国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 典型配置举例(E6101 E6102 E6103 E6104)-5W104

14-应用发布配置举例

本章节下载  (5.67 MB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Typical_Configuration_Example/H3C_A2000-G[AK][V]_CE(E6101)-5W104/201905/1189387_30005_0.htm

14-应用发布配置举例

应用发布配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 应用中心介绍

应用中心由windows server 2008服务器平台搭建的。

应用中心用于安装应用程序,并能通过RemoteApp服务发布应用程序。

1.1  支持Windows server 2008的版本

Windows Server 2008 Standard

Windows Server 2008 Enterprise

Windows Server 2008 Datacenter

1.2  RemoteApp应用发布介绍

RemoteApp是微软在Windows Server 2008之后,在其系统中集成的一项服务功能,使用户可以通过远程桌面访问远端的桌面与程序,客户端本机无须安装应用程序的情况下也能正常使用远端发布的各种的桌面与应用。

1.3  RemoteApp对终端的要求

由于是采用RDP协议访问应用中心提供的应用程序,所以对终端平台有以下要求:

(1)       终端操作系统必须为windows操作系统。

(2)       windows的RDP版本至少6.1版本。

(3)       如果终端操作系统为windows XP,请检查RDP版本,如果版本过低请升级RDP版本。

1.4  应用中心授权许可介绍

应用中心授权许可证是用于对windows server 2008的远程桌面服务(RDS)进行授权许可,只有正确RDS授权许可成功之后,运维审计系统访问应用中心的远程桌面服务才没有时间限制;未进行RDS授权许可的应用中心只有120天的使用有效期。

2 配置前提

2.1  安装前准备

2.1.1  硬件配置

堡垒机对于应用发布服务器的硬件配置需求取决于访问应用发布会话的并发数,以及各应用程序所需要消耗系统资源的多少,推荐的配置如下表所示:

表2-1 推荐的硬件配置

硬件

需求

处理器

最低:双核CPU

内存

最低:8GB RAM

可用磁盘空间

最低:100GB

 

2.1.2  操作系统

1. 版本

Microsoft Windows Server 2008 R2

2. 补丁

由于Windows Server 2008 R2的bug,使用RemoteApp过程中可能会出现“由于协议错误,会话将被中断。请重新连接到远程计算机”,因此请务必保证应用发布服务器为Windows Server 2008 R2,并安装sp1补丁,然后安装Windows6.1-KB2696020-x64.msu、Windows6.1-KB2699817-x64.msu、Windows6.1-KB2798286-x64.msu三个补丁。

SP1补丁请从这里下载:http://support.microsoft.com/kb/976932。

2.1.3  网络

堡垒机到应用发布服务器之间网络不要做限制,并且保证应用发布服务器上所安装的客户端能正常访问服务端。

2.1.4  RDS授权码

想要长期使用应用中心,须配备一套RDS授权码。如下图:

图2-1 RDS授权码示意图

 

注意

示意图中的“父级计划”号码和“开放式许可证详细信息”号码是一组无效的示例号码;请勿使用!否则应用中心授权失败。

RDS授权码可以向运维审计系统供应商采购,也可以直接向微软销售渠道采购。

默认windows的RDS安装好之后,有120天的有效试用期,足以满足测试试用。

 

3 应用发布服务器配置准备

本章节以Windows Server 2008 R2 Enterprise的配置为例。

3.1  安装远程桌面服务(必配步骤)

(1)       在windows server 2008系统中,进入[服务器管理器/角色]窗口。

图3-1 服务器管理器示意图

 

(2)       单击<添加角色>,进入添加角色向导窗口。

图3-2 添加角色向导示意图

 

(3)       单击<下一步>进入选择服务器角色窗口,勾选“远程桌面服务”。

图3-3 选择服务器角色示意图

 

(4)       单击<下一步>进入远程桌面服务窗口。

图3-4 远程桌面服务简介示意图

 

(5)       单击<下一步>进入选择角色服务窗口,勾选“远程桌面会话主机”和“远程桌面授权”服务。

图3-5 选择角色服务示意图

 

(6)       单击<下一步>进入应用程序兼容性窗口。

图3-6 应用程序兼容性提示示意图

 

(7)       单击<下一步>进入身份验证方法窗口,选择“不需要使用网络级别身份验证”。

图3-7 选择身份验证方法示意图

 

