手册下载
H3C SecPath A2000-G[AK][V][G510][Cloud]系列运维审计系统 操作员手册(MacOS)(E6111_E6112_R6113)-6W115-整本手册.pdf (3.97 MB)
本文档是面向运维审计系统的操作员的操作指导手册。
操作员是运维审计系统的普通用户,拥有登录运维审计系统并进行资产访问等基本功能的权限。本文将指导操作员完成在运维审计系统上可以进行的这些基本操作。
如需使用其他角色的功能,或需要查看更多详细的指导,请参考运维审计系统的用户手册和重要功能的典型配置指南。
格式 | 说明 |
---|---|
粗体 | 各类界面控件名称采用加粗字体表示,如单击确定。 |
> | 多级菜单用 > 隔开。如选择用户管理菜单下的用户列表子菜单。 | ,表示选择
操作员可以通过本节内容快速了解在运维审计系统上的基本操作。如操作过程中遇到问题,或涉及较复杂的登录/认证过程或其他进阶操作,请查阅后续章节中的详细指导。
本节以使用浏览器登录到运维审计系统的Web界面并访问一个Windows资产为例,指导操作员快速完成在运维审计系统上的操作。
登录运维审计系统,完成个人帐号设置、下载AccessClient软件;同时支持通过Web界面访问资产。
认证方式 | 获取密码 | 说明 |
---|---|---|
静态密码 | 向管理员获取密码 | 使用本地密码或AD/LDAP服务器对应的用户密码。 |
RADIUS认证 | 向管理员了解密码获取方式 | 通过用户公司/机构的内部RADIUS认证系统获取RADIUS口令。 |
动态令牌 | 向管理员获取动态令牌和PIN1码。 | 使用分配的动态令牌生成的动态密码。按下动态令牌的按钮打开或关闭动态令牌,请在令牌左侧倒计时走完之前完成输入。 输入的密码前半段是“PIN1码”,后半段是绑定的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。 |
手机令牌 | 初次登录时绑定手机令牌,后续使用该令牌生成密码 | 使用FreeOTP等TOTP软件绑定并生成的动态密码。 需要先绑定手机令牌。 |
短信认证 | 使用配置的手机号接收密码短信 | 使用收到短信中的动态密码。 需要先设置手机号。 如未受到短信,请在倒计时结束后单击重新发送验证码。 |
双因子认证 | - | 使用以上其中两种认证方式的组合。需要分别使用两种认证的密码完成认证。 请参考使用双因子认证。 |
X.509证书认证 | 向管理员获取用户证书 | 仅用于登录Web界面。是独立于以上认证方式之外的额外一重认证。 |
密钥认证 | 自行配置 | 仅用于登录SSH交互终端。使用密钥认证将代替其他认证方式。用户可以自行配置,请参考配置密钥。 |
通过Web界面登录运维审计系统的环境要求请参考下表:
项目 | 要求 |
---|---|
操作系统 | MAC OS。建议更新到最新版本。 |
浏览器 |
|
显示器/浏览器分辨率 | 建议最小为1280*1080(系统的缩放设置为100%时)。 Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
|
本节以Chrome浏览器为例,指导完成登录到运维审计系统的Web界面。
在使用运维审计系统访问资产时,除了通过Web方式建立图形会话,其他场景下运维审计系统都会通过AccessClient打开客户端并建立会话。
基本信息包含个人帐号名称、姓名、手机号码、工作邮箱等。但帐号名称只能查看不能修改。
参数 | 说明 |
---|---|
姓名 | 用于标识该帐号所属的具体人员的姓名,会显示在右上角。取值范围为1~200长度的字符串,不能为空。 |
手机号码 | 在以下场景会使用该手机号码:
标准格式的手机号码。如设置为空则不会发送短信给用户。 |
工作邮箱 | 在需要发送邮件给用户时,运维审计系统会将相关信息发送到用户设置的该邮箱中。 标准格式的邮箱地址。如不设置,则在需要发送相关信息的目标用户时,无法选中当前用户。 |
仅当用户使用本地密码登录,或使用双因子登录中的第一身份验证方式为本地密码时会显示该页签,并可以在此处修改本地密码。
用于设置操作员登录到运维审计系统的Web界面之后默认展示的页面。
用于设置用户在访问资产并进行字符、图形会话和文件传输时的相关参数。
用于设置用户访问资产时建立的字符会话的访问方式及持续时间。
参数 | 说明 |
---|---|
会话访问方式 | 用于设置本地PC为Windows时的字符会话访问方式。 |
会话访问方式(Mac) | 用于设置本地PC为Mac时的字符会话访问方式。
