检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全配置 > 用户锁定配置”,查看当前配置信息。 单击“用户锁定配置”区域的“编辑”,进入“用户锁定配置”参数配置页面。 用户根据需要配置参数,详细参数说明请参考表1。 表1 锁定配置参数说明 参数 说明 锁定方式 可选择“用户”和“来源IP”两种方式。 选择“用户”指密码错误超过输入限制次数后,用户账号将被锁定。
发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 是 通知方式 可选择通知组或者主题订阅 主题订阅 通知对象 需要发送告警通知的对象,可选择云账号联系人或主题。 云账号联系人为注册账号时的手机和邮箱。 主题是消息发布或客户端订阅通知的特定事件类型,若此处没有需要的主题则需
查看应用运维列表并设置资源标签 运维用户获取应用发布资源访问操作权限后,即可在应用运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。
根据界面提示配置系统客户端登录参数。 表2 客户端登录配置参数说明 参数 说明 登录超时 用户登录SSH客户端后,无操作退出登录的限定时间。 默认超时时间为30分钟。 取值范围为1~43200,单位为分钟。 SSH公钥登录 选择开启或关闭SSH公钥登录,默认。 ,表示用户使用客户端登录系统
远程认证管理 配置AD域远程认证 配置LDAP远程认证 配置RADIUS远程认证 配置Azure AD远程认证 配置SAML远程认证 父主题: 系统用户
配置SAML远程认证 堡垒机与SAML平台对接,认证登录系统的用户身份。 本小节主要介绍如何配置SAML认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在SAML创建用户,并获取SAML平台配置的相关信息。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 认证配置”,进入远程认证配置管理页面。
查看系统内存 堡垒机存储空间分为系统分区和数据分区。当数据分区可用内存不足时,建议您及时删除历史系统数据,或变更实例规格扩充数据盘大小。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 数据维护 > 存储配置”,进入系统存储配置管理页面。 在“存储概
可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。 在线会话回放 因登出时间和最后操作时间不同,视频文件的总时长与回放可播放时长可能不一致。
查看系统状态 为了确认堡垒机系统的健康运行,可监控系统CPU、内存、磁盘、网络使用状态,及时了解系统的运行状况。 本小节主要介绍如何查看系统CPU、CPU、内存、磁盘、网络使用状态。 前提条件 已获取“系统”模块管理权限。 查看系统使用率 登录堡垒机系统。 选择“系统 > 系统维护
任务中心 任务中心是系统执行任务接收状态提示管理中心。 任务类型:导入用户、导入主机、导入云主机、导入应用、导入应用服务器、导入账户、账户改密、AD域同步、系统维护(升级和还原)、生成视频、账户同步、账户验证、配置备份、自动运维、导入动态令牌、安装Agent。 任务状态共有3种,
可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘,可作为不同主机资源间文件的“中转站”,暂存用户上传/下载的文件,且个人网盘中文件内容对其他用户不可见。 “主机网盘”与系统用户直接匹配,删除用户后,个人网盘中文件将被清空,个人网盘空间将被释放。 约束限制
系统诊断 可通过系统诊断页面获取当前堡垒机系统相关信息,查看当前的运行情况,包括综合信息、系统负载、内核信息、内存信息、网卡信息、磁盘使用信息、路由信息、ARP信息。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统维护 > 系统诊断”,进入系统诊断页面。
选择“部门”,进入部门管理页面。 单个删除。 鼠标悬停到要删除的部门所在行,显示快捷删除,单击快捷键删除该部门。 删除部门时,其下级部门和所有部门下的用户和资源会被同时删除。 图1 单个删除部门 批量删除。 同时勾选多个部门,然后单击列表下方的“删除”,可以批量删除多个部门。 图2 批量删除部门
配置Azure AD远程认证 堡垒机与Azure AD平台对接,认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序,并获取Azure AD平台配置的相关信息。 操作步骤 登录堡垒机系统。
管理员登录堡垒机系统。 选择“用户 > 用户管理”,进入用户管理页面。 找到已绑定手机令牌的用户,单击用户登录名,进入用户详情页面。 在“用户配置”区域,单击“编辑”,弹出用户的登录配置窗口。 勾选“手机令牌”多因子认证项。 单击“确定”,完成用户配置。 用户再次登录系统时,手机令牌登录认证生效。
登录安全管理 配置用户登录安全锁 配置登录密码策略 配置Web登录超时和登录验证 更新系统Web证书 配置手机令牌类型 配置USB Key厂商 配置用户禁用策略(V3.3.30.0及以上版本) 配置RDP资源客户端代理(3.3.26.0及以上版本) 开启国密配置(V3.3.34.0及以上版本支持)
ws操作审计全程录像记录,支持生成运维视频,并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 视频仅可回放有效会话记录,即登录资源到最后一次会话操作的这一段记录。 生成视
退订 若用户不再有使用云堡垒机实例需求,可执行退订操作。 前提条件 已使用的云堡垒机,需停止系统所有操作,解绑EIP。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目,在页面左上角单击,选择区域,选择“安全与合规 > 云堡垒机”,进入云堡垒机实例管理页面。 图1 实例列表
堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。 当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。 图1
堡垒机与AD服务器对接,认证登录系统的用户身份,AD认证的模式包括认证模式和同步模式两种。 认证模式 在此模式下,堡垒机不会同步AD域服务器上的用户信息,需要管理员手工创建用户。当用户登录堡垒机时,将由AD域服务器提供认证服务。 同步模式 在此模式下,堡垒机可以同步AD域服务器的用户信息,无需管理员新
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