(8)       单击<下一步>进入授权模式窗口,选择“以后配置”。

图3-8 选择授权模式示意图

 

(9)       单击<下一步>进入用户组窗口,可在“用户或用户组”框添加允许远程访问的用户或用户组。

图3-9 添加用户组示意图

 

(10)    单击<下一步>进入客户端体验窗口,不选择任何功能项。

图3-10 选择客户端体验示意图

 

(11)    单击<下一步>进入RD授权配置窗口,不选择任何功能项。

图3-11 RD授权配置界面示意图

 

(12)    单击<下一步>进入确认窗口

图3-12 确认安装选择示意图

 

(13)    单击<安装>进入安装进度窗口。

图3-13 安装进度示意图

 

(14)    等待安装进度完成后,自动进入安装结果窗口,并提示需要重启服务器才能完成安装过程。

图3-14 安装结果示意图

 

(15)    单击<关闭>后自动提示“是否希望立即重新启动”。

图3-15 是否需要重启提示示意图

 

(16)    单击<是>后,系统自动重新启动。

(17)    登录系统后,系统自动继续执行配置进度。

图3-16 安装进度示意图

 

(18)    自动完成安装结果,单击<关闭>即可。

图3-17 安装成功提示示意图

 

3.2  应用中心激活授权(如果是测试客户,可忽略此操作)

3.2.1  激活应用中心

(1)       进入[控制面板/系统和安全/管理工具/远程桌面服务]界面中。

图3-18 远程桌面服务管理界面示意图

 

(2)       双击<远程桌面授权管理器>进入RD授权管理器界面,右击计算机名称。

图3-19 RD授权管理器示意图

 

(3)       单击<激活服务器>进入服务器激活向导界面。

图3-20 服务器激活向导示意图

 

(4)       单击<下一步>进入连接方法界面,本手册以“Web浏览器”的连接方法为例。

图3-21 选择连接方法示意图

 

表3-1 连接方法说明

连接方法

描述

自动连接(推荐)

使用此方法的前提是要确保应用中心能连通互联网,否则无法进行授权许可。

Web浏览器

此方法适用于应用中心无法连通互联网,但需要进行授权许可。

找一台能连通互联网的windows电脑,在浏览器中输入https://activate.microsoft.com ,进入远程桌面服务器授权页面进行授权许可。

电话

此方法适用于通过微软的服务热线进行电话授权许可,此方法比较繁琐,需要提供各种详细信息。

 

(5)       单击<下一步>进入许可证服务器激活界面。

图3-22 许可证服务器激活示意图

 

表3-2 服务器激活条件说明

激活条件

描述

远程桌面授权网站

·         https://activate.microsoft.com

产品ID

·         操作系统的产品ID,服务器激活向导界面会自动识别本操作系统的产品ID。

许可证服务器ID

·         许可证服务器ID是由产品ID生成的,有了许可证服务器ID才能许可证服务器激活成功。

 

(6)       使用一台可以连通互联网的电脑,在浏览器中输入https://activate.microsoft.com进入RDS授权页面,选择“启用许可证服务器”。

图3-23 RDS授权页面示意图

 

(7)       单击<下一步>进入RDS信息填写页面,输入应用中心的产品ID、公司名称、国家(地区)。

图3-24 RDS授权页面示意图

 

表3-3 RDS授权信息说明

填写项

描述

产品ID

将服务器激活向导界面的产品ID填写进去

如需查看产品ID,请右击应用中心里的“计算机”,单击<属性>进入系统属性界面查看

公司

填写使用用户单位的名称

国家(地区)

选择应用中心所在国家或地区

 

(8)       单击<下一步>进入RDS授权信息确认页面。

图3-25 RDS授权页面示意图

 

(9)       单击<下一步>RDS授权一个许可证服务器ID,将其复制并保存好。

图3-26 RDS授权页面示意图

 

(10)    返回到应用中心里的[服务器激活向导]界面,输入RDS授权页面生成的许可证服务器ID。

图3-27 许可证服务器激活示意图

 

(11)    单击<下一步>进入正在完成服务器激活向导界面。

图3-28 完成服务器激活向导示意图

 

(12)    如果单击<下一步>则直接进入许可证安装向导界面,如图3-30

如果单击<取消>则直接退出服务器激活向导界面。

3.2.2  安装应用中心授权许可证

(1)       在[RD授权管理器]中右击计算机名称。

图3-29 RD授权管理器示意图

 

