检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理登录手机令牌 手机令牌可用来生成动态口令的手机客户端软件。堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证,用户配置“手机令牌”多因子认证后,需同时输入用户密码和6位手机令牌验证码,才能登录堡垒机系统。更多详细说明,请参见配置手机令牌登录。 目前堡垒机系统可选择两种手
配置SSO单点登录工具,具体的操作请参见如何配置SSO单点登录工具?。 执行完步骤 8~步骤 9后,再次单击“操作”列的“登录”。 如果出现“数据库客户端工具配置路径配置有误,请重新配置!”的错误提示,请重新执行步骤 9。 父主题: 资源添加类
实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目
输”、“文件管理”等功能。用户在应用上执行的所有操作,被堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。 “文件管理”指参与会话的用户获取操作权限后,可对云主机和主机网盘中文件或文件夹进行管理。
应用运维 查看应用运维列表并设置资源标签 通过Web浏览器登录应用资源进行运维 父主题: 运维管理
新建命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
系统资源标签可以共用吗? 不可以。 因云堡垒机系统用户间隔离,每个用户自定义的资源标签仅能个人账户使用,不能被CBH系统内用户共用。 例如系统管理员admin添加的资源标签,其他管理员或运维人员登录系统后,不能看到admin为资源添加的标签,反之亦然。 更多CBH资源标签介绍请参见如何使用云堡垒机资源标签?
“主机网盘”属于堡垒机用户个人空间,其他用户不可见,用户可以将“主机网盘”文件上传到多个主机。 Windows服务器文件存放的默认路径在G盘,Linux服务器文件存放的默认路径在根目录。 Windows服务器上传下载文件,需打开服务器的磁盘目录,对NetDisk的G盘上文件复制/粘贴,实现对文件的上传/下载。
排查主机SCP命令是否正常可用 未安装SCP 需要在ECS的服务器配置中安装SCP。 通过SSH客户端运维上传/下载失败 问题现象 在Xshell客户端上,登录云堡垒机运维SSH协议主机资源,不能正常调用Xftp客户端传输文件。 可能原因 云堡垒机SSH客户端运维限制调用工具进行文件传输,即SSH客户端运维不支持文件传输功能和审计传输的文件。
et协议类型的主机,支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务,并放开主机安全组445端口,才能通过改密策略修改资源账户密码。 关联Windows 10资源账户前,需先参照配置Windows 10服务器相关参数进行服务器相关参数的配置。 前提条件 已获取“改密策略”模块操作权限。
部门管理员 部门的运维管理员,主要负责堡垒机系统的管理。除用户管理和角色管理模块之外,部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员,负责主机运维的权限策略管理。主要负责策略权限的配置,拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运
开启RDP强制登录 当Windows远程桌面连接数超过最大限制时,用户将无法登录。堡垒机通过开启“admin console”,在远程桌面连接用户超限时,用户可挤掉已登录的用户,强制登录。 本小节主要介绍如何开启admin console配置。 约束限制 仅对RDP协议类型主机生效。 登录时需使用admin账户登录。
添加或移除关联的用户。 在相应用户行,单击“移除”,可立即删除该关联用户,取消授权。 查看和修改策略关联的用户组。 在“用户组”区域,单击“编辑”,弹出关联用户组窗口,可立即添加或移除关联的用户组。 在相应用户组行,单击“移除”,可立即删除该关联用户组,取消授权。 查看和修改策略关联的资源账户。
E进行下一环节的审批,审批不通过则工单被驳回。以此类推,直到市管理员User F审批通过后,用户即可获得相应的权限。审批的过程中任意一个环节驳回,则该工单审批不通过,用户不能获取相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单,且结果为最终结果。 示例三:建立固定流程的会签审批工单
入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机(HTTP、HTTPS) 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机
链接可复制发送给多人。 拥有该堡垒机账户访问权限的用户,才能正常打开连接,否则将会上报连接错误,提示“由于服务器长时间无响应,连接已断开,请检查您的网络并重试(Code:T_514)”。 复制链接,发送给拥有堡垒机账户权限的用户,登录堡垒机,打开新的浏览器窗口,粘贴链接。 单击“立即进入”参与会话操作。
功能说明 用户账号管理 系统用户账号全生命周期管理,用户使用唯一账号登录系统,解决共享账号、临时账号、滥用权限等问题。 批量导入 通过同步第三方服务器用户,以及批量导入用户,支持一键同步并导入已有用户信息,无需重复创建用户。 用户组 用户账号按属性分组管理,可实现对同类型用户按用户组赋予权限。
系统内协议类型@主机地址:端口需唯一,不能重复,即被纳管的主机资源需唯一。否则再次创建相同配置的主机时,会报“主机已存在”错误。 为主机资源配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。修改用户角色管理权限,请参见修改角色信息。 前提条件 已获取“主机管理”模块操作权限。
经过“验证”,账号及密码正确,且能正常登录的资源账户,显示为“正常”状态。 异常 经过“验证”,账户或密码不正确,可能不能正常登录的资源账户,显示为“异常”状态。 未知 添加完资源账户后,未经过“验证”的资源账户,显示为“未知”状态。 云堡垒机自动巡检: 在每月的5号、15号和25号凌晨一点,对纳管的资源账户进
实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目 实例所属的企业项目。 在需要修改安全组的实例所在行,单击“操作”列中的“更多 > 网络设置 > 更改安全组”。 在弹出的对话框中勾选需要绑定的安全组。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
