• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath A2000-G[AK][V][G510][Cloud]系列运维审计系统 操作员手册(MacOS)(E6111 E6112 R6113)-6W113

手册下载

目 录

1 关于本文档

1.1 格式约定

2 快速开始

3 登录Web界面

3.1 通过Web界面登录运维审计系统

3.2 安装AccessClient

3.3 修改个人设置

3.3.1 设置基本信息

3.3.2 修改密码

3.3.3 设置操作员默认展示页面

3.4 修改会话配置

3.4.1 修改字符会话配置

3.4.2 修改图形会话配置

3.4.3 修改文件传输配置

3.5 配置密钥

4 访问资产

4.1 通过Web界面访问(客户端方式)

4.1.1 批量启动会话

4.2 通过Web界面访问(HTML5方式)

4.2.1 访问Windows资产

4.2.2 访问Linux/Unix资产

4.3 通过SSH客户端直连访问

4.3.1 登录到运维审计系统后查找并访问资产

4.3.2 直接访问资产

4.3.3 通过SSH执行命令

4.4 通过RDP客户端直连访问

4.4.1 登录到运维审计系统后查找并访问资产

4.4.2 通过RDC客户端穿透访问资产

4.4.3 通过MRD客户端穿透访问资产

5 高危操作

5.1 执行高危操作

5.1.1 执行高危操作(普通方式)

5.1.2 执行高危操作(操作员自行复核)

5.1.3 执行双人授权

5.2 复核会话

5.3 复核命令

5.3.1 在Web界面复核命令

5.3.2 在会话窗口复核命令

6 文件传输

6.1 向Linux/Unix资产传输文件

6.1.1 网盘传输

6.1.1.1 上传文件

6.1.1.2 下载文件

6.1.1.3 管理文件

6.1.2 SFTP工具传输

6.1.2.1 在Web界面中启动SFTP会话

6.1.2.2 通过SFTP工具直连目标资产

6.1.3 SFTP命令传输

6.1.4 ZMODEM传输

6.2 向Windows资产传输文件

6.2.1 剪贴板/磁盘映射方式传输

6.2.2 网盘传输

7 工单

7.1 申请资产

7.2 申请密码

7.3 审批工单

8 附录

8.1 客户端兼容性列表

8.1.1 AccessClient客户端兼容性列表

8.1.2 Web客户端兼容性列表

8.1.3 字符会话客户端兼容性列表

8.1.4 图形会话客户端兼容性列表

8.1.5 文件传输客户端兼容性列表

8.2 绑定手机令牌

8.3 使用双因子认证

8.3.1 分两次输入密码(推荐)

8.3.2 使用组合密码

8.4 通过Web界面登录运维审计系统(使用X.509证书认证)

8.5 安装安全证书

8.5.1 为FireFox浏览器安装证书

8.5.2 为Safari浏览器安装证书

8.5.2.1 为Chrome浏览器安装证书

8.6 共享会话

8.6.1 发起共享

8.6.2 加入共享

1 关于本文档

本文档是面向运维审计系统的操作员的操作指导手册。

操作员是运维审计系统的普通用户,拥有登录运维审计系统并进行资产访问等基本功能的权限。本文将指导操作员完成在运维审计系统上可以进行的这些基本操作。

如需使用其他角色的功能,或需要查看更多详细的指导,请参考运维审计系统的用户手册和重要功能的典型配置指南。

1.1 格式约定

格式 说明
粗体 各类界面控件名称采用加粗字体表示,如单击确定
> 多级菜单用 > 隔开。如选择用户管理 > 用户列表,表示选择用户管理菜单下的用户列表子菜单。

2 快速开始

操作员可以通过本节内容快速了解在运维审计系统上的基本操作。如操作过程中遇到问题,或涉及较复杂的登录/认证过程或其他进阶操作,请查阅后续章节中的详细指导。

本节以使用浏览器登录到运维审计系统的Web界面并访问一个Windows资产为例,指导操作员快速完成在运维审计系统上的操作。

  1. 在浏览器地址栏中输入运维审计系统的IP地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 如出现安全提示,请选择继续前往或添加例外。
  2. 输入帐号密码,单击登录
  3. 选择工作台 > 访问资产,进入资产访问界面。




  4. 根据提示单击下载并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击已安装进行忽略。




  5. 在左侧导航栏中,选择动态视图中的具体节点,例如选择Windows。选择节点后可以在右侧查看该节点下的资产。




  6. 单击访问,设置使用的系统帐号,例如选择已托管密码的administrator帐号,并单击启动




在弹出的远程桌面或网页窗口中,用户将看到该资产的桌面并可以在上面进行远程操作。对于其他类型的资产,将通过相应协议的客户端建立会话。



3 登录Web界面

登录运维审计系统,完成个人帐号设置、下载AccessClient软件;同时支持通过Web界面访问资产。

运维审计系统用户的登录支持以下几种认证方式,每个用户都由管理员设置了其中一种认证方式。如用户不清楚自己的登录方式和密码,请和管理员确认自己的登录认证方式,并获取对应的密码。
表3.1 身份认证方式
认证方式 获取密码 说明
静态密码 向管理员获取密码 使用本地密码或AD/LDAP服务器对应的用户密码。
RADIUS认证 向管理员了解密码获取方式 通过用户公司/机构的内部RADIUS认证系统获取RADIUS口令。
动态令牌 向管理员获取动态令牌和PIN1码。 使用分配的动态令牌生成的动态密码。按下动态令牌的按钮打开或关闭动态令牌,请在令牌左侧倒计时走完之前完成输入。

输入的密码前半段是“PIN1码”,后半段是绑定的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。

手机令牌 初次登录时绑定手机令牌,后续使用该令牌生成密码 使用FreeOTP等TOTP软件绑定并生成的动态密码。

需要先绑定手机令牌

短信认证 使用配置的手机号接收密码短信 使用收到短信中的动态密码。

需要先设置手机号

如未受到短信,请在倒计时结束后单击重新发送验证码
双因子认证 - 使用以上其中两种认证方式的组合。需要分别使用两种认证的密码完成认证。

请参考使用双因子认证

X.509证书认证 向管理员获取用户证书 仅用于登录Web界面。是独立于以上认证方式之外的额外一重认证。

请参考通过Web界面登录运维审计系统(使用X.509证书认证)

密钥认证 自行配置 仅用于登录SSH交互终端。使用密钥认证将代替其他认证方式。用户可以自行配置,请参考配置密钥
Note: 运维审计系统中的帐号不区分大小写。在系统中,默认显示为小写;登录时,使用大写或小写帐号均可以。

3.1 通过Web界面登录运维审计系统

请参考表3.1 身份认证方式准备登录所需的密码。

通过Web界面登录运维审计系统的环境要求请参考下表:

表3.2 通过Web界面登录运维审计系统的环境要求
项目 要求
操作系统

MAC OS。建议更新到最新版本。

浏览器
  • Firefox 40及以上版本
  • Chrome 49及以上版本
  • Safari。建议更新到最新版本。
显示器分辨率 建议最小为1280*1080(系统的缩放设置为100%时)。
Note:
  • 登录Web后如需进行资产访问、文件传输等操作,需要客户端满足兼容性要求。详细要求请参见客户端兼容性列表
  • 如显示器使用更小的分辨率或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。

本节以Chrome浏览器为例,指导完成登录到运维审计系统的Web界面。

  1. 在浏览器中输入运维审计系统的IP地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 登录时如出现以下界面 ,请选择继续前往(例如Chrome浏览器请单击高级 > 继续前往)。管理员如为运维审计系统配置了安全证书,用户也可以安装安全证书并刷新网页。




  2. 输入帐号密码,单击登录




    Note:
登录成功后,进入运维审计系统的Web界面主页面。
  • 在任一界面单击左上角的H3C,可以回到首页。
  • 在任一界面单击上方的工作台,可以切换到不同的服务项。
  • 单击右上角的用户帐号名称(例如操作员),可以打开帐号设置访问记录帮助菜单,或退出登录。




3.2 安装AccessClient

在使用运维审计系统访问资产时,除了通过Web方式建立图形会话,其他场景下运维审计系统都会通过AccessClient打开客户端并建立会话。

如本地PC未安装AccessClient,进入访问资产菜单后,浏览器上方也会提示安装AccessClient,也可根据该提示单击下载并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击已安装进行忽略。



如本地PC已安装旧版本的AccessClient,需要升级AccessClient,升级AccessClient前需要先删除已安装的包。
本节指导完成在帮助中下载并安装AccessClient。
  1. 通过Web界面登录运维审计系统
  2. 单击右上角单击帐号名称,在下拉菜单中选择帮助
  3. AccessClient > 下载页面,单击下载,将AccessClient下载到本地。




  4. 双击解压下载的AccessClient.app.zip压缩包,解压出AccessClient之后,将其拖入Mac系统的应用程序目录中。




  5. 设置对AccessClient的信任。
    在MAC系统的系统偏好设置 > 通用 > 安全性与隐私中,设置允许任何来源,或在AccessClient启动被阻止时单击仍要打开。并在收到提示时单击打开。







3.3 修改个人设置

3.3.1 设置基本信息

基本信息包含个人帐号名称、姓名、手机号码、工作邮箱等。但帐号名称只能查看不能修改。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 个人设置 > 基本信息




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    姓名 用于标识该帐号所属的具体人员的姓名,会显示在右上角。取值范围为1~100长度的字符串,不能为空。
    手机号码
    在以下场景会使用该手机号码:
    • 用户启用了短信认证,登录运维审计系统时,运维审计系统会将短信密码发送到该手机号。
    • 系统启用了会话复核发送短信的功能,被复核人在建立会话后,复核人的手机号码会收到提醒复核的手机短信。
    • 系统启用了命令复核发送短信的功能,被复核人执行满足条件的命令后,复核人的手机号码会收到提醒复核的手机短信。

