齐治堡垒机操作手册Word文档格式.docx

齐治堡垒机操作手册Word文档格式.docx

《齐治堡垒机操作手册Word文档格式.docx》由会员分享，可在线阅读，更多相关《齐治堡垒机操作手册Word文档格式.docx（25页珍藏版）》请在冰豆网上搜索。

使用缺省管理员登录到Shterm，并翻开根本控制-用户账户菜单，如下列图：

点击“新建用户〞，进入用户设置界面：

这里不需要填写全部容，但必须设置标有红色*号项，其他可根据实际情况确定是否需要填写即可：

●登录名：

登录Shterm的用户ID，可以使用数字、字母或.-_等符号，但不能以.-_符号开头作为用户名，例如这里我们设置成admin；

密码：

选择手动输入或自动设置，默认选择手动输入，依次在设置密码和确认密码栏中输入两次密码；

●权限：

系统默认有4类管理员，分别负责不同的角色，可以将不同的角色权限分配给不同用户，也可以多个管理员权限分配给同一个用户，可根据公司实际情况分配权限，例如我们这里将所有权限分配给admin这个，将这四个管理员选项都勾选上。

1.3建立普通用户账号

因为“普通用户〞只有“配置管理员〞的账户才有权限添加，因此需要使用配置管理员重新登陆Shterm，例如刚刚建立的admin，并翻开根本控制-用户菜单，点击新建用户：

与上文中方法一样，建立一个名为user的用户账户，设置其权限为“普通用户〞，如下列图：

建立完毕后如图：

1.4快速身份切换

如果一个用户具有多个权限，那么可以在控制台中快速切换用户身份，例如从超级管理员切换成配置管理员，将鼠标移动到右上角下列图位置上，选择相应的权限用户即可完成身份的切换：