|
最大持续时间 | 用于设置字符会话的最大持续时间,取值包括:
|
直连分类方式 | 用户使用SSH直连方式访问时资产的分类方式,取值包括:
|
用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。
参数 | 说明 |
---|---|
图形会话分辨率 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800x600、1024x768、1280x1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。 分辨率的取值范围为640x480~9999x9999。多个分辨率之间用空格隔开,例如“1280x800 1920x1080”。 |
默认分辨率 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640x480~9999x9999,或fullscreen、maximize。 该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。 |
图形会话访问方式 | 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。
|
启用Console连接 | 勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。 仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。 Note: 仅当待访问的主机系统是Windows
Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows
Server 2003,从而打开一个session
id为0的控制台会话,或使用
/admin 参数登录Windows Server
2008/2012/2016,打开一个session id为0的管理员模式的会话。 |
最大持续时间 | 用于设置字符会话的最大持续时间,取值范围如下:
|
磁盘映射 | MacOS环境下该参数无效。 |
用于设置用户通过Web界面建立SFTP会话时,使用的SFTP工具。需要在本地PC上自行安装对应的工具。
参数 | 说明 |
---|---|
会话访问方式 | 用于设置本地PC为Windows时建立SFTP会话使用的工具,取值范围如下:
Note: 建议使用FileZilla工具,使用其他SFTP客户端可能存在一些兼容性问题。
|
会话访问方式(Mac) | 用于设置本地PC为Mac时建立SFTP会话使用的工具,取值范围如下:
Note: 建议使用FileZilla工具,使用其他SFTP客户端可能存在一些兼容性问题。
|
用于当用户通过SSH客户端直连访问时,使用此处配置的密钥对应的私钥进行验证,从而不输入密码登录到运维审计系统的字符交互终端。
本章以主机资产为例,介绍常用的资产访问。
下表列出了不同访问方式的比较,请根据自己的实际情况选择:
访问方式 | 描述 | 依赖客户端 |
---|---|---|
客户端 | 通过客户端访问资产,支持以下2种方式:
|
需要安装客户端,例如mstsc、Xshell、Putty等。 |
HTML5 | 通过HTML5方式访问资产,支持以下场景:
|
HTML5方式只依赖浏览器,对其操作系统、其他工具软件没有要求。所以只需要安装浏览器即可完成资产访问。 |
通过Web界面(客户端方式)访问资产,需要先登录运维审计系统的Web界面,支持访问所有类型的资产,包含主机、网络设备、数据库和应用系统资产。
访问资产类型 | 要求 |
---|---|
Windows(mstsc方式) |
Note: 两种客户端只能安装一个,否则访问时会存在问题。MRD通过Web界面启动时不支持磁盘映射,仅直连访问时支持磁盘映射。
如没有相应的客户端,请在个人帐号设置中设置使用web方式访问。对于数据库/应用系统资产,必须联系超级管理员,修改图形会话全局设置,使该客户端不使用RemoteApp,否则web方式的设置将不生效。 |
Linux、HP Unix、IBM AIX、网络设备(非web方式) |
|
域名不支持多关键字检索。
域名不支持多关键字检索。
查找到资产并启动访问后,运维审计系统将启动对应的客户端并建立字符或图形会话。会话的全局设置请参考修改会话配置进行修改。
本节以Windows主机为例,指导完成资产访问。但将对所有资产涉及的参数进行说明。如需同时启动多个会话,请参考批量启动会话。