    标准格式的手机号码。如设置为空则不会发送短信给用户。

    工作邮箱

    在需要发送邮件给用户时,运维审计系统会将相关信息发送到用户设置的该邮箱中。

    标准格式的邮箱地址。如不设置,则在需要发送相关信息的目标用户时,无法选中当前用户。

3.3.2 修改密码

仅当用户使用本地密码登录,或使用双因子登录中的第一身份验证方式为本地密码时会显示该页签,并可以在此处修改本地密码。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 个人设置 > 修改密码




  3. 输入原始密码新密码新密码需要连续输入两次。
    Note: 新密码需要满足系统的密码复杂度策略,密码复杂度策略请将鼠标移动到图标上进行查看。
  4. 确认输入无误后,单击确定完成密码修改。

3.3.3 设置操作员默认展示页面

用于设置操作员登录到运维审计系统的Web界面之后默认展示的页面。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 个人设置 > 操作员默认展示页面




  3. 根据需要勾选要展示的页面,并单击确定保存。
    • 按照系统配置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • 控制台:默认登录的主界面,会包含工作台中的各个按钮、快速访问资产模块、以及用户自定义添加的其他模块。
    • 资产访问:登录后直接进入资产访问菜单中,从而快速进行操作。

3.4 修改会话配置

用于设置用户在访问资产并进行字符、图形会话和文件传输时的相关参数。

3.4.1 修改字符会话配置

用于设置用户访问资产时建立的字符会话的访问方式及持续时间。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 会话配置 > 字符会话




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    会话访问方式 用于设置本地PC为Windows时的字符会话访问方式。
    会话访问方式(Mac) 用于设置本地PC为Mac时的字符会话访问方式。
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • Terminal:使用MacOS自带的字符会话终端建立字符会话。
    • scrt:使用SecureCRT工具建立字符会话。需要自己安装SecureCRT。
    • web:使用Web方式建立字符会话。无需额外安装客户端或插件。
    最大持续时间 用于设置字符会话的最大持续时间,取值包括:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置。具体设置值请询问超级管理员。
    • 自定义:按照“天/时/分”设置会话最大持续时间。达到最大持续时间后会话将被切断。单击上下箭头按钮设置时间时最小单位为15分钟,手动输入时最小单位为1分钟,不能设置为0天0小时0分钟。
    直连分类方式 用户使用SSH直连方式访问时资产的分类方式,取值包括:
    • 无:表示使用管理员配置的全局设置。
    • 资产组
    • 资产类型
    • 责任人

3.4.2 修改图形会话配置

用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 会话配置 > 图形会话




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    图形会话分辨率

    仅当图形会话访问方式设置为mstsc时该参数的设置有效。

    用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800x600、1024x768、1280x1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。

    分辨率的取值范围为640x480~9999x9999。多个分辨率之间用空格隔开,例如“1280x800 1920x1080”。

    默认分辨率

    仅当图形会话访问方式设置为mstsc时该参数的设置有效。

    用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640x480~9999x9999,或fullscreen、maximize。

    该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。

    图形会话访问方式 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • web:当在Web界面中建立图形会话时,使用Web方式建立图形会话。
    • mstsc:当在Web界面中建立图形会话时,使用RDC建立图形会话。
    Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。
    启用Console连接

    勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。

    仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。

    Note: 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
    最大持续时间 用于设置字符会话的最大持续时间,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置。具体设置值请询问超级管理员。
    • 自定义:按照“天/时/分”设置会话最大持续时间。达到最大持续时间后会话将被切断。单击上下箭头按钮设置时间时最小单位为15分钟,手动输入时最小单位为1分钟,不能设置为0天0小时0分钟。
    磁盘映射

    MacOS环境下该参数无效。

3.4.3 修改文件传输配置

用于设置用户通过Web界面建立SFTP会话时,使用的SFTP工具。需要在本地PC上自行安装对应的工具。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 会话配置 > 文件传输




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    会话访问方式 用于设置本地PC为Windows时建立SFTP会话使用的工具,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • filezilla:使用FileZilla工具建立SFTP会话。
    • winscp:使用WinSCP工具建立SFTP会话。
    Note: 建议使用FileZilla工具,使用其他SFTP客户端可能存在一些兼容性问题。
    会话访问方式(Mac) 用于设置本地PC为Mac时建立SFTP会话使用的工具,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • filezilla:使用FileZilla工具建立SFTP会话。
    Note: 建议使用FileZilla工具,使用其他SFTP客户端可能存在一些兼容性问题。

3.5 配置密钥

用于当用户通过SSH客户端直连访问时,使用此处配置的密钥对应的私钥进行验证,从而不输入密码登录到运维审计系统的字符交互终端。

  1. 使用工具生成密钥对,例如使用OpenSSH工具。
    Mac系统可以在Terminal中使用ssh-keygen命令创建密钥对。
  2. 通过Web界面登录运维审计系统
  3. 单击右上角用户帐号(例如操作员),选择帐号设置 > 修改信息 > 密钥管理




  4. 单击新建
  5. 以编辑文本文档的方式打开生成的密钥中的公钥。




  6. 将公钥文件中的密钥串,粘贴至Web界面的密钥串框体中,并单击增加




    已完成新增密钥。
完成新增密钥后,当前用户通过字符终端工具登录运维审计系统的SSH交互终端时,可以通过在生成的私钥进行验证,参见“通过SSH客户端直连访问”。用户可以添加多个密钥。请用户妥善保管自己的私钥,并且对于不用的密钥,及时在密钥管理中禁用或删除。

4 访问资产

本章以主机资产为例,介绍常用的资产访问。

运维审计系统支持通过客户端或者HTML5方式登录并访问资产。
  • 客户端:需要安装客户端软件,通过客户端访问资产。
  • HTML5:基于HTML5技术,直接通过浏览器打开运维界面,实现浏览器客户端运维,无需安装客户端软件。

下表列出了不同访问方式的比较,请根据自己的实际情况选择:

表4.1 不同访问方式的比较
访问方式 描述 依赖客户端
客户端 通过客户端访问资产,支持以下2种方式:
  • 通过Web界面访问:先登录运维审计系统的Web,选择资产和访问协议,然后由Web调用客户端完成资产访问。
  • 通过客户端直连访问:不登录运维审计系统的Web,由客户端直接访问资产。例如通过RDP客户端直接访问Windows资产等。
需要安装客户端,例如mstsc、Xshell、Putty等。
HTML5 通过HTML5方式访问资产,支持以下场景:
  • 图形会话访问Windows资产(RDP)
  • 图形会话访问Linux资产(VNC/XDMCP/XFWD)
  • 图形会话(不使用RemoteApp)访问数据库/应用系统
  • 字符会话访问Linux资产(SSH/Telnet)
HTML5方式只依赖浏览器,对其操作系统、其他工具软件没有要求。所以只需要安装浏览器即可完成资产访问。

4.1 通过Web界面访问(客户端方式)

通过Web界面(客户端方式)访问资产,需要先登录运维审计系统的Web界面,支持访问所有类型的资产,包含主机、网络设备、数据库和应用系统资产。

通过Web界面访问主机/网络设备时,如通过mstsc方式(在修改图形会话配置中设置)访问Windows主机,需要在本地PC上安装RDP客户端;如不通过web方式建立字符会话(在修改字符会话配置中设置),需要在本地PC上安装字符客户端,使用的字符客户端类型在修改字符会话配置中设置。
Web界面对RDP客户端和字符客户端的要求如下:
表4.2 运维审计系统的Web界面支持的RDP客户端和字符客户端
访问资产类型 要求
Windows(mstsc方式)
  • Microsoft Remote Desktop Connection for Mac 2.1.1(以下简称RDC,仅适用于MacOS 10.14及以前的版本)
  • Microsoft Remote Desktop for Beta 10.3.4(以下简称MRD,仅适用于MacOS 10.12及以后的版本)
Note: 两种客户端只能安装一个,否则访问时会存在问题。MRD通过Web界面启动时不支持磁盘映射,仅直连访问时支持磁盘映射。

如没有相应的客户端,请在个人帐号设置中设置使用web方式访问。对于数据库/应用系统资产,必须联系超级管理员,修改图形会话全局设置,使该客户端不使用RemoteApp,否则web方式的设置将不生效。

Linux、HP Unix、IBM AIX、网络设备(非web方式)
  • Terminal2.7及以上
Note: 关于客户端的兼容性要求,具体请参考客户端兼容性列表
用户在Web界面的访问资产界面中查找资产,有以下几种方式:
  • 直接查找:在左侧导航栏中,选择动态视图中的具体节点并查看节点下的资产。
  • 快速搜索:在动态视图选择节点后,如资产仍较多,在搜索框中输入资产名称/IP/简要说明/系统帐号的全部或一部分进行模糊查找。



    Note: 快速搜索支持正则匹配,且可以通过多关键字进行搜索,多关键字之间通过空格分隔。
    • 资产名称的条件关系是与,即资产名称输入10 web,则筛选出资产名称同时包含“10”和“web”的资产。
    • IP地址的条件关系是或:资产的IP地址输入10.10.16.21 10.10.16.22,则筛选出资产的IP地址包含“10.10.16.21”或者“10.10.16.22”的资产。
    • 简要说明不支持多关键字搜索。

    域名不支持多关键字检索。

  • 高级筛选:在动态视图选择节点后,如资产仍较多,单击下拉框选择高级筛选,设置筛选条件后单击筛选



    Note: 高级搜索支持正则匹配,且可以通过多关键字进行搜索,多关键字之间通过空格分隔。
    • 资产名称的条件关系是与。
    • IP地址不支持多关键字搜索。
    • 简要说明的条件关系是与。

