一、快速部署思路
部署的思路非常的簡單:首先創建資源,然后創建用戶,最后將資源關聯到用戶即可。
二、基本概念
2.1快速部署須知
- 建恆信安的堡壘機默認最好是IE瀏覽器進行管理!用其它的瀏覽器會有一些奇怪的事發生!
- 通過瀏覽器登錄堡壘機之后,如果想管理遠程主機,必須安裝“單點登錄標准版”
- 建恆信安堡壘機默認有兩個管理口:eth0和eth3,地址分別是:192.168.23.92和192.168.2.92,默認的用戶名是admin,密碼是Admin123456
- 堡壘機是物理旁路,邏輯串行
2.2資源、用戶、角色、崗位的關系
1、何為資源?
所謂的資源其實就是組織內部的設備,比如服務器、路由器、交換機、防火牆、數據庫等。
2、何為用戶?
這里說的用戶並不是指訪問資源用的用戶,這里的用戶指的是訪問堡壘機的用戶,這一點要區分清楚。
3、何為崗位?
崗位就是崗位,比如:公司里面有運維崗、審計崗
4、何為“角色”?
我們可以把角色理解成為一個組,比如我們創建一個角色為administrator,給administrator這個用戶最大的權限;再創建另一個角色audit,只給他查看的權限。后續我們創建的用戶一部分加入到administrator角色,那么這個角色里面的用戶就有了最高權限,我們創建的用戶一部分加入到audit角色,那么這個角色里面的用戶就只能查看權限!
你是這樣想的嗎?
真的是這樣嗎?
不是的,不是的,不是的!!那么“角色”到底是用來做什么的?
“角色”真正的作用其實很簡單!簡單到一句話就可以說明了!
角色的作用是“幫助管理員分擔管理用戶的壓力的!!!!!”,是的,你沒有看錯!
如果將角色的權限設置成如下這樣的話:
那么加入這個角色的用戶就可以添加用戶、刪除用戶和修改用戶了。
我將zhangsan加入到了“超級管理員TEST”這個角色,當我登錄進入zhangsan角色之后,打開“組織結構”之后也可以進行組織結構的管理,可以查看、添加、刪除、修改用戶信息。
2.3資源與組織結構的關系
我們創建資源時最好是創建在組織結構里面,資源關聯崗位時,我們就可以通過組織結構直接進行關聯,而不用一個個的點選主機進行關聯,這樣效率太低,不適合大規模的集群環境。
2.4部署前的調查
將哪個用戶歸屬於哪個部門列出一個表單
每個部門需要管理哪些設備也要列出一個表單,舉個例子:
服務器運維部:
人員:張三、李四、王二
張三:運維主管
李四:普通運維
所要管理的主機:172.16.100.140
網絡管理部:
人員:小明、小芳、小花
小明:網絡管理主管
小芳:普通網絡管理人員
所要管理的主機:172.16.100.140
2.5部署前的准備(IE登錄)
- 初次登錄系統后,首先要建立根域,否則無法繼續下一步操作
- 修改IP地址,並測試連通性
- 安裝控件(單點登錄工具,標准),一路默認安裝即可
2.6部署的步驟
-
創建策略,比如不允許某些用戶使用su、rm、sudo,mv,no,shutdown,,reboot,mkdir,touch,echo等命令
-
創建組織結構,按照部門進行划分,比如服務器運維部、網絡管理部、
-
創建用戶,最好是實名創建
-
根據組織結構創建資源,比如運維部里面添加服務器,網絡管理部里面添加網絡設備
-
添加崗位:運維工程師、網絡工程師。將服務器綁定到運維工程師,將網絡設備綁定到網絡工程師。
-
回到用戶管理,給用戶添加到相應的崗位
2.7部署示例
1、創建策略policry_audit,不允許rm命令的使用。
2、創建組織結構:服務器運維部、網絡管理部
3、在組織結構里面創建用戶:在服務器運維部門里面創建張三、李四;在網絡管理部門里面創建小明和小芳。
4、添加資源:在組織結構里面添加資源
5、添加崗位:運維工程師(普通)、運維工程師(超級)。網絡工程師(普通),網絡工程師(超級)。將服務器綁定到運維工程師,將網絡設備綁定到網絡工程師。
6、回到用戶管理,給用戶添加到相應的崗位
三、審計功能
3.1行為審計
在“報表審計”的“行為審計"功能里面即可以對用戶的操作進行回放
3.2內部審計
在“報表審計”的“管理審計"功能,可以看到什么用戶在什么時間登錄了哪些主機,模塊上方還可以選擇。
四、計划管理
計划管理可以定期同步資源賬號和定期修改資源賬號口令;
使用計划管理的前提(Linux資源和windows資源都需要輸入管理員賬號和口令,windows需要安裝appagent插件,賬號類型為接管賬號)
五、策略管理
”字符命令“,通過此策略可以規定不能通過命令行使用哪些命令,制定完成之后再將此策略綁定給某個用戶,當這個用戶通過命令行登錄某台通過命令行操作的設備時就會受這條策略的控制。比如,不允許張三用戶使用rm命令,那么張三登錄命令行操作時使用rm命令就會被阻斷!
”時間策略“,這個時間策略大家一看就明白,就是規定哪些用戶在哪些時間可以或者不可以訪問某些資源。
“ftp控制策略”,就是規定客戶通過FTP登錄時是否可以上傳/下載/刪除/修改文件
”地址策略“,這個策略就是用戶可以登錄哪些IP主機或范圍
”訪問鎖定策略“,就是規定密碼輸錯多少次后會被鎖定,鎖定多少時間
”口令策略“就是規定密碼復雜度
六、證書認證管理
超級管理員登錄之后----自維護----生成證書
保存證書到本地並導入證書,導入密碼默認是123456
配置管理---認證配置--證書配置
七、高級配置
7、1堡壘機端
建立應用發布服務器
建立賬號:引賬號必須是應用發布器里面存在的用戶,是好是用administrator
建立B/S資源:
7.2應用發布服務器端
建立與堡壘機與之對着的賬號
還有C:\channel\00文件的配置,指向堡壘機的地址
(D:/%E6%9C%89%E9%81%93%E4%BA%91%E5%85%83%E6%95%B0%E6%8D%AE/qqEA3569124915ABD8E818DCAAA52D5C9B/3f3b18d49a824fb28a0aaeb6f5986df7/attachment.png)
八、遇到的問題
1、堡壘機老是掉線
懷疑IP地址沖突,一直ping目標主機,然后將其拿掉,如還通,則說明有沖突!
2、IE瀏覽器導致無法顯示登錄驗證碼
更換瀏覽器,谷歌
3、登錄“應用發布服務器”時,藍屏--注銷--退出
原因是應用發布服務器與堡壘機用戶不一致,必須保證,在堡壘機上建立的賬戶在應用發布服務器存在。