参数 | 说明 |
---|---|
系统帐号 | 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的帐号。有以下几种类型:
Note:
|
客户端 | 仅当访问的资产是数据库、应用系统时需要配置。 用于选择使用哪种客户端打开对应的资产。 |
屏幕大小 | 仅当满足以下条件时显示该参数:
用于选择打开的远程会话的屏幕的分辨率。 |
磁盘映射 | 仅当满足以下条件时显示该参数:
下拉选择待映射的文件夹路径,将本地PC对应的文件夹映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应的路径进行读写操作。可以映射的文件夹如下:
|
启用Console连接 | 仅当管理员设置了显示该参数时才会显示。 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin 参数登录Windows Server
2008/2012/2016,打开一个session id为0的管理员模式的会话。 |
功能 | 说明 |
---|---|
备注 | 如管理员设置了启动会话时必填或可填备注,请输入备注后并单击启动。备注是一个1~100长度的字符串。 |
SSH会话 | 以SSH协议访问Linux资产时,通过any帐号建立的会话,支持目标资产使用二维认证。访问时,不支持跳转来源和切换自。 |
VNC会话 | VNC会话启动后需要继续输入在待访问资产的VNC
server上设置的VNC远程连接的密码。如配置资产时已托管了VNC密码,直接勾选使用已设置密码,并单击启动。 |
XFWD会话 | XFWD会话如初始登录到xterm字符终端,请输入待启动的图形/字符工具的路径,如/usr/bin/xfce4-session或/usr/bin/xfce4-terminal,打开图形或字符会话。 |
Web方式图形会话 | 以下几种方式建立会话时,会话会在浏览器新页签中打开:
在该界面中,可以单击上方的展开/收起按钮,展开标题栏,并单击右上方的按钮,实现发送Ctrl+Alt+Del、剪贴板、全屏、断开连接等操作。该场景下在浏览器中刷新会话访问界面,会话将被断开。单击浏览器上方的展开,将显示Failed
to connect to server (code:
1000)的错误信息。
也可以使用Ctrl+C/Ctrl+V键或右键的复制粘贴功能,在会话界面和本地PC之间复制粘贴文本信息,但不支持传输文件。 |
Web方式字符会话 | 在会话访问方式为web时,Telnet/SSH会话会使用浏览器打开。 在该界面中,使用鼠标选中某段文字时,会自动将该段文字复制到剪贴板中;当单击鼠标右键或按Shift+Ctrl+V时,会将剪贴板中的文字粘贴到会话窗口中。 该访问方式存在以下访问限制:
|
中,设置
数据库/应用系统会话 |
|
高危操作 | 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作。 |
会话共享 | 建立会话后,可将会话共享给其他用户,请参考共享会话。 |
其他 |
|
帐号名称 | 说明 |
---|---|
快捷访问帐号 | 仅在非最近访问或收藏的访问界面启动会话时显示。表示每个资产建立会话时,分别使用该资产上一次访问时的会话配置(包括访问协议和帐号)。 |
最近访问帐号 | 仅在最近访问界面启动会话时显示。表示每个资产建立会话时,分别使用该资产上一次访问时的会话配置(包括访问协议和帐号)。 |
收藏帐号 | 仅在收藏界面启动会话时显示。表示建立每个会话时,分别使用该收藏对应的会话配置(包括访问协议和帐号)。 |
其他帐号 | 所有会话都将统一使用此处选择的协议和帐号。 |
HTML5方式只依赖浏览器,对操作系统、其他工具软件没有要求。同时当前主流浏览器均支持HTML5,所以只需要安装浏览器即可完成运维工作,大大降低了环境准备工作,提高工作效率。
Windows资产支持通过RDP建立图形会话访问。
Linux/Unix资产支持通过字符会话(SSH、Telnet)访问,也支持通过图形会话(VNC、XDMCP、XFWD)访问。
通过SSH客户端登录运维审计系统后仅能查看并访问当前用户可通过SSH/Telnet访问的资产,即类Unix资产。
请参考客户端兼容性列表准备客户端环境并获取登录所需的密码。
如登录帐号被管理员在运维审计系统上设置了下次登录时必须修改密码,请先通过Web界面登录并重设密码;如使用手机令牌登录但未绑定令牌,请先完成绑定手机令牌,然后再登录SSH交互终端,否则将登录失败。