    域名不支持多关键字检索。

  • 在最近访问中查找:单击访问资产后,选择最近访问页签。



  • 收藏并查找:对资产单击收藏后,单击访问资产并选择最近访问页签,查看收藏。



查找到资产并启动访问后,运维审计系统将启动对应的客户端并建立字符或图形会话。会话的全局设置请参考修改会话配置进行修改。

本节以Windows主机为例,指导完成资产访问。但将对所有资产涉及的参数进行说明。如需同时启动多个会话,请参考批量启动会话

  1. 通过Web界面登录运维审计系统
  2. 选择工作台 > 访问资产,单击待访问资产的访问并设置启动参数。




    表4.3 配置会话参数
    参数 说明
    系统帐号 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的帐号。有以下几种类型:
    • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产,请操作员自行确保该帐号在待访问资产上存在。
    • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
    • 运维审计系统上已添加的资产帐号名称,例如root运维审计系统使用该帐号登录到资产设备。
    Note:
    • 帐号名称之前有*,表示该帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。
    • 当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
    • 当选择的账号为any时,如使用RDP方式登录开启了NLA的资产,则需在启动会话前填写账号和密码;如未开启NLA则可以启动会话后在资产的登录界面填写。
    客户端 仅当访问的资产是数据库、应用系统时需要配置。

    用于选择使用哪种客户端打开对应的资产。

    屏幕大小 仅当满足以下条件时显示该参数:
    • 帐号设置中RDP会话使用mstsc方式启动。
    • 待访问的资产为Windows主机或应用系统。
    • 访问应用系统时,管理员设置了不使用RemoteAPP。

    用于选择打开的远程会话的屏幕的分辨率。

    磁盘映射 仅当满足以下条件时显示该参数:
    • 帐号设置中RDP会话使用mstsc方式启动。
    • 待访问的资产为Windows主机或应用系统。
    用于标识是否启用磁盘映射并选择磁盘映射的磁盘驱动器。
    下拉选择待映射的文件夹路径,将本地PC对应的文件夹映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应的路径进行读写操作。可以映射的文件夹如下:
    • 所有磁盘驱动器
    • 主文件夹
    • 文档文件夹
    • 其他文件夹
    启用Console连接

    仅当管理员设置了显示该参数时才会显示。

    仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
  3. 确认配置无误后,单击启动建立远程会话并打开。




    启动会话后,相关功能涉及的详细操作如下:
    功能 说明
    备注 如管理员设置了启动会话时必填或可填备注,请输入备注后并单击启动。备注是一个1~100长度的字符串。



    SSH会话 以SSH协议访问Linux资产时,通过any帐号建立的会话,支持目标资产使用二维认证。访问时,不支持跳转来源和切换自。
    VNC会话 VNC会话启动后需要继续输入在待访问资产的VNC server上设置的VNC远程连接的密码。如配置资产时已托管了VNC密码,直接勾选使用已设置密码,并单击启动。



    XFWD会话 XFWD会话如初始登录到xterm字符终端,请输入待启动的图形/字符工具的路径,如/usr/bin/xfce4-session/usr/bin/xfce4-terminal,打开图形或字符会话。



    Web方式图形会话
    以下几种方式建立会话时,会话会在浏览器新页签中打开:
    • 设置图形会话访问方式web,建立RDP会话。在帐号设置 > 会话配置 > 图形会话中设置。
    • 设置图形会话访问方式web,且数据库/应用系统客户端同时被超级管理员设置为不使用RemoteApp时,建立数据库/应用系统会话。
    • 建立VNC、XDMCP、XFWD会话。
    在该界面中,可以单击上方的展开/收起按钮,展开标题栏,并单击右上方的按钮,实现发送Ctrl+Alt+Del剪贴板全屏断开连接等操作。该场景下在浏览器中刷新会话访问界面,会话将被断开。单击浏览器上方的展开,将显示Failed to connect to server (code: 1000)的错误信息。

    也可以使用Ctrl+C/Ctrl+V键或右键的复制粘贴功能,在会话界面和本地PC之间复制粘贴文本信息,但不支持传输文件。

    Web方式字符会话 帐号设置 > 会话配置 > 字符会话中,设置会话访问方式web时,Telnet/SSH会话会使用浏览器打开。

    在该界面中,使用鼠标选中某段文字时,会自动将该段文字复制到剪贴板中;当单击鼠标右键或按Shift+Ctrl+V时,会将剪贴板中的文字粘贴到会话窗口中。

    该访问方式存在以下访问限制
    • 不支持刷新当前会话访问页面,刷新后会导致会话断开。
    • 不支持rz/sz命令功能。请勿执行该命令,否则将导致会话卡死,必须重启会话。
    • 不受规则模板中设置的剪贴板长度限制的影响,最多支持复制102392个字节的数据信息。
    • 批量启动web会话时,浏览器默认会拦截第一个会话之外的其他会话。此时用户需要手动将浏览器的拦截规则设置为始终允许该页面弹出会话。
    数据库/应用系统会话
    • 建立数据库/应用系统会话并关闭后,会话需要1分钟时间注销。1分钟内用户重新访问时可能看到之前的会话界面,这是正常现象。
    • 当通过SQLyog客户端访问数据库资产时,可能会出现软件未激活导致访问失败的现象。请先联系应用发布服务器的管理员,咨询软件激活情况。如果软件激活后再次访问仍然出现该问题,请联系运维审计系统的超级管理员,将这些软件的执行帐号修改为administrator
    高危操作 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作
    会话共享 建立会话后,可将会话共享给其他用户,请参考共享会话
    其他
    • 当使用Telnet/SSH/SFTP访问资产时,运维审计系统如找不到对应类型的客户端,将弹出窗口,请在该窗口中选择本地PC上安装的Telnet/SSH/SFTP客户端并启动会话。客户端类型请参考修改字符会话配置进行设置。
    • 当使用VNC连接或使用其他Web方式的访问时,将会打开新的网页窗口。请允许该弹出窗口,以下为Chrome浏览器中的操作:



4.1.1 批量启动会话

对同一种资产类型的资产,运维审计系统支持批量启动多个会话。但启动会话时,选定的资产必须满足以下条件:
  • 选定的资产必须是同一类型的资产,例如都为主机资产。
  • 对于主机/网络资产,选定的资产必须存在相同的访问协议,并配置了对应的权限。
  • 对于数据库/应用系统资产,选定的资产必须配置了相同的客户端。
  • 不支持使用SFTP协议批量启动会话。
    Note: 即批量启动时不显示SFTP页签;选定资产相同的协议只有SFTP时批量启动会失败。但如果选择了账号为快捷访问账号/最近访问账号/收藏账号,则当该账号对应的访问协议为SFTP时,也可以启动SFTP会话。
  1. 通过Web界面登录运维审计系统
  2. 单击工作台 > 访问资产,并找到待访问的资产。
  3. 勾选一个或多个资产后,单击下方的批量启动




  4. 选择访问协议和登录帐号后,单击启动




    根据选择的帐号不同,启动方式如下:
    帐号名称 说明
    快捷访问帐号 仅在非最近访问收藏的访问界面启动会话时显示。表示每个资产建立会话时,分别使用该资产上一次访问时的会话配置(包括访问协议和帐号)。
    最近访问帐号 仅在最近访问界面启动会话时显示。表示每个资产建立会话时,分别使用该资产上一次访问时的会话配置(包括访问协议和帐号)。
    收藏帐号 仅在收藏界面启动会话时显示。表示建立每个会话时,分别使用该收藏对应的会话配置(包括访问协议和帐号)。
    其他帐号 所有会话都将统一使用此处选择的协议和帐号。
    Note:
    • 当使用快捷访问帐号、最近访问帐号、收藏帐号时,用户选择的协议等其他配置无效,将统一使用上一次访问/收藏的配置。
    • 批量启动时,不显示sftp和vnc页签。因此选择其他帐号时,无法启动sftp或vnc会话。

4.2 通过Web界面访问(HTML5方式)

HTML5方式只依赖浏览器,对操作系统、其他工具软件没有要求。同时当前主流浏览器均支持HTML5,所以只需要安装浏览器即可完成运维工作,大大降低了环境准备工作,提高工作效率。

前提条件
  • 通过HTML5方式建立图形会话,需要将图形会话中的启动方式设置为web。如果访问数据库或应用系统,同时需要设置远程客户端不使用RemoteApp。
  • 通过HTML5方式建立字符会话,需要将字符会话中的启动方式设置为web

4.2.1 访问Windows资产

Windows资产支持通过RDP建立图形会话访问。

  1. 用户登录Web界面。
  2. 选择工作台 > 访问资产,单击待访问资产对应的访问,设置RDP参数,单击启动




  3. 建立访问该资产的会话。如已托管正确的密码,将自动登录资产。
    • 请不要刷新浏览器,否则会话将被断开。
    • 单击下图上方的展开/收起按钮,展开标题栏,并单击右上方的按钮,实现发送Ctrl+Alt+Del剪贴板全屏断开连接操作。
    • 远程连接的分辨率由访问会话页面的分辨率决定。全屏显示,只会将页面整体全屏,不会增加页面的分辨率。




4.2.2 访问Linux/Unix资产

Linux/Unix资产支持通过字符会话(SSH、Telnet)访问,也支持通过图形会话(VNC、XDMCP、XFWD)访问。

使用HTML5字符会话方式访问存在以下限制
  • 不支持刷新当前会话访问页面,刷新后会导致会话断开。
  • 不支持rz/sz命令。
  • 不受规则模板中设置的剪贴板长度限制的影响,最多支持复制UTF-8编码下102392个字节的数据信息。
  • 访问非UTF-8编码的资产可能会出现乱码。
  • 批量启动web会话时,浏览器默认会拦截第一个会话之外的其他会话。此时用户需要手动将浏览器的拦截规则设置为始终允许该页面弹出会话。
  1. 用户登录Web界面。
  2. 选择工作台 > 访问资产,选择待要访问的资产。
  3. 单击访问,设置访问协议,单击启动




  4. 建立访问该资产的会话。如已托管正确的密码,将自动登录资产。
    图4.1 登录后界面(SSH)




    图4.2 登录后界面(XDMCP)




    登录后需要注意:
    • 请不要刷新浏览器,否则会话将被断开。
    • 远程连接的分辨率由访问会话页面的分辨率决定。全屏显示,只会将页面整体全屏,不会增加页面的分辨率。
    • 单击图中上方的展开/收起按钮,展开标题栏,并单击右上方的按钮,实现发送Ctrl+Alt+Del剪贴板全屏断开连接操作。不同协议支持的按钮不同,请以实际界面为准。