(2)       单击<安装许可证>进入许可证安装向导界面。

图3-30 许可证安装向导示意图

 

(3)       单击<下一步>进入获取客户端许可证密钥包界面。

图3-31 获取客户端许可证密钥包界面示意图

 

表3-4 获取客户端许可证密钥包条件说明

获取条件

描述

远程桌面授权网站

https://activate.microsoft.com

许可证服务器ID

许可证安装向导界面会自动识别本操作系统的许可证服务器ID。

许可证密钥包ID

许可证密钥包ID是由许可证服务器ID、父级计划和开放式许可证详细信息的号码共同生成的。

(6)中会用到应用中心授权许可证中的父级计划和开放式许可证详细信息的号码。

 

(4)       使用一台可以连通互联网的电脑,在浏览器中输入https://activate.microsoft.com进入RDS授权页面,选择“安装客户端访问许可证”。

图3-32 RDS授权页面示意图

 

(5)       单击<下一步>进入RDS授权信息填写页面,输入正确的许可证服务器ID,在许可证程序里选择“开放式许可证”,填写公司名称,选择正确的国家(地区)。

图3-33 RDS授权页面示意图

 

表3-5 RDS授权信息说明

填写项

描述

许可证服务器ID

将获取客户端许可证密钥包界面的许可证服务器ID填写进去。

许可证程序

选择“开放式许可证”。

公司

填写使用用户单位的名称。

国家(地区)

选择应用中心所在国家或地区。

 

(6)       单击<下一步>进入RDS授权许可证信息填写页面,选择“windows server 2008 R2每设备CAL或windwos server 2008 TS每设备CAL”,填写正确的RDS授权数量、授权号码、许可证号码。

图3-34 RDS授权页面示意图

 

表3-6 RDS授权信息说明

填写项

描述

许可证服务器ID

将获取客户端许可证密钥包界面的许可证服务器ID,此处不需要填写。

产品类型

请选择“windows server 2008 R2每设备CAL或windwos server 2008 TS每设备CAL”的RD授权模式。

数量

填写RDS对应的数量,填写1

许可证程序

开放式许可证

授权号码

根据应用中心授权许可证中提供的“父级计划”号码填写。

许可证号码

根据应用中心授权许可证中提供的“开放式许可证详细信息”号码填写。

 

(7)       单击<下一步>进入RDS授权信息确认页面。

图3-35 RDS授权页面示意图

说明:

若出现激活无效问题,可人工进行激活:

打4008203800(手机)或者8008203800(座机),进去之后依次选择5、1、5,会转人工激活。

(8)       单击<下一步>RDS授权一个许可证密钥包ID号,将其复制并保存好。

图3-36 RDS授权页面示意图

 

(9)       返回至获取客户端许可证密钥包界面,输入RDS授权页面生成的许可证密钥包ID。

图3-37 服务器激活向导示意图

 

(10)    单击<下一步>进入正常完成许可证安装向导界面。

图3-38 完成许可证安装向导示意图

 

(11)    单击<完成>后即可在RD授权管理器界面中看到已成功授权,并且已经变成绿色的勾勾。

图3-39 RD授权管理器示意图

 

3.3  调整应用中心的策略(必配步骤)

3.3.1  调整本地组策略

(1)       在运行窗口中输入“gpedit.msc”。

图3-40 运行窗口示意图

 

(2)       单击<确定>进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/连接]界面。

图3-41 本地组策略示意图

 

(3)       双击<将远程桌面服务用户限制到单独的远程桌面服务会话>,在配置界面中选择“已禁用”。

图3-42 策略配置示意图

 

单击<确定>即可。

(4)       双击<限制连接的数量>,在配置界面中选择“已启用”,并设置允许的RD最大连接数为“999999”。

图3-43 策略配置示意图

 

单击<确定>即可。

(5)       双击<允许用户使用远程桌面服务进行远程连接>,在配置界面中选择“已启用”。

图3-44 策略配置示意图

 

单击<确定>即可。

(6)       进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/会话时间限制]界面。

图3-45 本地组策略示意图

 

(7)       双击<设置已中断会话的时间限制>,在配置界面中选择“已启用”,并设置结束已断开连接的会话为“1分钟”。

图3-46 策略配置示意图

 