ssh 运维审计系统中的用户名@运维审计系统的地址
例如: ssh opt@10.10.33.46
使用场景 | 输入 | 说明 |
---|---|---|
最外层资产分类列表菜单 | q | 退出登录运维审计系统 |
l | 切换语言(从中文到英文,或从英文到中文) | |
r | 重新加载数据 | |
/设备IP、名称或说明 | 过滤设备 | |
目标资产列表菜单 | i | 按IP排序 |
a | 按设备名称排序 | |
/设备IP、名称或说明 | 过滤设备 | |
任意子菜单 | 直接按回车键 | 返回上一级菜单 |
断开到设备的会话后 | 直接按回车键 | 回到资产分类列表菜单 |
r | 重新连接到已断开的会话 | |
q | 退出登录运维审计系统 |
资产分类列表
序号: 资产分类
0: 全部资产
1: 资产组1
2: 资产组2
请选择资产分类:1
已选择:资产组1
目标资产列表
序号: IP 地址 名称(说明) *
1: 10.10.33.30 CentOS7
2: 10.10.33.130 CentOS7-2
请选择目标资产:1
已选择:资产组1 > CentOS7(10.10.33.30)
登录帐号列表
序号: 帐号名
1: any
2: * root
3: self
请选择登录帐号:2
*
表示该帐号的密码已在运维审计系统上托管,将无需输入密码直接登录。Connecting to root@CentOS7(10.10.33.30) ...
请输入备注:备注内容
如需配置密钥或终端编码,请参考登录到运维审计系统后查找并访问资产完成配置。
本节以MacOS 10.14的Terminal终端为例指导完成访问资产。
ssh 运维审计系统的用户名/目标资产的地址/访问目标资产的帐号@运维审计系统的地址
例如: ssh opt/10.10.33.30/root@10.10.33.46
ssh
opt/fc00::1010:32::30/root@fc00::1010:32::1
。如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。
通过该方式执行的命令,不会受到会话复核的限制,无需被复核即可执行。但如配置了命令复核,只要规则中执行的动作不为允许,该命令的执行的都将被拒绝,请参见执行高危操作。
本节以在OpenSSH客户端的Shell中执行命令为例,实际使用中可以将该命令写到脚本中。
ssh 运维审计系统的用户名/目标资产的地址/访问目标资产的帐号@运维审计系统的地址 命令内容
例如:ssh opt/10.10.33.30/root@10.10.33.23 pwd
[root@localhost ~]# ssh opt/10.10.33.30/root@10.10.33.23 pwd
Password authentication
Password:
/root
;
、&
、|
等符号进行分割。通过RDP客户端登录运维审计系统只支持访问Windows主机资产。
参数 | 说明 |
---|---|
用户名 |
运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号 |
密码 | 运维审计系统的密码。本例中输入用户opt在运维审计系统的密码。 |
参数 | 说明 |
---|---|
用户名 |
运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号 |
密码 | 运维审计系统的密码。本例中输入用户opt在运维审计系统的密码。 |
后续可以通过双击保存的.rdp文件,直接连接到该资产。要求用户必须使用单重静态密码认证,并且资产密码已托管。
管理员如果配置了会话复核或高危命令规则,指定用户在访问资产和执行命令时将受到限制。根据配置的规则,操作员可以作为被复核人受到这些规则的限制,也可以作为复核人来复核其他用户的操作。
当管理员配置了高危操作时,特定操作用户如访问特定的资产时,会要求会话复核;如在特定资产的字符会话上执行某些特定的命令时,会触发高危命令,执行的命令被发送通知、被要求复核、被直接拒绝,或被直接断开会话。
操作员在进行资产访问和执行命令时都有可能触发已配置的高危操作规则,已配置的具体规则请向管理员咨询。
现象 | 说明 | 处理方法 |
---|---|---|
通过Web界面建立会话,单击启动后出现启动资产窗口,包含复核人下拉菜单。 | 操作员触发了会话复核规则,需要完成会话复核后才能进行操作。 |
|
通过SSH客户端建立会话,选择资产和帐号名称后,提示请选择会话复核用户。 | ||