4.3 通过SSH客户端直连访问

通过SSH客户端登录运维审计系统后仅能查看并访问当前用户可通过SSH/Telnet访问的资产,即类Unix资产。

请参考客户端兼容性列表准备客户端环境并获取登录所需的密码。

通过运维审计系统的SSH交互终端访问资产有三种方式:
  • 先通过SSH客户端登录运维审计系统,在运维审计系统找到待访问的资产后再建立字符会话进行访问。
  • 穿透访问,即直接建立到待访问资产的字符会话。必须提前知道待访问资产的IP地址和登录帐号,且运维审计系统上必须已托管了相应资产帐号的密码。用户也可以通过该方法将连接保存到本地,从而快速访问。
  • 通过SSH远程执行命令。一般用于脚本中,仅执行单条命令,执行完后断开连接。

如登录帐号被管理员在运维审计系统上设置了下次登录时必须修改密码,请先通过Web界面登录并重设密码;如使用手机令牌登录但未绑定令牌,请先完成绑定手机令牌,然后再登录SSH交互终端,否则将登录失败。

4.3.1 登录到运维审计系统后查找并访问资产

本节以MacOS 10.14的Terminal终端为例,指导完成登录运维审计系统
  1. 打开终端控制台。
  2. Optional: 如使用密钥登录,请先完成配置密钥
  3. Optional: 设置终端的编码格式,和运维审计系统保持一致。
    运维审计系统交互终端编码类型默认为GB18030,如被管理员修改,请询问管理员。如编码类型不一致,登录后会显示为乱码。
    1. 在左上方选择终端 > 偏好设置
    2. 编码页签,勾选待设置的编码格式,例如GB18030。




    3. 描述文件页签,选择当前的终端风格(例如Basic)后,设置文本编码运维审计系统使用的编码格式。




    4. 关闭偏好设置菜单。
  4. 执行以下命令,并按回车,连接到运维审计系统
     ssh 运维审计系统中的用户名@运维审计系统的地址
    例如:
     ssh opt@10.10.33.46
  5. 如使用密码登录,输入用户在运维审计系统中的密码。
    Note: 如使用密钥登录并已完成密钥配置,无需输入密码,将直接登录到运维审计系统




    通过SSH客户端登录运维审计系统后,可以执行以下常用操作:
    表4.4 SSH交互终端常用操作
    使用场景 输入 说明
    最外层资产分类列表菜单 q 退出登录运维审计系统
    l 切换语言(从中文到英文,或从英文到中文)
    r 重新加载数据
    /设备IP、名称或说明 过滤设备
    目标资产列表菜单 i 按IP排序
    a 按设备名称排序
    /设备IP、名称或说明 过滤设备
    任意子菜单 直接按回车键 返回上一级菜单
    断开到设备的会话后 直接按回车键 回到资产分类列表菜单
    r 重新连接到已断开的会话
    q 退出登录运维审计系统
  6. 根据提示输入待访问资产所在的资产分类编号,并按回车键确定。
    资产分类列表
    序号: 资产分类
    0: 全部资产
    1: 资产组1
    2: 资产组2
    请选择资产分类:1
    Note: 资产分类会根据字符会话配置中的直连分类方式进行展示。上图中是按资产组进行分类。如果不存在可用分类,连接后将直接进入未分类资产列表中;如只存在一个可用分类,连接后将直接进入该分类。
  7. 根据提示输入待访问的资产的序号、IP地址或名称,并按回车键确定。
    已选择:资产组1
    目标资产列表
    序号: IP 地址 名称(说明) *
    1: 10.10.33.30 CentOS7
    2: 10.10.33.130 CentOS7-2
    请选择目标资产:1
  8. 根据列出的登录帐号列表,输入访问资产要使用的帐号的序号或完整帐号名称(含协议名称),并按回车键确定。建立字符会话。
    已选择:资产组1 > CentOS7(10.10.33.30)
    登录帐号列表
    序号: 帐号名
    1: any
    2: * root
    3: self
    请选择登录帐号:2
    Note:
    • 帐号列表说明如下:
      • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产,请操作员自行确保该帐号在待访问资产上存在。
      • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
      • 运维审计系统上已添加的资产帐号名称,例如root运维审计系统使用该帐号登录到资产设备。
    • *表示该帐号的密码已在运维审计系统上托管,将无需输入密码直接登录。
    • 当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
    • 如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。备注是一个1~100长度的字符串。
      Connecting to root@CentOS7(10.10.33.30) ...
      请输入备注:备注内容
    • 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作

4.3.2 直接访问资产

该方式即穿透访问,直接通过运维审计系统连接到目标资产。

如需配置密钥或终端编码,请参考登录到运维审计系统后查找并访问资产完成配置。

  1. 打开SSH客户端工具。

    本节以MacOS 10.14的Terminal终端为例指导完成访问资产。

  2. 执行以下命令,并按回车,连接到运维审计系统,并通过运维审计系统穿透连接资产。
     ssh 运维审计系统的用户名/目标资产的地址/访问目标资产的帐号@运维审计系统的地址
    例如:
     ssh opt/10.10.33.30/root@10.10.33.46
    Note: 当使用IPv6地址时,部分客户端支持IPv6地址加中括号,但几乎所有客户端都支持地址不加中括号,因此建议运维审计系统地址和目标资产地址全都不加中括号,例如ssh opt/fc00::1010:32::30/root@fc00::1010:32::1
  3. 如使用密码登录,输入用户在运维审计系统中的密码。
    Note: 如使用密钥登录并已完成密钥配置,无需输入密码,将直接登录到资产。

    如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。





4.3.3 通过SSH执行命令

需要满足以下前提条件:
  • 必须使用OpenSSH客户端。
  • 目标资产已在运维审计系统上托管了帐号和密码。
OpenSSH客户端的SSH命令,支持在待访问的地址之后添加command参数,填写待在目标资产上执行的命令,执行完命令后断开连接。一般用于在脚本中连接资产并远程执行命令。

通过该方式执行的命令,不会受到会话复核的限制,无需被复核即可执行。但如配置了命令复核,只要规则中执行的动作不为允许,该命令的执行的都将被拒绝,请参见执行高危操作

本节以在OpenSSH客户端的Shell中执行命令为例,实际使用中可以将该命令写到脚本中。

  1. 打开OpenSSH客户端的Shell菜单。
  2. 执行以下命令:
     ssh 运维审计系统的用户名/目标资产的地址/访问目标资产的帐号@运维审计系统的地址 命令内容
    例如:
    ssh opt/10.10.33.30/root@10.10.33.23 pwd
  3. 在收到密码提示后,输入运维审计系统的密码。
    命令执行成功后,将显示命令的回显。
    [root@localhost ~]# ssh opt/10.10.33.30/root@10.10.33.23 pwd
    Password authentication
    Password:
    /root
    Note:
    • 资产的密码将由运维审计系统自动代填,如未托管密码,命令执行将失败。
    • 如需执行多条命令,可以使用;&|等符号进行分割。
    • 命令如需要在脚本中执行,建议配置密钥,使执行过程中不需要进行密码交互。

4.4 通过RDP客户端直连访问

通过RDP客户端登录运维审计系统只支持访问Windows主机资产。

前提条件
  • 如果登录帐号被管理员设置了下次登录时必须修改密码,请先通过Web界面登录并重设密码。
  • 如果使用手机令牌登录但未绑定令牌,请先完成绑定手机令牌,否则将登录失败。
  • 请参考客户端兼容性列表准备客户端环境并获取登录所需的密码。
通过RDP客户端访问Windows资产有两种方式:
  • 使用RDP客户端先登录到运维审计系统,在运维审计系统找到待访问的资产后再建立图形会话进行访问。
  • 直接使用RDP客户端建立到待访问资产的图形会话。必须提前知道待访问资产的IP地址和登录帐号,且目标资产仅支持IP地址,不支持域名。用户也可以通过该方法将连接保存到本地,从而快速访问。
屏幕大小和磁盘映射参数都需要在RDP客户端中进行配置运维审计系统连接到资产时将沿用用户在RDP客户端上的配置。
  • 通过RDC客户端访问时,请在首选项中配置:



    对屏幕大小和磁盘映射参数进行设置:







  • 通过MRD客户端访问时,请在Saved PCs中配置:
    1. 鼠标悬停在已添加的运维审计系统上,单击右侧的,在弹出的Edit PC中配置。
    2. 选择Display,单击Resolution的下拉菜单,设置屏幕大小。



    3. 选择Display,单击左侧的,在弹出的对话框中选择磁盘映射文件。



    4. 完成后单击Save

4.4.1 登录到运维审计系统后查找并访问资产

  1. 通过RDP客户端登录运维审计系统
    • 通过RDC登录
      1. 应用程序中找到远程桌面连接并双击打开。
      2. 计算机中输入运维审计系统的IP地址。



      3. 选择RDC > 首选项



      4. 填写运维审计系统的用户名和密码。如需保存密码,勾选将用户信息添加到钥匙串。填写完毕后关闭该菜单。



      5. 单击连接,登录到运维审计系统
      Note:
      • 如认证失败或存在第二重认证,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定



      • 密码的输入方式请参考表3.1 身份认证方式
      • 如使用双因子登录,密码输入方式请参考使用双因子认证
    • 通过MRD登录
      1. 应用程序中找到Microsoft Remote Desktop并双击打开。
      2. 选择PCs,单击Add Desktop



      3. 在弹出的Add PC对话框中输入运维审计系统的IP地址。



      4. 单击User account的下拉菜单,选择Add User Account...,在弹出的对话框中填写运维审计系统的用户名和密码,完成后单击Add



      5. 单击Add,完成运维审计系统信息的添加。



      6. 双击登录刚添加的运维审计系统
        Note:
        • 如认证失败或存在第二重认证,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定



        • 密码的输入方式请参考表3.1 身份认证方式
        • 如使用双因子登录,密码输入方式请参考使用双因子认证
  2. 登录后,查看当前登录用户所有可以访问的Windows主机资产和上一次连接使用的帐号。




