堡垒主机用户操作手册--运维管理概要.doc

堡垒主机用户操作手册 运维管理 版本2.3.2 2011-06 目 录 1. 前言 1 1.1. 系统简介 1 1.2. 文档目的 1 1.3. 读者对象 2 2. 登录系统 3 2.1. 静态口令认证登录 3 2.2. 字证书认证登录 3 2.3. 动态口令认证登录 4 2.4. LDAP域认证登录 5 2.5. 单点登录工具 5 3. 单点登录（SS0） 7 3.1. 安装控件 7 3.2. 单点登录工具支持列表 10 3.3. 单点登录授权资源查询 10 3.4. 单点登录操作 11 3.4.1. Windows资源类（域内主机\域控制器\windows2003\2008） 11 3.4.2. Unix\Linux资源类 14 3.4.3. 数据库（独立）资源类 17 3.4.4. ORACLE_PLSQL单点登录 18 3.4.5. ORACLE_SQLDeveleper单点登录 20 3.4.6. MSSQLServer2000查询分析器单点登录 21 3.4.7. MSSQLServer2000 企业管理器单点登录 23 3.4.8. SQL Server 2005 Management Studio单点登录 24 3.4.9. SQL Server 2008 Management Studio单点登录 25 3.4.10. Sybase Dbisqlg单点登录 26 3.4.11. SQL-Front单点登录 27 3.4.12. 数据库（系统）资源类单点登录（DB2/informix） 28 3.4.13. 网络设备（RADIUS\local\其他）资源类 32 3.4.14. Web应用资源类 34 前言 简介 堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。它面向的对象是，企业的运维人员。该模块是堡垒主机系统为运维人员提供的登录入口。因此堡垒主机系统加强了登录的认证手段，提高安全性的同时不失用户的方便性。 运维人员登录堡垒主机系统认证成功后，将不会继续认证。从堡垒主机单点登录平台可以登录任意经过授权的资源。堡垒主机系统为每次访问资源都建立了唯一的授权一次性会话号，用以确保登录会话的安全性。 文档目的 堡垒主机系统运维管理手册是指导运维人员如何登录堡垒主机系统认证和访问资源。在该模块中经常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。 读者对象 本文档适用于企业运维人员使用。 登录系统 系统登录主要的工作就是系统认证。堡垒主机系统登录界面随系统配置的认证方式不同而有所差异。 堡垒主机支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。 无论堡垒主机配置哪种认证方式，登录系统都需要在浏览器中输入服务地址。例如:95。在该例中，95为堡垒主机系统IP地址（堡垒主机系统出厂设置的管理IP为2）。当在浏览器中输入示例内容后，点击回车（堡垒主机配置双向认证时，如果需要域名方式访问的情况除外）系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。 静态口令认证登录 静态口令登录认证是最基本得认证方式，登录界面入图2.1.1所示。 图2.1.1 用户需要输入用户名及口令后，点击登录按钮后登录系统。 字证书认证登录 堡垒主机系统证书认证登录，支持的形式包括软证书认证，Usbkey证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey证书只是将证书导入Usb硬件Key中，安全性相应增加。但无论证书以哪种方式存在，堡垒主机系统都会统一对待。 如图2.2.1所示，当自然人在浏览器地址栏中输入堡垒主机系统地址后，点击回车，弹出选择证书提示框。 图2.2.1 此时用户需要选择所要使用的数字证书，点击确定按钮。此例子选择名称为simper的证书，点击确定按钮，进入图2.2.2界面。 图2.2.2 由于在上一操作步骤中选择的是名称为simper证书，所以堡垒主机系统此时自动将用户名锁定，禁止自然人修改登录用户名。防止身份篡改。此时，用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。 动态口令认证登录 动态口令认证是指可以通过OTP令牌方式通过堡垒认证登录。认证界面如图2.3.1所示。 图2.3.1 堡垒主机系统的动态口令登录认证，采用的是双因子认证方式。也就是说，用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入堡垒主机系统。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。 LDAP域认证登录 堡垒主机系统域认证是另外一种第三方认证方式。堡垒主机系统将自身的部分系统认证交由第三方安全平台认证。堡垒主机系统中将L