执行命令,提示This command requires manager's confirmation, are you sure?[Y/n]。 | 操作员触发了命令复核规则,需要完成命令复核后命令才能被执行。 |
|
执行命令,提示You are not allowed to use this command。 | 操作员触发了拒绝用户执行的高危命令 | 请使用其他允许被执行的命令。 |
执行命令,提示Session will be killed because of this command。 | 操作员因执行高危命令,触发了断开会话的操作 | 请重新打开会话,并使用其他允许被执行的命令。 |
现象 | 说明 | 处理方法 |
---|---|---|
在Web界面单击启动会话时,提示操作失败。 | 可能原因:会话复核规则中设置的所有复核人均不可用。 | 联系管理员检查会话复核规则是否存在问题。 |
在SSH客户端上启动会话时,提示Not authorized to login to server 'XX' with account 'YY'。 | ||
执行命令,提示No valid user for confirmation. Please contact the administrator。 | 命令复核规则没有设置复核人或设置的所有复核人均不可用。 | 联系管理员为命令复核规则设置可用的复核人。 |
复核人的登录认证方式 | 访问授权码的组成 |
---|---|
动态令牌 | PIN2码+动态令牌码 |
本地密码+动态令牌 | |
AD/LDAP+动态令牌 | |
RADIUS+动态令牌 | |
本地密码+手机令牌 | 手机令牌码 |
AD/LDAP+手机令牌 | |
RADIUS+手机令牌 | |
本地密码+短信认证 | 短信验证码 |
AD/LDAP+短信认证 | |
RADIUS+短信认证 |
如管理员配置了会话复核规则中,当前用户被设置为复核人之一,则其他用户进行资产访问触发会话复核规则时,可以指定当前用户作为本次会话的复核人。复核人完成会话复核,访问资产的用户才能在建立的会话中进行操作。
需要复核的会话,当操作用户建立会话之后不能执行任何操作,必须等复核人进行确认后才能执行操作。复核人将继续观看用户的所有操作,并在用户将要进行危险操作时及时锁定会话。
如管理员配置了命令复核规则,则当有其他用户触发命令复核规则时,当前用户如为复核人之一,可以对操作人要执行的命令进行复核。
操作人触发命令复核时,所有复核人都将收到命令复核提示,当有一个复核人完成复核之后,其他复核人收到的复核请求将失效并被撤回。操作人如自行撤回复核申请,复核人将无法再复核。
本地PC与Linux、HP Unix、IBM AIX资产之间传输文件,运维审计系统提供了多种方式。
通过运维审计系统客户端的自带的文件传输功能,用户可以将文件在本地PC、运维审计系统、目标资产设备之间上传/下载。
操作 | 说明 |
---|---|
查询 | 在对话框中,输入文件或文件夹的名称并按回车键进行查询。如未勾选查询子文件/文件夹,只会搜索当前文件夹内的内容。但勾选了查询子文件/文件夹后,不能执行批量操作。 |
新建文件夹 | 在文件列表中进入指定的目录,然后单击新建文件夹,填入文件夹的名称,在当前路径新建文件夹。 |
上传 | 在文件列表中进入指定的目录,然后单击上传,并在弹出的对话框中选中本地PC上待上传的文件,将文件上传到当前进入的目录。 Note: 该操作要求当前用户拥有足够的配额空间。界面上方会标出已用空间:已用大小/配额大小,如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
|
下载 | 在文件列表中找到待下载的文件或文件夹,单击下载将文件下载到本地PC。如需批量下载,请勾选所有待下载的文件,并单击下方的批量下载,下载文件夹或批量下载文件,运维审计系统将使用zip压缩包打包。 |
删除 | 在文件列表中找到待删除的文件或文件夹,单击...,在下拉菜单中选择删除,并单击确认。如需批量删除,请勾选所有待删除文件,并单击下方的批量删除。 |
重命名 | 在文件列表中找到待重命名的文件或文件夹,单击...并在下拉菜单中选择重命名,在对话框中输入新的文件名并单击确定。新的文件名必须是一个长度为1~100的字符串,不能以“.”开头且不能包含“\”或“/”。 |
移动至 | 在文件列表中找到待移动的文件,单击...并在下拉菜单中选择移动至,在弹出的对话框中选择目的路径。如需批量移动,请勾选所有待移动的文件,并单击下方的移动至。文件夹不能进行移动。 |