  3. Optional: Name/IP/Remark(F2)输入待访问资产的名称、IP或说明内容,并按搜索进行搜索。
  4. 选中一条待访问的资产,双击该资产,设置会话参数,并单击确定,建立图形会话。
    会话参数的配置,请参考Web界面的表4.3 配置会话参数



4.4.2 通过RDC客户端穿透访问资产

  1. 应用程序中找到远程桌面连接并双击打开。
  2. 计算机中输入运维审计系统的IP地址。




  3. 首选项 > 登录中填写运维审计系统的用户名和密码。
    参数 说明
    用户名

    运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号

    密码 运维审计系统的密码。本例中输入用户opt在运维审计系统的密码。
    Note: 如目标资产使用IPv6地址,不能加中括号;如运维审计系统使用IPv6地址,可以加中括号也可以不加。




  4. 关闭首选项菜单后,单击连接,直接通过运维审计系统连接到资产设备。
    Note:
    • 如认证失败或存在第二重认证,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定



    • 用户可以选择文件 > 另存为,将该连接保存到本地PC。用户后续可以通过双击保存的.rdp文件,直接连接到该资产。要求用户必须使用单重静态密码认证,并且资产密码已托管。



    • 如该资产未托管密码,则用户连接该资产后,仍须手动选择帐号并输入密码。



4.4.3 通过MRD客户端穿透访问资产

  1. 应用程序中找到Microsoft Remote Desktop并双击打开。
  2. 选择PCs,单击Add Desktop




  3. 在弹出的Add PC对话框中输入运维审计系统的IP地址。




  4. 单击User account的下拉菜单,选择Add User Account...,在弹出的对话框中填写运维审计系统的用户名和密码,完成后单击Add
    参数 说明
    用户名

    运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号

    密码 运维审计系统的密码。本例中输入用户opt在运维审计系统的密码。
    Note: 如目标资产使用IPv6地址,不能加中括号;如运维审计系统使用IPv6地址,可以加中括号也可以不加。




  5. 单击Add,完成运维审计系统信息的添加。




  6. 双击刚添加的运维审计系统,通过运维审计系统直接连接到资产设备。
    Note:
    • 如认证失败或存在第二重认证,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定



    • 鼠标悬停在已添加的运维审计系统上,鼠标右击选择Export,在弹出的对话框中,选择文件保存路径,完成后单击Export,将该连接保存到本地PC。

      后续可以通过双击保存的.rdp文件,直接连接到该资产。要求用户必须使用单重静态密码认证,并且资产密码已托管。





    • 如该资产未托管密码,则用户连接该资产后,仍须手动选择帐号并输入密码。



5 高危操作

管理员如果配置了会话复核或高危命令规则,指定用户在访问资产和执行命令时将受到限制。根据配置的规则,操作员可以作为被复核人受到这些规则的限制,也可以作为复核人来复核其他用户的操作。

运维审计系统中的高危操作,包括会话复核和高危命令两部分:
  • 会话复核:对会话进行审核授权和监控,执行的动作包括允许操作和禁止操作。
  • 高危命令:对字符会话执行的命令进行限制和监控,执行的动作包括允许、复核、拒绝、切断、通知。

5.1 执行高危操作

当管理员配置了高危操作时,特定操作用户如访问特定的资产时,会要求会话复核;如在特定资产的字符会话上执行某些特定的命令时,会触发高危命令,执行的命令被发送通知、被要求复核、被直接拒绝,或被直接断开会话。

操作员在进行资产访问和执行命令时都有可能触发已配置的高危操作规则,已配置的具体规则请向管理员咨询。

触发高危操作后的示例如下:
  • 触发会话复核:



    如果超级管理员开启了双人授权,且复核人的登录验证方式包含动态令牌/手机令牌/短信认证,则触发会话复核后显示如下:



  • 触发高危命令:



Note: 在Web界面启动的会话如经过了会话复核,不允许执行克隆操作,克隆后的新会话将直接连接失败;从Telnet/SSH客户端启动的会话不受此限制,但克隆后需要再次执行复核。

5.1.1 执行高危操作(普通方式)

操作员在执行访问资产及在字符会话中执行命令,正常触发高危操作后的现象及处理方法如下:
现象 说明 处理方法
通过Web界面建立会话,单击启动后出现启动资产窗口,包含复核人下拉菜单。 操作员触发了会话复核规则,需要完成会话复核后才能进行操作。
  1. 选择复核人并启动会话。
    • Web界面:在复核人下拉菜单中选择一个复核人,并单击启动
    • SSH界面:输入复核人对应的编号并按回车启动会话。
  2. 启动会话后,操作员无法执行任何操作。请联系选择的复核人完成复核会话,完成复核后操作员可以进行操作。
    Note: 会话复核过程中,复核人将观看操作员的所有操作,并可以随时锁定用户的操作。被锁定后请联系复核人进行解锁。
通过SSH客户端建立会话,选择资产和帐号名称后,提示请选择会话复核用户
执行命令,提示This command requires manager's confirmation, are you sure?[Y/n] 操作员触发了命令复核规则,需要完成命令复核后命令才能被执行。
  1. 确认是否要执行该命令。
    • 是,输入Y(忽略大小写),转到下一步。
    • 否,输入N(忽略大小写),命令被撤回,操作结束。
  2. 联系命令复核对应的复核人中的任意一个完成复核命令。如不清楚有哪些命令复核人请咨询管理员。
    Note: 在复核人进行复核之前,操作员可以按Ctrl+C,取消命令复核,所有复核人收到的命令复核申请都将被撤回,命令的执行也被取消。

    复核人完成复核并允许命令执行之后,命令将开始执行并显示执行结果;复核人如拒绝命令执行,该命令的执行将被取消。

执行命令,提示You are not allowed to use this command 操作员触发了拒绝用户执行的高危命令 请使用其他允许被执行的命令。
执行命令,提示Session will be killed because of this command 操作员因执行高危命令,触发了断开会话的操作 请重新打开会话,并使用其他允许被执行的命令。
高危操作规则如配置有误,访问资产或执行命令将无法进行,具体现象和处理方法如下:
现象 说明 处理方法
在Web界面单击启动会话时,提示操作失败 可能原因:会话复核规则中设置的所有复核人均不可用。 联系管理员检查会话复核规则是否存在问题。
在SSH客户端上启动会话时,提示Not authorized to login to server 'XX' with account 'YY'
执行命令,提示No valid user for confirmation. Please contact the administrator 命令复核规则没有设置复核人或设置的所有复核人均不可用。 联系管理员为命令复核规则设置可用的复核人。

5.1.2 执行高危操作(操作员自行复核)

复核人为使用动态令牌登录,或使用的双因子认证中包含动态令牌的用户时,如复核人暂时无法进行复核,经协商一致,操作员可以向复核人直接获取复核人的PIN2码及动态令牌的动态密码,并由操作员自己进行会话复核。
  1. 操作员使用自己的帐号通过Web界面访问(客户端方式)
  2. 操作员通过Web或、RDP、SSH访问资产,触发会话复核,选择复核人为使用动态令牌登录的用户。




  3. 单击右上角的提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。




  4. 单击复核打开对应的会话复核。




  5. 在弹出的对话框中,输入密码并单击确定
    密码前半段是从复核人获取的“PIN2码”,后半段是从复核人获取的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。



  6. 参考复核会话完成会话复核。

5.1.3 执行双人授权

在使用双人授权进行会话复核时,需要满足以下条件:
  • 超级管理员已开启双人授权模式。
  • 复核人的登录认证方式包含动态令牌/手机令牌/短信认证。
Note: 通过RDP直连或穿透方式访问图形会话不支持双人授权模式。
访问授权码由复核人的登录认证方式决定,具体如下:
复核人的登录认证方式 访问授权码的组成
动态令牌 PIN2码+动态令牌码
本地密码+动态令牌
AD/LDAP+动态令牌
RADIUS+动态令牌
本地密码+手机令牌 手机令牌码
AD/LDAP+手机令牌
RADIUS+手机令牌
本地密码+短信认证 短信验证码
AD/LDAP+短信认证
RADIUS+短信认证
  1. 操作员使用自己的帐号通过Web界面访问(客户端方式)
  2. 在弹出的启动资产页面选择复核人,并输入从复核人处获取的访问授权码。




  3. 完成后单击启动

5.2 复核会话

如管理员配置了会话复核规则中,当前用户被设置为复核人之一,则其他用户进行资产访问触发会话复核规则时,可以指定当前用户作为本次会话的复核人。复核人完成会话复核,访问资产的用户才能在建立的会话中进行操作。

需要复核的会话,当操作用户建立会话之后不能执行任何操作,必须等复核人进行确认后才能执行操作。复核人将继续观看用户的所有操作,并在用户将要进行危险操作时及时锁定会话。

  1. 使用复核人帐号通过Web界面访问(客户端方式)
  2. 单击右上角的提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。




  3. 查看收到的复核申请,对于复核类型会话复核的复核申请,单击复核,打开对应的会话。




    复核使用的客户端与复核人在帐号设置 > 会话配置中设置的会话访问方式无关。对于字符会话,默认使用Mac Terminal打开会话复核窗口;对于图形会话,默认使用web方法打开会话复核窗口。会话打开后,复核人将看到和操作人一样的操作界面,但不能进行任何输入。
  4. 确认该会话合法后,请复核人执行解锁操作允许操作用户进行操作。
    • 字符会话:按空格回车,解锁或锁定操作用户的操作。
    • 图形会话:单击窗口右上角的continue按钮,解锁操作;单击pause,锁定操作。




  5. 当复核人发现操作用户将要进行危险操作时,请执行锁定操作,使操作用户无法继续执行任何操作。

5.3 复核命令

如管理员配置了命令复核规则,则当有其他用户触发命令复核规则时,当前用户如为复核人之一,可以对操作人要执行的命令进行复核。

操作人触发命令复核时,所有复核人都将收到命令复核提示,当有一个复核人完成复核之后,其他复核人收到的复核请求将失效并被撤回。操作人如自行撤回复核申请,复核人将无法再复核。