第二章添加目标设备〔配置管理员〕

2.1Windows设备〔RDP〕

2.1.1条件准备

进展本章您需要有准备一台符合以下条件的windows设备作为目标设备：

●Windows2012/2016〔需开启RDP效劳〕以及系统账号和密码

●Windows效劳器IP地址和RDP端口〔IP可达，端口可访问〕

2.1.2添加设备

利用admin账号登陆，点击根本控制-目标设备-新建，弹出新增设备配置页面

填写设备名、IP地址、选择设备类型为“MicrosoftWindows〞后点击确定，如下列图：

系统进入添加设备更多项选择项界面，如果RDP端口不是默认端口，请点击效劳列表，在RDP效劳项上点击编辑即可修改；

如果需要启用RDP的Console模式或客户端磁盘映射，请勾选上相应选项。

在效劳列表里会看到访问该目标设备所使用的协议类型和协议名称，需要新建访问协议的话可以在右上角选择相应的协议，然后选择新增按钮。

点击编辑查看已有访问协议的根本属性，如下列图：

2.1.3设置密码

点击密码管理设置该设备的系统账号密码，如下列图：

提示：

Shterm默认仅置了6个常用系统账号，如果列表中没有对应的系统账号，可以在根本控制-系统账号中添加。

找到对应的系统账号，点击新建，输入相应的密码或Domain信息，如下列图：

接下来建议测试验证一下系统密码和相关配置是否正确，请点击登录测试

如果在验证登录过程中，弹出平安警告信息，请勾选上“始终信任此发行者的容（A）〞，并选择是

当出现目标设备桌面，表示配置和密码正确，如下列图所示：

到此一台windows设备已经添加完毕。

2.2Linux设备（SSH、Xwindows）

2.2.1条件准备

●设备类型，IP地址及访问端口。

●系统账号和密码

2.2.2添加设备

以下以添加一台通过SSH协议访问的CentOS设备为例，说明具体步骤

翻开根本控制-目标设备-新建，注意选择设备类型为GeneralLinux，完成后点击确定。

特权账号保持默认的root，点击效劳列表，确保字符终端〔ssh〕和图像终端〔xdmcp〕在列表中。

如图：

2.2.3设置密码

点击密码管理，为设备设置系统账号密码，如下列图：

输入账号密码后，点击确定。

完成后请进展登录测试，测试结果如图：

2.3网络设备〔Telnet〕

2.3.1条件准备

●设备类型，IP地址，访问端口。

●telnet密码和特权模式密码〔分别对应null账号密码和enable账号密码〕

2.3.2添加设备

以下以添加一台Cisco路由器为例说明具体步骤，

翻开根本控制-目标设备-新建，如下列图：

注意选择设备类型为CiscoIOSDevice，完成后点击确定。

注意特权账号为enable和效劳列表中有telnet。

点击确定，如下列图：

2.3.3设置null账号密码

关于null账号这是Shterm置的一种系统账号，用于Cisco等无需用户名仅需输入密码即可登录的设备。

点击密码管理，选择null账号新建密码，如下列图：

完成后点击确定，并进展登录测试，测试结果如图：

2.3.4设置特权模式〔enbale〕密码

在密码管理中选择enable并点击新建，如下列图：

设置enable切换自null，并设置密码后点击确定，进展登录测试，测试结果如图：

第三章建立访问控制规那么〔配置管理员〕

用户账号，目标设备和系统账号都添加好了之后，我们需要建立一些访问规那么让用户直接通过Shterm来登陆到设备中。

3.1新建规那么

翻开权限控制-访问控制-新建，如下列图：

设置规那么名称和选择效劳类型和协议，例如这里我们选择RDP和FTP，完成后点击确定。

3.2关联用户账户

点击规那么后的用户，这里的用户指的是登录Shterm系统的用户账号〔非操作系统〕。

选择需要关联的账号后点击建立关联，至此这个用户可以访问该规那么中定义的设备或设备组，如下列图中user用户。

3.3关联设备

点击新建规那么后的设备按钮，弹出设备选择页面，如下列图：

选择设备后，点击建立关联，即可将设备参加到该规那么中。

3.4关联系统账号

点击规那么后的系统账号，添加需要登录目标设备使用的系统。

如果需要的系统没在列表中，请先在根本控制-系统中添加相关信息。

勾选需要关联的账号，点击建立关联。

关于self，该账号用于用户账户和系统账号一样时，self表示用用户账户密码登录目标设备，一般用于windows域环境。

Any表示需要在目标设备登录界面手动输入登录系统和密码，不帮助用户代填任何信息。

至此，一条完整的访问权限规那么定义完成，如下列图所示：

第四章设备访问〔普通用户〕

Shterm只能让普通用户访问设备，所以登陆刚刚新建的user账号。

4.1环境准备

●浏览器：

MicrosoftInternetExplorer8.0或以上〔也可以是以其为核其他浏览器〕、MozillaFirefox、GoogleChrome或者Netscape7.2以上版本；

●JRE：

安装Java™RuntimeEnvironment，版本不低于6u5，Windows用户可以访问Shterm的右上角?

-工具下载，下载并安装。

其他平台用户可访问.java.下载对应版本；

4.2图形设备

普通用户登录Shterm将自动翻开最近访问列表，如果是首次访问列表将为空。

4.3设备访问

翻开设备访问，点击左边管理员分配给用户具体的访问规那么，将会在右边展示出该规那么下用户能访问的具体设备，如下列图：

点击右边窗口中具体设备名，将列出该设备提供的效劳信息。

如果直接用鼠标左键点击具体效劳图标，将会以默认的参数启动相关效劳；

如果需要修改默认参数，可以使用鼠标右键点击出现的小图标，会出现高级菜单〔如下列图〕，例如下列图Windows图形界面的访问有两个选项可以选择：

console和mstsc，下面会进展详细说明。

Windows设备可设置访问使用的系统账号、屏幕分辨率和需要映射的本地磁盘。

点击启动即可，访问设备，如下列图：

关于图形设备操作更多容见下文。

勾选console访问目标设备，实际上就是调用windows本地的console，界面的效果就是看到windows的本地界面，如下列图（我在目标设备上已经翻开了一些窗口）：

