌面会话主 机和远程桌面授权,详情请参见ECS多用户登录。
● 在资源服务器创建多个帐号,并纳管为云堡垒机资源账户后,再分别授权给用 户。
11.1.5 云堡垒机 SSH 运维支持哪些算法?
云堡垒机3.3.26.0及以上版本SSH运维支持的算法如表11-1所示。
表11-1 SSH 运维支持的算法
算法类型 H5运维 客户端运维
Keyexchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1
diffie-hellman-group14-sha1 diffie-hellman-group1-sha1
diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1
diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521
ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr
aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc
aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5
hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160
hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512
Host key ssh-rsa ssh-dss
ssh-rsa ssh-dss
ecdsa-sha2-nistp256 ecdsa-sha2-nistp384
11.2.1 云堡垒机支持哪些登录资源方式?
● SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。
手动登录
在新建资源时选择“手动登录”方式或选择“以后添加”账户,生成“[Empty]”资源 账户,即未配置主机或应用账户名和密码。
“批量登录”不支持登录FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型主机 资源,以及配置了“手动登录”或“双人授权账户”的主机资源。
11.2.2 如何创建运维协同会话?
云堡垒机系统Web运维“协同分享”功能,支持通过分享URL,邀请系统其他用户共 同查看同一会话,并且参与者在会话控制者批准的前提下可对会话进行操作,可应用 于远程演示、对运维疑难问题“会诊”等场景。
说明
● 创建协同分享前,需确保云堡垒机与资源主机网络连接正常,否则受邀用户无法加入会话,
且邀请人会话界面上报连接错误,提示“由于服务器长时间无响应,连接已断开,请检查您 的网络并重试(Code:T_514)”。
● 邀请URL链接可复制发送给多个用户,拥有该资源账户策略权限的用户才能正常打开链接。
● 受邀用户需在链接有效期前或会话结束前才能有效加入会话。
操作步骤
步骤1 登录云堡垒机系统。
步骤2 选择“运维 > 主机运维”,进入主机运维列表页面。
步骤3 选择待运维主机资源,单击“登录”,登录会话进行操作。
图11-4 主机资源运维界面
步骤4 单击会话框右侧“协同分享”,邀请用户参与会话,一同进行操作。
步骤5 单击“邀请好友进入此会话”,获取邀请链接。复制链接,发送给拥有云堡垒机资源 账户权限的用户。
图11-5 获取邀请链接
步骤6 受邀用户登录云堡垒机,打开邀请链接,查看邀请信息。
图11-6 受邀用户查看会话协同邀请信息
步骤7 受邀用户单击“立即进入”,加入会话操作。
● 单击“申请控制权”,向当前控制者发送控制申请,申请控制会话的权限。
● 单击“释放权限”或“退出会话”,会话权限将返给邀请人控制。
● 单击“退出会话”,用户退出当前会话。当邀请链接未过期且邀请人未结束会话 时,用户可再次加入会话。
● 单击“退出会话”,用户退出当前会话。当邀请链接未过期且邀请人未结束会话 时,用户可再次加入会话。