复核人收到提醒并完成复核的情况有以下两种:
  • Web界面复核:复核人在Web界面右上角收到命令复核提醒:有待复核的命令。复核人直接在Web界面处理高危命令复核申请。
  • 会话窗口复核:当某个会话的会话复核人同时也是该会话的命令复核人之一时,该复核人可以在打开的会话复核窗口中直接收到操作用户发出的复核申请:Confirmation: Are you allowed to execute this command?[Y/n]。复核人可以在会话窗口中完成该命令的复核。

5.3.1 在Web界面复核命令

  1. 使用复核人帐号通过Web界面登录运维审计系统
  2. 单击右上角的提醒图标,查看收到的待复核命令的提醒,并单击查看详情,跳转到复核申请列表页面。




  3. 查看收到的复核申请,确认命令是否可以执行。
    • 是,单击允许,该命令将直接执行并显示回显。
    • 否,单击拒绝,该命令的执行将被阻断。




5.3.2 在会话窗口复核命令

  1. 用户作为会话复核人,在复核会话窗口中复核字符会话。
  2. 操作用户发出复核申请后,复核人查看会话窗口中收到的Confirmation信息及其具体执行的命令。
  3. 确认命令是否可以执行。
    • 是,按Y键(忽略大小写),表示允许执行,该命令将直接执行并显示回显。
    • 否,按N键(忽略大小写),表示拒绝执行,该命令的执行将被阻断。




完成该条命令的复核后,复核人可以在复核窗口中继续对操作人进行会话复核,并在操作人再次触发命令复核时完成复核。

6 文件传输

6.1 向Linux/Unix资产传输文件

本地PC与Linux、HP Unix、IBM AIX资产之间传输文件,运维审计系统提供了多种方式。

下表列出了运维审计系统支持的向Linux/Unix资产传输文件的所有方式及相互之间的比较,请用户根据自己的实际情况及喜好,灵活选用文件传输方式:
表6.1 不同文件传输方式的比较
传输方式 依赖软件 推荐程度
网盘传输 目标资产非Windows时首选
SFTP工具传输 本地PC:SFTP工具(FileZilla)

目标资产非Windows时推荐

SFTP命令传输  
ZMODEM传输
  • 目标资产:已安装lrzsz
  • 需要安装其他字符终端工具,例如iTerm2,不支持Mac Terminal
小文件时推荐。不能传输超过2GB的文件

6.1.1 网盘传输

通过运维审计系统客户端的自带的文件传输功能,用户可以将文件在本地PC、运维审计系统、目标资产设备之间上传/下载。

6.1.1.1 上传文件

  1. 用户登录Web界面。
  2. 选择工作台 > 文件传输 > 文件传输




  3. 单击从本地上传,上传文件到运维审计系统




  4. 拖拽文件或直接单击并在弹出的窗口中选择待上传的文件。




    Note: 一次只能上传一个文件。如同时拖拽多个文件到框体中,只会上传其中的第一个文件。
  5. 单击右侧的选择目标资产,勾选一个或多个待连接的Linux/Unix资产,并下拉选择帐号上传使用的帐号。
    Note: 使用的帐号必须为已托管了密码的帐号。如需使用未托管密码的帐号,选择any帐号;指定多个目标资产时,不可使用any帐号。




  6. 选择上传的路径。
    • 选择单个资产时,填写上传路径或在窗口中选择目录层级。



    • 选择多个资产时,填写统一的上传路径。



  7. 在左侧勾选待上传的文件,并单击上传,将文件从运维审计系统的网盘上传到目标资产中。




6.1.1.2 下载文件

  1. 用户登录Web界面。
  2. 选择工作台 > 文件传输 > 文件传输
  3. 单击右侧的选择目标资产,勾选一个待连接的Linux/Unix资产,并下拉选择帐号上传使用的帐号。
    Note: 只能勾选一个资产,勾选多个资产时将仅能上传不能下载。
  4. 在右侧找到待下载的文件并勾选,单击下载,将文件下载到网盘中。




  5. 下载到网盘完成后,勾选文件,并单击批量下载到本地,将文件从网盘下载到本地。




6.1.1.3 管理文件

我的文件界面,可以对已上传或下载到运维审计系统的文件进行管理。



该页面主要有以下管理操作:
操作 说明
查询 对话框中,输入文件或文件夹的名称并按回车键进行查询。如未勾选查询子文件/文件夹,只会搜索当前文件夹内的内容。但勾选了查询子文件/文件夹后,不能执行批量操作。
新建文件夹 在文件列表中进入指定的目录,然后单击新建文件夹,填入文件夹的名称,在当前路径新建文件夹。
上传 在文件列表中进入指定的目录,然后单击上传,并在弹出的对话框中选中本地PC上待上传的文件,将文件上传到当前进入的目录。
Note: 该操作要求当前用户拥有足够的配额空间。界面上方会标出已用空间:已用大小/配额大小,如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
下载 在文件列表中找到待下载的文件或文件夹,单击下载将文件下载到本地PC。如需批量下载,请勾选所有待下载的文件,并单击下方的批量下载,下载文件夹或批量下载文件,运维审计系统将使用zip压缩包打包。
删除 在文件列表中找到待删除的文件或文件夹,单击...,在下拉菜单中选择删除,并单击确认。如需批量删除,请勾选所有待删除文件,并单击下方的批量删除
重命名 在文件列表中找到待重命名的文件或文件夹,单击...并在下拉菜单中选择重命名,在对话框中输入新的文件名并单击确定。新的文件名必须是一个长度为1~100的字符串,不能以“.”开头且不能包含“\”或“/”。
移动至 在文件列表中找到待移动的文件,单击...并在下拉菜单中选择移动至,在弹出的对话框中选择目的路径。如需批量移动,请勾选所有待移动的文件,并单击下方的移动至。文件夹不能进行移动。
分享文件 在文件列表中找到待分享的文件,单击...并在下拉菜单中选择分享文件,在弹出的对话框中输入有效时长(天),取值范围为1~30天。单击确定后,会弹出分享链接及密码。已分享的文件可以单击...并在下拉菜单中选择查看分享链接取消分享
获取分享的文件 获取分享文件的用户必须具有文件传输权限。用户接收到分享链接和密码之后,请按以下操作获取文件:
  1. 使用自己的帐号登录Web。
  2. 在同一浏览器中新建页签,输入分享链接,并跳转到该链接。
  3. 页面跳转后将弹出密码输入框,请输入分享文件的密码。
  4. 单击保存至将该文件保存至运维审计系统上自己的文件空间中,或单击下载,将文件下载到本地。

6.1.2 SFTP工具传输

运维审计系统支持使用SFTP工具,建立本地PC和目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。

使用SFTP工具传输文件,有两种方法:
  • 在Web界面中启动SFTP会话:支持Filezilla。
  • 通过SFTP工具直连目标资产:支持Filezilla或其他可用的SFTP工具。建议使用FileZilla,使用其他SFTP客户端可能存在一些兼容性问题。必须提前获取了目标资产的IP地址和登录帐号名称。

本文以Filezilla为例进行介绍。

6.1.2.1 在Web界面中启动SFTP会话

  1. 参考通过Web界面访问(客户端方式),建立到目标资产的访问协议为SFTP的会话。




    Note: 建立SFTP会话时,如需要使用未托管密码的帐号,请选择any
  2. 弹出工具窗口后,在左侧进入下载目标路径或在右侧进入上传目标路径。




  3. 上传或下载文件。
    以上传文件为例,在左侧选中待上传的文件后,单击上传



    Note: 单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。因超出大小限制而上传失败时,已上传的文件会被自动删除;因超出大小限制而下载失败时,会在本地生成一个空的文件。

6.1.2.2 通过SFTP工具直连目标资产

  1. 打开SFTP工具,如Filezilla。
  2. 在上方输入会话参数,并单击快速连接
    • 主机:运维审计系统的IP地址。
    • 端口号:22
    • 用户名:按照以下格式输入:运维审计系统上的用户名/目标资产的IP地址/目标资产上的帐号名
    • 密码:运维审计系统登录用户名对应的密码
    Note: 例如,运维审计系统的IP为10.10.33.23,用户名为opt,目标主机的IP为10.10.33.30,可以访问的帐号为root,已在运维审计系统上托管了密码。则输入的主机名为10.10.33.23,输入的用户名为opt/10.10.33.30/root。
    Note: 对于IPv6地址,填写如下:
    • 当主机名(运维审计系统地址)使用IPv6地址时,FileZilla中填写主机名必须加中括号,例如[fc00:1010:32::10]
    • 当用户名中的目标资产地址使用IPv6地址时,统一不加中括号,例如admin/fc00:1010:32::30/root




  3. 连接成功后,在左侧进入下载目标路径或在右侧进入上传目标路径。
  4. 上传或下载文件。
    Note: 单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。因超出大小限制而上传失败时,已上传的文件会被自动删除;因超出大小限制而下载失败时,会在本地生成一个空的文件。

6.1.3 SFTP命令传输

当本地PC为Mac时,用户可以在命令行中使用sftp命令传输文件。

  1. 在命令行中,输入sftp命令连接到目标资产。
    sftp 运维审计系统上的用户名/目标资产的IP地址/目标资产上的帐号@运维审计系统的IP地址
    Note: 例如,运维审计系统的IP为10.10.33.23,用户名为opt,目标主机的IP为10.10.33.30,可以访问的帐号为root,已在运维审计系统上托管了密码。则输入sftp opt/10.10.33.30/root@10.10.33.23
    Note: 对于IPv6地址,主机名使用IPv6地址时必须加中括号,目标资产使用IPv6地址时必须不加中括号,例如sftp admin/fc00:1010:32::30/root@[fc00:1010:32::1]
  2. 输入运维审计系统登录用户名对应的密码。
    运维审计系统和目标资产的用户名密码均验证通过后,本地PC到目标主机之间的SFTP字符会话建立成功。



