检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
登录堡垒机支持账户密码、手机令牌、手机短信、USBKey、动态令牌的方式。 账户密码:申请堡垒机时生成的账户和密码,首次登录堡垒机只能使用该方式登录。 手机令牌:在堡垒机配置手机号码后,在移动端或小程序注册后使用生成的动态密码进行登录。 手机短信:在堡垒机配置手机号码后,登录时可使用随机验证码进行登录。
Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令,此外,Web Console同样支持手机短信、手机令牌、USBKey、动态令牌的方式进行登录。详细登录步骤请参见云堡垒机系统登录方式。 访问控制 CBH支持安全组、Web应用防火墙、ACL、VPC对堡垒机实例的访问进行权限控制。
跨版本升级之后证书状态异常怎么处理? 如果在升级CBH时有跨版本升级的情况,升级后需要重新上传证书,也可以按照迭代版本依次升级。 原因分析 可能存在原有证书过期之类的情况。 证书状态异常之前做过跨版本升级堡垒机的操作,升级之后证书和手动添加的路由都会受影响,需要重新同步证书。 解决办法
配置LDAP远程认证 堡垒机与LDAP服务器对接,认证登录系统的用户身份。 约束限制 不能添加两个相同的LDAP配置,即“服务器IP地址+端口+用户OU”不能相同。 仅V3.3.36.0及以上版本支持“查询”认证模式,如需使用此模式,请参照升级实例版本章节将实例版本升级至最新版本。
云堡垒机系统用户账号配置用户登录限制“多因子认证”后,用户在登录系统时开启登录验证功能,需要二次认证(二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”),有效保护用户敏感信息。 父主题: 安全
云堡垒机系统用户账号配置用户登录限制“多因子认证”后,用户在登录系统时开启登录验证功能,需要二次认证(二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”),有效保护用户敏感信息。 日志记录 云堡垒机系统用户个人数据的所有操作,包括增加、修改、查询和删除,云堡垒机系统都会记录审计日志,
运维故障 登录云堡垒机实例时,收不到短信验证码怎么办? 无法添加资源,提示“资源超出许可限制”怎么办? 主机资源账户验证不通过怎么办? 打开系统数据文件显示乱码怎么办? 运维会话经常提示登录超时,断开连接怎么办? 应用运维调用PL/SQL客户端,文本乱码了怎么办? 登录主机资源后,提示“拒绝请求的会话访问”怎么办?
系统地址需为NAT外网地址,否则会导致FTP等应用无法连接。 图2 系统地址 管理系统时间 当系统时间不正确时,将影响策略和工单的生效,也会导致“手机令牌”、“动态令牌”的绑定验证不通过。 登录堡垒机系统。 选择“系统 > 系统维护 > 系统管理”,进入系统管理页面。 图3 系统管理 展开“系统时间”区域,可管理系统时间。
表1 支持导出或下载的数据 数据信息 导出 下载 格式 说明 用户 支持 - CSV 不支持导出“用户密码”、“手机号码”和“邮箱”信息。 动态令牌 支持 - CSV - 主机 支持 - CSV - 应用发布服务器 支持 - CSV - 应用发布 支持 - CSV - 资源账户 支持
运维用户可对数据库资源执行增删改查运维命令,并可在实时会话查看正在执行的操作命令,在历史会话查看历史操作命令记录。 运维用户在操作关键命令时,触发“动态授权”操作命令,系统自动拦截操作命令,生成数据库授权工单。运维用户需提交工单申请,待管理员审批工单后,才能继续操作。 主机运维方式不支持生成和下载数据库运维历史会话视频。
等信息。 命令拦截 呈现用户或资源所属会话触发的拦截的命令数量,默认按小时呈现当天运维数据变化趋势。 拦截命令类型包括断开连接、拒绝执行、动态授权。 在“详细数据”区域,可查看操作执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令、执行动作等信息。 字符命令数 呈现用户
新建登录用户并绑定角色 堡垒机系统的一个用户代表一个可登录自然人,支持新建本地用户,批量导入用户,以及同步AD域用户。 系统管理员admin是系统最高权限用户,也是系统第一个可登录用户。 约束限制 为用户配置“所属部门”为上级部门时,当前用户的角色需拥有管理权限,否则会配置失败。
系统认证方式 云堡垒机采用多因子认证和远程认证技术,加强系统用户身份认证管理。 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户帐号密码风险。 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远
且其中一种鉴别技术至少应使用密码技术来实现; 云堡垒机采用多因子认证的登录方式,具体登录认证的方法有:手机短信、手机令牌、USBkey和动态令牌登录四种方式。具体操作详见:云堡垒机配置多因子认证。 图7 配置多因子认证 等保条例:应具有登录失败处理功能,应配置并启用结束会话、限
安装远程桌面服务和RD授权 远程桌面服务安装和配置 选择“服务器管理器 > 角色 > 添加角色”。 勾选“远程桌面服务”,单击“下一步”。 单击“下一步”。 单击“下一步”。 选择“始终安装远程桌面会话主机”,单击“下一步”。 选择“角色服务”,勾选“远程桌面会话主机”和“远程桌面授权”,单击“下一步”。
主机运维调用DBeaver连接Postgres数据库失败 问题现象 主机运维调用DBeaver连接postgres数据库失败。 可能原因 网络不通 解决办法 确认网络是否通信正常。 PC端到堡垒机:15432 堡垒机到数据库:PGSQL数据库的端口 如果通信正常,确认PGSQL启
配置AD域远程认证 堡垒机与AD服务器对接,认证登录系统的用户身份,AD认证的模式包括认证模式和同步模式两种。 认证模式 在此模式下,堡垒机不会同步AD域服务器上的用户信息,需要管理员手工创建用户。当用户登录堡垒机时,将由AD域服务器提供认证服务。 同步模式 在此模式下,堡垒机可
修改组策略 本地组策略编辑器 选择“开始 > 运行”,输入gpedit.msc打开组策略。 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”,双击右侧的“使用指定的远程桌面许可证服务器”。 隐藏有关影响RD会话主机服务器的RD授权问题的通知
修改组策略 本地组策略编辑器 打开运行窗口,输入gpedit.msc,打开本地组策略编辑器。 图1 打开组策略 使用指定的远程桌面许可证服务器 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”,双击“使用指定的远程桌面许可证服务器”,打开设置窗口。
修改组策略 前提条件 已获取服务器管理员账号与密码。 打开本地组策略编辑器 打开CMD运行窗口,输入gpedit.msc,打开本地组策略编辑器。 图1 打开组策略 选择指定的远程桌面许可证服务器 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