分享文件 | 在文件列表中找到待分享的文件,单击...并在下拉菜单中选择分享文件,在弹出的对话框中输入有效时长(天),取值范围为1~30天。单击确定后,会弹出分享链接及密码。已分享的文件可以单击...并在下拉菜单中选择查看分享链接或取消分享。 |
获取分享的文件 | 获取分享文件的用户必须具有文件传输权限。用户接收到分享链接和密码之后,请按以下操作获取文件:
|
运维审计系统支持使用SFTP工具,建立本地PC和目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。
本文以Filezilla为例进行介绍。
当本地PC为Mac时,用户可以在命令行中使用sftp命令传输文件。
sftp 运维审计系统上的用户名/目标资产的IP地址/目标资产上的帐号@运维审计系统的IP地址
sftp
opt/10.10.33.30/root@10.10.33.23
。sftp
admin/fc00:1010:32::30/root@[fc00:1010:32::1]
。get 待下载文件的源路径(远端) 待下载文件的目标路径(本地)
put 待上传文件的源路径(本地) 待上传文件的目标路径(远端)
用户可以在建立到资产的字符会话后,使用rz和sz命令上传/下载文件。
ZMODEM是一种使用字符会话传输文件的协议,支持在字符终端上使用rz、sz命令。使用rz、sz命令,需要在服务端上安装lrzsz包,该包是一个第三方软件包,请自行下载。例如,CentOS系统可以通过yum
install lrzsz
命令直接下载并安装。
MacOS自带的Terminal终端不支持ZMODEM传输;iTerm2支持ZMODEM传输需要下载并安装iterm2-zmodem插件。
cd 待上传文件的目录
rz
cd 待下载文件所在的目录
sz 待下载文件的文件名
运维审计系统支持通过剪贴板/磁盘映射和网盘方式,实现本地PC和Windows资产之间传输文件。
下表列出了不同传输方式的比较,请用户根据自己的实际情况选择。
传输方式 | 描述 | 依赖软件 |
---|---|---|
剪贴板/磁盘映射 | 通过mstsc方式建立RDP会话时使用。 | RDP客户端 |
HTML5网盘 | 使用web方式建立RDP会话时使用。 | 无 |
本地PC与Windows主机之间的文件传输,可以在启动RDP会话时选择启用磁盘映射。
功能 | RDC | MRD |
---|---|---|
磁盘映射 | 从Web界面启动和客户端直连时,均支持磁盘映射 | 仅客户端直连时支持磁盘映射,从Web界面启动时不支持 |
剪贴板 | 不支持使用剪贴板复制粘贴文件,仅支持复制粘贴文本 | 支持使用剪贴板复制粘贴文件和文本 |
在运维审计系统上可以通过工单申请资产权限、资产密码。
操作员可以提交以下类型的工单,不同类型的工单对使用人和审批人的要求如表7.1 工单申请人、使用人和审批人的要求所示。
工单类型 | 使用人 | 审批人 |
---|---|---|
资产权限 | 用户具有访问资产权限。 | 由超级管理员指定的审批人名单中的用户。如未指定,则为所有配置管理员。 |
资产密码 | 用户具有工单权限。 | 同上 |
申请人提交工单后,审批人会收到通知;审批人审批工单后,申请人、使用人也会收到通知。运维审计系统支持以下通知方式。
用户可以通过工单来申请资产的访问权限。
参数 | 说明 |
---|---|
工单标题 | 工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。 |
操作类型 | 用户要申请的操作类型,取值包括日常维护和定期巡检。 |
申请理由 | 工单的申请理由。字符串格式,长度范围是0~512个字符。 |
开始时间/结束时间 | 权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为:
开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
crontab -l
,也可以填写命令的正则表达式,例如rm
-rf.*
。此处放行的命令相当于在命令模板中配置对应的命令为允许,并将有着比高危命令配置更高的优先级。申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统将用户和所选资产、帐号关联。
执行结束后,运维审计系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的帐号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。