  3. 使用get下载文件或使用put命令上传文件。
    get 待下载文件的源路径(远端) 待下载文件的目标路径(本地)
    put 待上传文件的源路径(本地) 待上传文件的目标路径(远端)




6.1.4 ZMODEM传输

用户可以在建立到资产的字符会话后,使用rz和sz命令上传/下载文件。

ZMODEM是一种使用字符会话传输文件的协议,支持在字符终端上使用rz、sz命令。使用rz、sz命令,需要在服务端上安装lrzsz包,该包是一个第三方软件包,请自行下载。例如,CentOS系统可以通过yum install lrzsz命令直接下载并安装。

MacOS自带的Terminal终端不支持ZMODEM传输;iTerm2支持ZMODEM传输需要下载并安装iterm2-zmodem插件。

  1. 通过Web界面访问(客户端方式)通过SSH客户端直连访问,建立字符会话。
  2. 上传文件到资产。
    1. 进入待上传文件的目录,执行rz命令。
      cd 待上传文件的目录
      rz
    2. 在弹出的对话框中,选中本地待上传的文件,并单击打开
      进度条达到100%后,完成文件的上传。
  3. 下载文件到本地。
    1. 进入待下载文件所在的目录,执行sz命令。
      cd 待下载文件所在的目录
      sz 待下载文件的文件名
    2. 在弹出的对话框中,选中文件下载的目标路径,并单击确定
      进度条达到100%后,完成文件的下载。

6.2 向Windows资产传输文件

运维审计系统支持通过剪贴板/磁盘映射和网盘方式,实现本地PC和Windows资产之间传输文件。

下表列出了不同传输方式的比较,请用户根据自己的实际情况选择。

表6.2 不同文件传输方式的比较
传输方式 描述 依赖软件
剪贴板/磁盘映射 通过mstsc方式建立RDP会话时使用。 RDP客户端
HTML5网盘 使用web方式建立RDP会话时使用。

6.2.1 剪贴板/磁盘映射方式传输

本地PC与Windows主机之间的文件传输,可以在启动RDP会话时选择启用磁盘映射。

通过剪贴板/磁盘映射向Windows资产传输文件必须满足以下条件:
  • 使用磁盘映射,需要管理员配置的权限中允许使用磁盘映射的上行/下行。
  • 需要将图形会话配置中的RDP启动方式设置为mstsc。如需修改配置,请参见修改图形会话配置
Mac系统中向Windows资产传输文件,不同客户端各自限制如下:
功能 RDC MRD
磁盘映射 从Web界面启动和客户端直连时,均支持磁盘映射 仅客户端直连时支持磁盘映射,从Web界面启动时不支持
剪贴板 不支持使用剪贴板复制粘贴文件,仅支持复制粘贴文本 支持使用剪贴板复制粘贴文件和文本
  1. 通过Web界面访问资产通过RDP客户端访问资产
    Note: 通过Web界面启动会话需要选择磁盘映射目录;通过RDP客户端启动会话需要在客户端中勾选磁盘映射。具体请参考通过RDP客户端直连访问
  2. 使用剪贴板。
    通过复制粘贴,在图形会话窗口和本地PC之间传输文件。







  3. 使用磁盘映射。
    1. 打开Windows资产管理器,找到映射的磁盘,名称显示为本地PC名称 上的 目录,如iMac 上的 Docume1
    2. 进入该磁盘,将该磁盘和目标主机本地磁盘之间的文件进行复制粘贴操作,以实现文件传输。




6.2.2 网盘传输

通过网盘向目标Windows资产传输文件必须满足以下条件:
  • 目标资产和本地PC类型都必须为Windows。
  • 需要将图形会话配置中的RDP启动方式设置为web
  • (请和配置管理员确认)用户具有目标资产的访问权限和文件传输权限,且传输的单文件大小没有超过单文件大小上限。
    Note: 使用IE浏览器时,即使有没有超过当前允许上传的单文件大小限制,但由于浏览器的限制,也最多只能上传大小不超过3.5G的单个文件。
  • 用户拥有足够的文件传输配额。
    Note: 文件传输配额请在工作台 > 文件传输 > 文件管理 > 我的文件中查看,界面上方会标出已用空间:已用大小/配额大小。如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
通过网盘向目标Windows资产传输文件时,需要注意:
  • 如果目标资产使用低版本的操作系统(例如Windows Server2003),那么不支持网盘挂载。
  • 帐号名中含有Windows不支持的字符时,无法进行网盘挂载。
  • 如果目标资产在组策略中(本地组策略编辑器 > 计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向),启用了不允许剪贴板重定向不允许驱动器重定向,那么不支持网盘挂载。
  • 不支持重命名网盘上的文件和文件夹。
  1. 登录Web界面。
  2. 通过网盘中转,上传本地文件到运维审计系统
    1. 选择工作台 > 文件传输 > 文件管理 > 我的文件
    2. 单击上传,将本地文件上传到网盘。




    3. 通过Web方式登录Windows资产,相关操作请参见“Web配置指导”中的“通过Web界面建立会话”。
      通过Web方式登录Windows资产后,目标资产上会自动挂载网盘(如下图红框所示)。网盘可以当做目标资产上的一个磁盘,通过Windows中的复制/粘贴即可实现文件传输。



    4. 双击进入网盘,通过复制粘贴,将已经上传到网盘的文件传输到目标资产。
  3. 通过网盘中转,下载资产上的文件到本地PC。
    1. 双击进入网盘,通过复制粘贴,将目标资产上的文件中转到网盘。
    2. 选择工作台 > 文件传输 > 文件管理 > 我的文件
    3. 单击下载或选择多个文件后,单击批量下载,将文件下载到本地PC。




7 工单

运维审计系统上可以通过工单申请资产权限、资产密码。

操作员可以提交以下类型的工单,不同类型的工单对使用人和审批人的要求如表7.1 工单申请人、使用人和审批人的要求所示。

表7.1 工单申请人、使用人和审批人的要求
工单类型 使用人 审批人
资产权限 用户具有访问资产权限。 由超级管理员指定的审批人名单中的用户。如未指定,则为所有配置管理员。
资产密码 用户具有工单权限。 同上

申请人提交工单后,审批人会收到通知;审批人审批工单后,申请人、使用人也会收到通知。运维审计系统支持以下通知方式。

  • 消息:用户登录Web界面后,单击右上角的查看通知消息。



  • 邮件:如果已配置用户的工作邮箱,用户会收到通知邮件。
申请人可以在待办工单已办工单中查看工单详情:
  • 申请人已提交申请的但未完成审批的工单,将显示在工单 > 工单管理 > 待办工单中。
  • 申请人已提交申请且已完成审批的工单,将显示在工单 > 工单管理 > 已办工单中。




7.1 申请资产

用户可以通过工单来申请资产的访问权限。

图7.1 资产权限工单处理流程




  1. 选择工单 > 工单管理 > 新建工单,单击申请资产对应的




  2. 设置申请工单各参数,完成后单击提交




    参数 说明
    工单标题

    工单的标题。字符串格式,长度范围是1~30个字符。

    工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。

    操作类型 用户要申请的操作类型,取值包括日常维护定期巡检
    申请理由 工单的申请理由。字符串格式,长度范围是0~512个字符。
    开始时间/结束时间

    权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为:

    • 开始时间:当前时间点。
    • 结束时间:当前时间点+1天。

    开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。

  3. 单击资产对应的,选中要添加权限的资产,然后在系统帐号中选择帐号,单击添加
    • 一次最多能够选择100个资产,如果要添加权限的资产数大于100,请分批添加。
    • 一个资产一次只能选择一个帐号,如果要申请一个资产的多个帐号的权限,请重复执行本步骤。




  4. 配置访问协议。
    缺省情况下,运维审计系统选中的是全部协议。如果需要更精细化的管理,请选中指定协议,并配置允许的访问协议,协议包括SSHTelnetRDPXDMCPVNCXFWD
  5. Optional: 如果需要在高危命令的配置中,允许工单申请资产的使用人执行某些命令,请填写放行命令,多条命令之间用回车分隔。
    Note: 放行命令可以直接填写完整的命令,例如crontab -l,也可以填写命令的正则表达式,例如rm -rf.*。此处放行的命令相当于在命令模板中配置对应的命令为允许,并将有着比高危命令配置更高的优先级。
  6. 单击使用人对应的,选中要添加权限的用户,单击添加




  7. 单击提交
    Note:
    • 如果暂时不提交,请单击保存为草稿,下次在草稿箱中打开工单继续填写、提交。
    • 用户还可以单击保存为模板,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
  8. Optional: 超级管理员如手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。




申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统将用户和所选资产、帐号关联。

执行结束后,运维审计系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的帐号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。





完成审批后,最后一层审批人可以对该工单执行撤销操作。撤销后,工单状态显示为已完成,使用人将无法访问该资产。

7.2 申请密码

用户可以通过工单来申请资产帐号的密码。

图7.2 密码工单处理流程




  1. 选择工单 > 工单管理 > 新建工单,单击申请密码对应的




  2. 设置申请工单各参数,完成后单击提交




    参数 说明
    工单标题

    工单的标题。字符串格式,长度范围是1~30个字符。

    工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。

    开始时间/结束时间

    使用密码的开始时间和结束时间。开始时间和结束时间的缺省值为:

    • 开始时间:当前时间点。
    • 结束时间:当前时间点+1天。

    开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。

  3. 单击资产对应的,选中要申请密码的资产,然后在系统帐号中选择帐号,单击添加
    Note:
    • 一次最多能够选择100个资产,如果要申请密码的资产数大于100,请分批添加。
    • 运维审计系统不支持为应用系统资产申请密码,这些资产将不显示。
    • 系统帐号中显示资产上的所有帐号,但正在使用中的帐号不能添加。正在使用中的帐号是指其他密码申请工单中已申请的帐号且还在使用时间范围内。
    • 一个资产一次只能选择一个帐号,如果要申请一个资产的多个帐号的密码,请重复执行本步骤。
    • 对于使用Windows域的资产,申请的是域账号的密码,例如图中未显示Windows资产,只能勾选资产帐号所在的example域。