勾选mstsc那么是调用本地的mstsc程序远程会话功能。

效果如下：

4.4字符终端设备访问〔Telnet、SSH〕

对于字符终端设备Shterm支持web终端方式和第三方SSH客户端两种方式访问。

4.5Web终端

默认的web终端是jterm，您也可以设置为putty〔详细设置参考超级管理员手册关于系统策略中的相关配置〕。

用普通用户登录Shterm后，选择左边规那么名后，将在右边显示具体的设备名称，如下列图：

点击要访问设备，将展开该设备能访问提供的效劳。

在相应字符效劳图标上右击鼠标右键，在弹出窗口中可选择系统账号和终端大小，如下列图：

点击启动，即可访问该设备：

可使用Ctrl-Ins进展复制、Shift-Ins进展粘贴。

4.6第三方SSH客户端

任何支持SSH2协议的客户端工具均可通过Shterm访问字符终端设备，如Putty、OpenSSH、SecureCRT等。

我们以SecureCRT为例进展介绍。

翻开SecureCRT，在这里设置连接的Shterm主机的地址和登录的用户名。

Shterm会限制访问GeneralLinux时的终端类型为Xterm，因此建议将该值设置为Xterm。

登录后将出现选择菜单，用户需要依次选择访问组、设备和系统账号，如果以上三者中的某一项仅有一个选项，系统将自动选择。

上图中为通过SecureCRT访问Linux系统组中的CentOS设备，并以root身份登录。

第五章操作审计〔审计管理员〕

本章容需要使用审计管理员账户进展。

5.1字符会话审计

依次翻开会话审计-字符会话，如下列图：

Shterm将自动翻开当天的字符会话记录，其中状态栏为活动的表示这是一个活动会话，对于活动的会话可点击中断切断该会话，点击实时可实时监控该会话。

如果需要查看其它日期会话，选择对应日期，再根据实际情况选择过滤条件，点击提交即可查看选定日期的会话记录。

5.1.1命令列表式查看

点击任何会话后的命令按钮将显示该会话执行的全部命令列表，如下列图：

其中最左边有字母P表示从该命令开场回放；

+表示该命令有输出，点击后显示输出，并变为-。

红色表示此条命令制止为命令防火墙制止的

点击右上角的全部展开可展开所以命令输出，全部收拢可收拢。

5.1.2命令回放

点击任何会话后的回放按钮可完整回放该会话，如下列图：

回放过程中，按下空格键可按每键盘输入回放、按下回车可按每命令输入回放。

5.1.3命令查询

依次翻开会话审计-选择相应会话类型-命令查询，如下列图：

根据实际需要设置过滤条件和关键词后可对操作日志进展全文检索

下列图为其中一条检索结果：

5．2图形会话审计

依次翻开会话审计-图形会话，如下列图：

5.2.1会话列表

Shterm默认显示当天的会话列表，如果需要查看其它日期的会话可通过选择其他时间段，按提交即可查询，也可以设置如用户、设备、类型等过滤条件进展查询。

5.2.2会话审计

对于活动的会话，可通过Shterm进展详细、播放、实时监控、切断等操作，如下列图所示：

点击详细，可查看会话详细记录并下载会话记录：

对于状态处于关闭的非活动会话那么只可执行详细、播放操作。

关于以上操作说明：

●播放：

在线播放操作日志

●下载：

下载操作日志文件，下载后可离线播放，离线播放需要安装GuiPlayer.exe，审计管理员可访问右上角下拉菜单中的工具下载，下载并安装。

●实时监控：

实时监控活动会话

●切断：

切断活动会话

●缩略图：

查看会话缩略图，Shterm对已关闭的会话建立缩略图，按照日志文件的大小每500KB取一缩略图。

用户查看缩略图时可点击任何缩略图从相应的时间点开场回放