单击<确定>即可。

3.3.2  设置RD授权模式

(1)       进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。

图3-47 远程桌面服务项示意图

 

(2)       双击<远程桌面会话主机配置>进入配置界面。

图3-48 授权诊断示意图

 

(3)       双击<远程桌面授权服务器>进入配置属性界面,选择“每设备”模式。

图3-49 授权属性示意图

 

(4)       单击<添加>进入添加许可证服务器界面,将本地服务器添加到指定的许可证服务器中。

图3-50 添加许可证服务器示意图

 

(5)       单击<确定>即可返回配置属性界面。

图3-51 授权属性示意图

 

(6)       单击<确定>后提示已更改系统注册表的配置。

图3-52 远程桌面会话主机配置提示示意图

 

(7)       单击<确定>接口生效,并可以查到配置界面已指定。

图3-53 授权诊断示意图

 

(8)       若已安装授权,单击<授权诊断>可以看到“授权诊断信息-警告”中为空,表示授权设置正常。

图3-54 授权诊断示意图

 

3.3.3  允许用户在初始连接时启动列出和未列出的程序

(1)       进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。

图3-55 远程桌面服务项示意图

 

(2)       双击<RemoteApp管理器>进入配置界面。

图3-56 RemoteApp管理器示意图

 

(3)       单击<RD会话主机服务器配置更改>进入设置界面,选择“允许用户在初始连接时启动列出和未列出的程序”。

图3-57 RemoteApp部署设置示意图

 

单击<确定>即可。

3.3.4  关闭windows防火墙

进入[控制面板/系统和安全/windows防火墙/自定义设置]界面,关闭windows防火墙。

图3-58 Windows防火墙设置示意图

 

单击<确定>即可。

3.3.5  关闭IE增强的安全配置

(1)       进入[服务器管理器]界面。

图3-59 服务器管理器示意图

 

(2)       单击<配置IE SEC>进入IE增强的安全配置界面,将管理员和用户禁用。

图3-60 IE增强的安全配置示意图

 

3.3.6  开启远程桌面

(1)       右击计算机,单击<属性>进入系统属性界面。

图3-61 系统属性示意图

 

(2)       单击<远程设置>进入远程桌面配置窗口,选择“允许运行任意版本远程桌面的计算机连接(较不安全)”。

图3-62 远程桌面设置示意图

 

单击<确定>即可。

3.3.7  关闭屏幕保护

(1)       进入“控制面板”中,找到“个性化”。

图3-63 控制面板示意图

 

(2)       双击<个性化>后,进入管理界面,找到“屏幕保护程序”。

图3-64 个性化设置示意图

 

(3)       双击<屏幕保护程序>后,弹出设置窗口,在“屏幕保护程序”下拉框中选择“(无)”。

图3-65 屏幕保护程序设置示意图

 

单击<确定>即可。

(4)       最后,重启应用中心。

3.3.8  启用屏幕保护程序超时

(1)       在运行窗口中输入“gpedit.msc”。

(2)       在本地组策略中,进入[用户配置/管理模板/控制面板/个性化]菜单管理页面。

注意

如果没有[个性化]菜单项,那就找[显示]菜单项。

 

(3)       找到“屏幕保护程序超时”配置项,编辑为“已启用”,并且将“启用屏幕保护程序之前等待的秒数”设置为“0”秒。

图3-66 屏幕保护程序超时设置示意图

 

3.4  在应用中心中安装相关的工具

3.4.1  安装客户端工具

在应用中心中安装需要使用的客户端工具。如:plsql、sqlplus、SQL server management studio、MySQLQueryBrowser、VMware vSphere Client等。

安装好之后,确保能找到可执行程序的绝对路径,在发布应用的时候,需要填写这些客户端工具的路径。

3.4.2  安装winlogon

在应用发布服务器使用管理员登录堡垒机,在 “工具下载”栏下载winlogon安装程序,双击winlogon安装程序,选择安装路径(默认即可),点击“安装”,如下图:

图3-67 安装winlogon向导示意图

 

一直选择默认安装,在“Winsync允许IP”和“服务器IP”栏中填入堡垒机的ip地址,如下图:

图3-68 Winlogon配置示意图

 