完成审批后,最后一层审批人可以对该工单执行撤销操作。撤销后,工单状态显示为已完成,使用人将无法访问该资产。
用户可以通过工单来申请资产帐号的密码。
参数 | 说明 |
---|---|
工单标题 | 工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。 |
开始时间/结束时间 | 使用密码的开始时间和结束时间。开始时间和结束时间的缺省值为:
开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
帐号 | 单击,选择要申请密码的资产和帐号。 |
密码分段 |
|
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给申请人。
工单中填写的开始时间到期后,申请人在已办工单中执行以下操作获取密码。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给前段、后段密码用户。
两段密码的用户分别在已办工单中执行以下操作获取分段密码,最后将两段密码拼接成完整的密码。
工单结束时间到期后,工单状态变为已完成,解压密码入口消失。如果帐号配置了改密计划,运维审计系统对该帐号改密。
审批完成后,最后一层审批人可以对该工单执行撤销操作。撤销后,解压密码入口消失,工单状态显示为已完成,使用人将无法访问该资产。
工单的默认审批人是配置管理员。仅当超级管理员手动指定了某种类型的工单的审批人名单,且名单中包含操作员时,操作员才能审批工单。
客户端名称 | 支持版本 |
---|---|
Chrome | Chrome 49及以上 |
Firefox | Firefox 50及以上 |
Safari | 建议使用最新的版本 |
|
|
通过VNC协议、XDMCP协议和XFWD协议启动图形会话时,运维审计系统将直接通过Web方式启动,用户无需在本地PC中安装相关客户端。
|
仅当用户登录方式为手机令牌登录时,需要在首次登录时绑定手机令牌。
完成绑定后,用户下次登录时将可以填写两步认证密码为手机令牌的密码,进行登录。并可以登录RDP和SSH客户端。
用户如使用双因子认证,在输入密码时,请参考本节指导完成输入。
Web界面、SSH交互终端、RDP客户端均支持使用双因子认证。
双因子认证有以下两种输入方式,请用户根据自己的实际情况进行选择。
在密码输入框中输入第一重认证的密码,第一重认证通过后,在两步认证窗口中继续输入第二重认证的密码,并提交,进行第二重认证。
组合密码允许用户在同一密码输入框内直接输入第一重密码和第二重密码的组合,从而直接完成登录认证。
当使用SSH或RDP客户端时,如双因子认证的两种认证方式全都为静态密码时,可以保存会话,并将密码保存为组合密码,从而简化登录。其他情况下,不建议使用该密码输入方式。
如管理员禁用了组合密码功能,不能使用该方式,只能分两次输入密码。
输入格式 | 说明 | 举例 |
---|---|---|
第一重密码+空格+第二重密码 | 推荐使用该方式。 | abcdef 123456 |
第一重密码+第二重密码 | 仅当第二重认证的密码为6位数字时,可使用该方式。 | abcdef123456 |
仅当管理员设置了用户需要进行X.509证书认证时需要安装X.509证书。仅当进行Web界面登录时需要使用该证书。是独立于其他认证方式之外的另一重认证。
通过Web界面登录的环境要求请参考下表:
项目 | 要求 |
---|---|
操作系统 | MAC OS。系统版本为Mac OS X 10.7或以上 |
浏览器 |
|
显示器分辨率 | 建议最小为1280*1080(系统的缩放设置为100%时)。 Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
|
本节以Chrome浏览器为例,指导完成登录Web界面。
访问运维审计系统的Web界面时,如果提示证书错误,请安装运维审计系统的安全证书。
如未安装证书,也可以在使用Safari访问运维审计系统时,按以下步骤自动安装证书。
本节介绍直接通过Chrome访问运维审计系统并安装证书的方式。
用户可以通过运维审计系统将已打开的会话,共享给另一个用户,实现两人同时对同一个会话进行操作。
用户加入共享后,开启共享的用户不能取消对该用户的共享。但如果开启共享的用户关掉被共享的会话窗口,所有加入共享的用户的会话窗口都将被自动关闭。
会话共享有以下使用限制:受邀人收到共享邀请后可以选择加入会话共享。