检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击“确定”,返回动态令牌列表,接口查看导入的动态令牌。 导出动态令牌 登录堡垒机系统。 选择“用户 > 动态令牌”,进入动态令牌列表页面。 勾选需要导出的动态令牌。 若不勾选,默认导出全部动态令牌。 单击“导出”,保存文件到本地。 吊销动态令牌 动态令牌删除后,关联用户账号将暂时不能通过动态令牌方式登录。
最新动态 本文介绍了云堡垒机(Cloud Bastion Host,CBH)各特性版本的功能发布和对应的文档动态,欢迎体验。 2021年8月 序号 功能名称 功能描述 阶段 相关文档 1 V3.3.30.3系统版本新上线 修复了Fastjson <=1.2.76版本存在的漏洞,攻
步骤二:签发动态令牌 管理员登录堡垒机系统。 选择“用户 > 动态令牌”,进入动态令牌列表页面。 单击“签发”,新建签发令牌标识。 图2 新建签发动态令牌 配置令牌标识信息。 图3 签发动态令牌 表1 签发动态令牌参数说明 参数 说明 令牌标识 动态令牌条形码。 密钥 动态令牌的厂商
命令控制策略“执行动作”需选择“动态授权”。 详细动态授权配置说明请参见命令控制策略和数据库控制策略。 命令控制策略设置成功后,授权用户登录云堡垒机,登录目标主机,执行相关命令触发命令拦截,生成命令授权工单。 图1 动态拦截 授权用户选择“工单 > 命令授权工单”,查看并提交工单。 详细动态授权工单说明请参见命令授权工单和数据库授权工单。
详细USBKey签权绑定操作说明请参见USBKey。 动态令牌 通过“动态令牌”方式同时验证登录名、密码和动态令牌,认证登录用户身份。 需先申购动态令牌,签权绑定,再使用动态令牌进行身份认证。 详细动态令牌签权绑定操作说明请参见动态令牌。 AD域认证 管理员配置AD系统认证方式,创建
堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。 当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。
配置手机令牌登录 手机令牌是可用来生成动态口令的手机客户端软件,堡垒机系统支持通过手机令牌动态密码对用户登录身份进行认证。配置手机令牌认证后,登录系统需同时输入静态密码和6位手机令牌动态密码,才能通过身份认证。 admin账户若要使用多因子认证方式登录,需先配置手机令牌,否则ad
配置手机短信登录 手机短信是以手机短信形式发送的6位随机数的动态密码,堡垒机系统支持通过手机短信动态密码对用户登录身份进行认证。配置手机短信认证后,登录系统需同时输入静态密码和6位手机短信动态密码,才能通过身份认证,从而确保系统身份认证的安全性 。 您绑定的手机号码必须有效,若绑
堡垒机支持对数据库操作进行“动态授权”管理,加强对数据库关键操作的限制管理。 当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该数据库“动态授权”操作命令的权限。
单击“登录”,验证通过后即可登录系统。 图5 USBKey登录 使用动态令牌登录 选择“动态令牌”方式。 依次输入用户登录名、账户登录密码。 在已签发硬件令牌上获取动态口令,输入6位OTP口令。 单击“登录”,验证通过后即可登录系统。 图6 动态令牌登录 Azure AD用户登录 单击“使用Azure
、导入应用、导入应用服务器、导入账户、账户改密、AD域同步、系统维护(升级和还原)、生成视频、账户同步、账户验证、配置备份、自动运维、导入动态令牌、安装Agent。 任务状态共有3种,分别包括“进行中”、“已完成”、“已停止”。 本小节主要介绍如何在任务中心查看任务内容。 操作步骤
信、手机令牌和动态令牌方式。其中手机短信、手机令牌和动态令牌方式,需配置用户多因子认证,详情请参考用户登录配置。 手机短信:本地密码方式登录后,选择“短信验证码”,输入手机短信验证码。 手机令牌:本地密码方式登录后,选择“手机令牌OTP”,输入手机令牌验证码。 动态令牌:本地密码
需用户先绑定手机令牌,再由管理员配置多因子认证,否则用户无法登录系统,详情请参考绑定手机令牌。 动态令牌 “密码登录”或“公钥登录”验证成功后,选择“动态令牌OTP”方式,输入动态令牌验证码。 需已为用户签发动态令牌,详情请参考签发动态令牌。 登录到堡垒机系统,可查看系统简要信息,并运维已授权的资源。 除
再配置手机令牌多因子认证。 USBKey:为生效USBKey多因子认证,用户账号需再关联签发USBKey。 动态令牌:为生效动态令牌多因子认证,用户账号需再关联签发动态令牌。 IAM登录 启用后,允许直接从IAM登录到堡垒机。 有效期 设置用户账号使用有效期,包括生效时间和失效时间。
PIN码。 需已为用户签发USBKey,详情请参考签发USBKey。 动态令牌 输入堡垒机系统的用户登录名和密码,并输入动态令牌的动态口令(每隔一段时间就会变化)。 需已为用户签发动态令牌,详情请参考签发动态令牌。 单击“登录”,成功登录堡垒机系统进行管理和运维操作。 系统管理员
升级版本 新版本的云堡垒机对系统进行了功能优化或添加了新功能,请及时升级版本。 最新系统版本说明,请参见最新动态。 查看系统当前版本,请参见查看系统信息的“设备系统”。 升级前后注意事项 升级前 为防止因升级失败而影响使用,建议升级前备份数据,备份说明请参见备份CBH数据。 升级中
请等特色功能。 身份认证 采用多因子认证和远程认证技术,加强用户身份认证管理。 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户账号密码风险。 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远
配置USBKey登录 uToken是基于USBKey实现的OTP动态密码技术。配置USBKey认证后,登录系统时需接入USBKey,登录页面自动识别唯一关联USBKey,输入相应PIN码,才能通过身份认证。 若您不慎卸载USBkey驱动导致无法登录,可选择重置admin登录方式,详情请参见重置admin登录方式。
返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。 命令控制策略支持以下功能项: 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。 允许执行:触发该策略规则后,放行命令操作。默认允许执行所有操作。
微信小程序手机令牌 打开手机微信,依次按照操作指导,获取绑定动态口令,输入6位“动态密码”,验证通过绑定手机令牌。 APP版手机令牌 打开已安装好的手机令牌APP,扫描页面操作指导步骤2的二维码,获取绑定动态口令,输入6位“动态密码”,验证通过绑定手机令牌。 “手机令牌”页签更新为已绑定手机令牌页面
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