点击“确定”完成winlogon安装。

注意

如果有多台堡垒机请用分号间隔各IP。 如果需发布IE,请勾选“注册IE插件”。勾选之后应用发布服务器上的IE浏览器不允许在本地直接使用,必须通过堡垒机的应用发布调用。

 

4 运维审计系统与应用中心结合使用

用于统一对应用程序进行管理和审计。

4.1  组网需求

图4-1 应用发布配置组网示意图

 

4.2  系统版本要求

适用产品版本: ESS 6101及以上版本

4.3  运维审计系统添加应用发布服务器

利用配置管理员登录堡垒机,在“基本控制”>“目标设备”界面中先将应用发布服务器做为普通的Windows设备添加到堡垒机,然后编辑应用发布服务器,在服务列表中编辑“RDP”服务,如下图:

图4-2 编辑应用发布服务器RDP服务示意图

 

将“应用发布服务器”勾选上,点击“测试连接”之后,堡垒机会自动获取应用发布服务器上的Winlogon信息(版本、路径),如下图:

图4-3 应用发布服务器winlogon测试连接示意图

 

同步:若勾选此选项,堡垒机会在应用发布服务器上创建和普通用户同名的系统账号。当普通用户访问应用程序时,登录该应用发布服务器都使用各自的同名系统账号,密码由堡垒机随机产生并完成登录。

注意

在同步模式下访问某些应用(例如JAVA),应用会将用户的配置保存在家目录下。如果需要该应用的配置对所有用户都生效,需要将修改好的配置复制到C:\Users\DefaultUser目录下,所有新建用户会从该目录下读取配置文件。

 

图4-4 勾选同步用户示意图

 

若未同步成功,管理员可以在应用发布服务器的基本信息配置页面手动点击同步,如下图:

图4-5 手动同步用户密码示意图

 

注意

堡垒机需要访问应用发布服务器TCP/5156端口,如果此处获取不到winlogon版本和路径信息,请检查Winlogon配置页面堡垒机地址是否填写正确,以及应用发布服务器防火墙是否允许该服务端口。

 

4.4  C/S应用发布

4.4.1  发布应用

新建目标设备之后添加rdpapp服务,配置方法如下图所示:

图4-6 C/S应用发布rdpapp服务示意图

 

·            名称:该应用程序的名称。

·            app类型:这里选择general。

·            Winlogon:“应用程序”一栏填入应用程序的绝对路径。

·            RemoteApp程序:填入slrdp。

·            其余选项类似rdp服务的配置,这里不再重复介绍。

注意

少数应用程序除了需要填写绝对路径还需要填写工作目录和参数,请参考应用程序的快捷方式的属性进行设置。

 

4.4.2  密码代填

对于一些需要登录认证的应用程序,堡垒机提供了一套自动登录的机制来完成用户认证信息的填写。用户在设备列表中选择应用程序和相应的系统账号之后,堡垒机会在应用发布过程中自动填写登录页面的用户名和密码等相关信息。

1. 兼容列表

应用程序账号密码代填兼容版本信息如下表所示:

表4-1 B/S应用程序账号密码代填兼容列表

类别

软件

已适配的版本

Oracle客户端

SQL PlusW

Oracle Client 9i

Oracle Client 10g

Pl/SQL Developer

7.1

9

10

11

Toad for Oracle

9.7

10.5

SQL Server客户端

SQL Server  查询分析器

2000

SQL Server Management Studio

2005简易版中文

2008简易版中文

2005中文

2008中文

2012中文

DB2客户端

Quest Central for DB2

V5.0英文 (不支持自动点击登录按钮)

VMware客户端

VMware vSphere Client

5.5 中文

VMware vSphere Client

6.0 中文

其它

Radmin

3.4 中文版

PowerBuilder

9.0 企业版

 

注意

内置cs代填脚本是根据可执行文件名进行代填脚本的匹配,同一个应用存在多个版本时,默认启用了最高版本的代填脚本,如果要使用低版本的应用,管理员可以在“策略配置”>“密码代填”栏进行修改。

 

2. 一般应用密码代填举例

新建目标设备之后添加rdpapp服务,配置方法如下图:

图4-7 一般应用密码代填radapp服务示意图

 

其中“名称”填入需要访问的ip地址,“Winlogon应用程序”中填写vsphere的绝对路径,“RemoteApp程序”中填写slrdp。

接着在“密码管理”页面中配置好vsphere登录的账号及密码,配置好访问权限后使用普通用户即可登录,如下图:

图4-8 一般应用密码代填登录界面示意图

 

可以看到,ip地址、用户名以及密码已经被自动填入并且已经自动开始登录,如下图:

图4-9 一般应用密码代填结果示意图

 

3. Oracle应用密码代填

新建目标设备之后添加rdpapp服务,配置方法如下图:

图4-10 Oracle应用radapp服务示意图

 

其中“名称”填入需要访问的数据库名称,“Winlogon应用程序”中填写plsqldev.exe程序的绝对路径,“RemoteApp程序”中填写slrdp。

接着在“密码管理”页面中配置好登录oracle数据库的账号及密码,配置好访问权限使用后普通用户即可登录,如下图:

图4-11 Oracle应用密码代填登录示意图

 

成功进入界面即为代填成功,如下图:

图4-12 Oracle应用密码代填结果示意图

 

·            Oracle系统账号说明

Oracle类型的应用发布系统账号比较特殊,堡垒机在原有系统帐号的基础上做了扩展,扩展方式为“原账号_as_登录角色代码”,(其中as_0代表角色为“normal”的oracle帐号,as_1代表角色为“sysoper”,as_2代表角色为“sysdba”)例如:

oracle的管理员账号为“sys”,该帐号在用plsql登录的时候要选择角色为“sysdba”,所以我们要新建一个名为“sys_as_2”的系统帐号。

图4-13 Oracle系统账号说明示意图

 

4.5  B/S应用发布

4.5.1  IE浏览器

1. Winlogon配置

通过IE浏览器来访问的系统,我们需要通过http类型的应用发布来进行访问。需要开启Winlogon的“注册IE插件”功能,如下图所示:

图4-14 注册IE插件示意图

 

2. 发布应用

新建目标设备之后添加rdpapp服务,配置方法如下图:

图4-15 B/S应用发布rdpapp服务示意图

 

·            名称:该应用程序的名称。

·            App类型:本节介绍http方式,这里选择http。

·            Winlogon:“app类型”选择http之后“应用程序”一栏会自动填上IE浏览器的路径。

·            RemoteApp程序:填入slrdp。

·            入口URL:填入要访问的URL链接

·            允许域名:填上允许访问的ip地址或者域名(格式参考下面的说明文字)。

·            其余选项类似rdp服务的配置,这里不再重复介绍

配置好访问权限之后便可直接访问,访问过程中IE浏览器会自动跳转至配置好的URL。

3. 密码代填

·            全自动脚本

全自动脚本是HTTP类型密码代填中最简单配置的方式,编辑相关服务,如下图:

图4-16 http类型配置全自动脚本登录示意图

 

选择登录脚本为“全自动脚本”。

填写网页匹配的Url pattern,可以点击“默认填写”生成左边的默认Url pattern,Url pattern是指HTTP类型密码代填中的匹配。

注意

·         当Url pattern匹配网页的URL时,堡垒机就会提交用户名、密码进行代填操作,所以需要确定。如某产品的登录url为https://186.25.0.2/web/frame/login.html,则其URL pattern不能使用默认的,需要将其修改为http[s]?://{domain}/web/frame/login.html$。

·         Url pattern不能匹配成用户登录成功后的网页URL,否则堡垒机就会一直尝试代填。

·         Url pattern采用的是正则表达式的结构。

 

进入“密码管理”菜单,托管账号密码,并分配相应的权限,直接使用普通用户进行登录测试,如下图:

图4-17 http类型配置全自动脚本登录页面示意图

 

登录网页进行了账号密码代填并成功进入网页,即为成功,如下图:

图4-18 http类型配置全自动脚本登录成功示意图

 

注意

因为登录测试不允许进行操作,如果遇见“证书错误”等需要先进行交互式操作才能出现登录页面的,请先建立访问权限,然后用普通用户测试。

 

·            半自动脚本

使用半自动脚本方式,需要获取登录界面html的标签属性,配置比全自动复杂。

首先使用浏览器,访问目标设备页面,如下图:

图4-19 http类型半自动脚本登录页面示意图

 

接着点击键盘“F12”,打开浏览器开发人员调试工具,如下图:

(1)       点击“选择元素”按钮。

(2)       将鼠标移动到用户名输入框后单机。确认该元素被锁定。

(3)       查看该html元素的属性。其中需要获取“name”字段属性或者“id”字段属性。

图4-20 http类型半自动脚本页面元素示意图

 

以同样的方式获取密码框和登录按钮的“name”或者“id”属性,编辑相关服务,如下图:

图4-21 半自动脚本服务配置示意图

 

·            选择登录脚本为“半自动脚本”。

·            填写网页匹配的Url pattern,可以点击“默认填写”生成左边的默认Url pattern。

·            编辑“用户名框标识”,“密码框标识”,“提交按钮标识”为上一步获取到的内容。

接着进入“密码管理”,托管账号密码,并分配相应的权限,直接使用普通用户进行登录测试。

图4-22 半自动脚本登录测试页面示意图

 

登录网页进行了账号密码代填并成功进入网页,即为成功。

图4-23 半自动脚本登录测试成功示意图

 

注意

B/S应用的密码代填仅支持form表单有明确的id或者name,无验证码,登录按钮没有绑定特殊JavaScript事件的情况。

 

·            URL限制

IE浏览器可以做URL限制,在允许域名栏填入允许访问的IP或域名白名单,如下图:

图4-24 IE浏览器URL限制示意图

 

4.5.2  Chrome浏览器

1. 准备条件

Chrome浏览器用于支持vSphere_Web_Client密码代填,在应用发布服务器上需配置以下内容:

(1)       安装jave8:需要确保系统环境变量中包含Java的路径需要确保系统环境变量中包含Java的路径

(2)       安装Chrome浏览器:Chrome v59 至 v61之间的版本

(3)       安装.net3.5

2. 发布

新建目标设备之后添加rdpapp服务,配置方法如下图:

图4-25 Chrome类型radapp服务示意图

 

·            名称:该应用程序的名称

·            App类型:本节介绍Chrome方式,这里选择Chrome。

·            RDP服务:配置应用发布服务器及登录该应用发布服务器的系统账号,若之前配置应用发布服务器勾选了“同步”则这里只需要选择应用发布服务器。

·            Winlogon:“应用程序”一栏填入Chrome浏览器的绝对路径。

·            RemoteApp程序:不填

·            入口URL:填入要访问的URL。

·            登录模式:不代填、自动和高级三种模式

配置好访问权限之后便可直接访问,访问过程中Chrome浏览器会自动跳转至配置好的URL。

3. 密码代填

·            chrome类型自动代填

自动寻找需要代填的用户名,密码框和提交按钮,该模式只能处理简单场景,可适用于vSphere_Web_Client密码代填

编辑目标设备rdpapp服务,配置方法如下图:

图4-26 Chrome类型密码自动代填radapp服务示意图

 

其中登录模式选择“自动”,其它参考chrome类型的发布。

·            高级代填

如果自动代填没有代填成功,可以使用高级代填配配置,编辑目标设备rdpapp服务,配置方法如下图:

图4-27 Chrome类型密码高级代填radapp服务示意图

 

登录模式:选择“高级”,填入用户名框、密码框、提交按钮标识(都为css选择器),右击页面“用户框 > copy > copy selector”,具体操作如下图所示:

图4-28 Chrome类型密码代填高级模式示意图

 

注意

·         使用Chrome浏览器进行密码代填时,有些设备,如H3C的V7防火墙和ACG1000设备的登陆界面,无法进行账号密码的自动代填,请适应IE进行代填。

·         Chrome浏览器默认安装路径位于administrator的目录下,需要手工复制整个目录到program files目录下,发布应用时应该使用program files目录下的chrome。

·         Chrome代填填写应用程序路径时,一般需要把程序路径的双引号去掉。

 

4.6  配置访问权限

使用配置管理员登录到堡垒机,进入“权限配置”,“权限配置”进行应用访问权限的配置,其中对应的服务协议需选择rdpapp,如下图所示

图4-29 应用发布访问权限配置示意图

 

如果某设备发布了多个应用程序,限制只能使用某个设备中特定应用,可以在访问权限对应的“服务名称”栏进行配置。如下图所示

图4-30 限制只能使用某个设备中特定应用示意图

 

4.7  普通用户访问

普通用户先登录堡垒机,然后选择相应的应用程序完成登录,整个过程跟在本地机器上打开应用程序一样。

图4-31 普通用户访问应用发布器的应用

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!