  4. 选择密码是否分段。
    • 如果申请人就是密码使用人,请选择。工单审批完成后申请人会收到通知邮件。
    • 如果申请人不是密码使用人,请选择,并设置前段密码用户后段密码用户。工单审批完成后,两段密码的用户都会收到通知消息和通知邮件。




  5. 单击提交
    Note:
    • 如果暂时不提交,请单击保存为草稿,下次在草稿箱中打开工单继续填写、提交。
    • 用户还可以单击保存为模板,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
  6. Optional: 超级管理员如手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。




  • 密码不分段

    申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给申请人。

    工单中填写的开始时间到期后,申请人在已办工单中执行以下操作获取密码。





    1. 单击工单对应的解压密码,输入登录帐号对应的密码,单击确定。用户会获取到解压密码,请牢记该密码。
    2. 单击下载密码,将压缩的密码文件保存到本地PC,然后解压缩密码文件(需要输入解压密码),用户即可获取指定资产指定帐号的密码(Excel文件)。
  • 密码分段

    申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给前段、后段密码用户。

    两段密码的用户分别在已办工单中执行以下操作获取分段密码,最后将两段密码拼接成完整的密码。

    1. 单击工单对应的解压密码,输入登录帐号对应的密码,单击确定。用户会获取到解压密码,请牢记该密码。
    2. 单击下载密码,将压缩的密码文件保存到本地PC,然后解压缩密码文件(需要输入解压密码),用户即可获取指定资产指定帐号的密码(Excel文件)。
      Note: 下载获得的ZIP压缩文件,无法使用MacOS自带的归档实用工具或unzip、winrar等命令行工具解压。建议使用keka等压缩软件解压,或在Windows PC上解压。

工单结束时间到期后,工单状态变为已完成,解压密码入口消失。如果帐号配置了改密计划,运维审计系统对该帐号改密。

审批完成后,最后一层审批人可以对该工单执行撤销操作。撤销后,解压密码入口消失,工单状态显示为已完成,使用人将无法访问该资产。

7.3 审批工单

工单的默认审批人是配置管理员。仅当超级管理员手动指定了某种类型的工单的审批人名单,且名单中包含操作员时,操作员才能审批工单。

  1. 登录运维审计系统的Web客户端后,请单击左上角收到的工单审批的提醒中的查看详情




    Note: 也可以直接选择工单 > 工单管理 > 待办工单,并单击详情查看待审批的工单。
  2. 查看工单的具体内容后,如果同意,请单击批准,然后单击确定;如果不同意,请单击驳回,然后填写拒绝理由,完成后单击确定




  3. Optional: 批准工单后,如果超级管理员设置了多级审批,存在下一级审批人,且下一级审批人为超级管理员指定的审批人时,需要从下一级审批人名单中勾选一个或多个审批人。这些审批人将会收到提示并由其中之一继续完成审批。




  4. Optional: 审批通过后,针对申请资产权限和申请密码这两种类型的工单,可由最后一层的审批人撤销已经生效的工单。选择工单 > 工单管理 > 已办工单,单击待撤销工单对应的详情,在弹出的工单详情页面中单击撤销按钮,完成撤销工单操作。




8 附录

8.1 客户端兼容性列表

8.1.1 AccessClient客户端兼容性列表

支持在以下操作系统中安装AccessClient:
  • macOS Sierra(10.12.6)
  • macOS Big Sur(11.6.2)

8.1.2 Web客户端兼容性列表

客户端名称 支持版本
Chrome Chrome49及以上
Firefox Firefox40及以上
Safari 建议使用最新的版本

8.1.3 字符会话客户端兼容性列表

下表中给出了特定操作系统下建议使用的客户端,这些客户端经过了充分的测试,请在遇到问题时直接安装该表格中建议的客户端。
表8.1 字符会话建议使用的客户端列表
操作系统 建议客户端
macOS Sierra(10.12.6)/macOS Big Sur(11.6.2)
  • 操作系统自带Terminal
  • iTerm2
Note: iTerm2仅能用于直连SSH交互终端,运维审计系统的Web界面不支持调用该软件。

8.1.4 图形会话客户端兼容性列表

MacOS使用的RDP客户端建议的版本及操作系统如下:
表8.2 MacOS的RDP客户端和操作系统建议版本
操作系统 建议版本
macOS Sierra(10.12.6)
  • RDC:Microsoft Remote Desktop Connection for Mac 2.1.1
  • MRD:Microsoft Remote Desktop for Beta 10.3.4
macOS Big Sur(11.6.2) MRD:Microsoft Remote Desktop for Beta 10.3.4
Note:
  • Microsoft Remote Desktop Connection for Mac 2.1.1客户端仅适用于MacOS 10.14及以前的版本;Microsoft Remote Desktop for Beta 10.3.4客户端仅适用于MacOS 10.12及以后的版本。两种客户端只能安装一个,否则访问时会存在问题。
  • MRD通过Web界面启动时不支持磁盘映射,仅直连访问时支持磁盘映射。

通过VNC协议、XDMCP协议和XFWD协议启动图形会话时,运维审计系统将直接通过Web方式启动,用户无需在本地PC中安装相关客户端。

8.1.5 文件传输客户端兼容性列表

表8.3 文件传输建议使用的客户端列表
操作系统 建议客户端
macOS 10.12.6
  • FileZilla 3.9.0.6
  • FileZilla 3.37.3

8.2 绑定手机令牌

仅当用户登录方式为手机令牌登录时,需要在首次登录时绑定手机令牌。

前提条件
绑定手机令牌,需要用户在自己的智能终端上安装TOTP应用,例如Google Authenticator或FreeOTP。下载方法如下:
  • 苹果手机:请在App Store中搜索“Google Authenticator或FreeOTP”,搜索到后直接安装即可。
  • 安卓手机:请在搜索引擎中搜索“Google Authenticator或FreeOTP”,下载apk文件后安装。FreeOTP推荐使用1.5(含)以上版本;Google Authenticator推荐使用5.1(含)以上版本。
本节以Google Authenticator为例进行介绍。
  1. 在浏览器中输入运维审计系统的Web界面的地址(https://运维审计系统的IP地址),请参考通过Web界面登录运维审计系统
  2. 输入帐号和第一重认证方式的密码,单击登录




  3. 打开手机上的Google Authenticator,单击开始,并在弹出的添加帐号页面单击扫描条形码
    Note: 只有第一次登录时需要进行扫码绑定。








  4. 使用Google Authenticator扫描运维审计系统登录界面出现的二维码,完成后单击完成绑定




    Note:
    • 绑定界面的二维码不会过期。
    • 如果无法扫码绑定,请单击手动输入,在客户端中输入16位的字符进行设备的绑定。



    完成绑定后,在Google Authenticator中将显示一个对应的令牌,包含运维审计系统的登录帐号。表明绑定成功。



  5. 单击完成绑定,完成手机令牌的绑定。
  • 如果用户更换手机或令牌遗失,请联系管理员设置下次登录时重新绑定手机令牌
  • 如无法使用已绑定的令牌登录,请联系管理员设置下次登录时重新绑定手机令牌,并在TOTP软件中删除该令牌,重新登录扫码,完成绑定。

完成绑定后,用户下次登录时将可以填写两步认证密码为手机令牌的密码,进行登录。并可以登录RDP和SSH客户端。

8.3 使用双因子认证

用户如使用双因子认证,在输入密码时,请参考本节指导完成输入。

Web界面、SSH交互终端、RDP客户端均支持使用双因子认证。

双因子认证有以下两种输入方式,请用户根据自己的实际情况进行选择。

8.3.1 分两次输入密码(推荐)

在密码输入框中输入第一重认证的密码,第一重认证通过后,在两步认证窗口中继续输入第二重认证的密码,并提交,进行第二重认证。

  • Web界面的两步认证界面如下:



    如使用短信认证,界面如下:



  • SSH交互终端的两步认证界面如下,请在2nd Password:提示符后继续输入第二重认证的密码,并按回车。



  • RDP客户端的两步认证界面如下:



8.3.2 使用组合密码

组合密码允许用户在同一密码输入框内直接输入第一重密码和第二重密码的组合,从而直接完成登录认证。

当使用SSH或RDP客户端时,如双因子认证的两种认证方式全都为静态密码时,可以保存会话,并将密码保存为组合密码,从而简化登录。其他情况下,不建议使用该密码输入方式。

如管理员禁用了组合密码功能,不能使用该方式,只能分两次输入密码。

组合密码的输入方式有以下两种。以第一重密码为abcdef,第二重密码为123456为例:
输入格式 说明 举例
第一重密码+空格+第二重密码 推荐使用该方式。 abcdef 123456
第一重密码+第二重密码 仅当第二重认证的密码为6位数字时,可使用该方式。 abcdef123456

8.4 通过Web界面登录运维审计系统(使用X.509证书认证)

仅当管理员设置了用户需要进行X.509证书认证时需要安装X.509证书。仅当进行Web界面登录时需要使用该证书。是独立于其他认证方式之外的另一重认证。

X.509证书与用户一一对应,请用户向管理员获取自己的X.509用户证书及对应的证书密码。用户证书是p12或pfx格式的加密证书,获取任意一种即可。

通过Web界面登录的环境要求请参考下表:

表8.4 通过Web界面登录的环境要求
项目 要求
操作系统

MAC OS。系统版本为Mac OS X 10.7或以上

浏览器
  • Mozilla Firefox 50及以上版本
  • Google Chrome 49及以上版本
显示器分辨率 建议最小为1280*1080(系统的缩放设置为100%时)。
Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
Chrome使用的是MacOS系统的证书体系,Firefox使用的是自己的证书体系。本节的操作步骤仅指导进行Chrome证书的安装导入。Firefox的证书导入,请在Firefox菜单的选项 > 隐私与安全 > 证书中单击查看证书,并将证书导入到个人页签中。

本节以Chrome浏览器为例,指导完成登录Web界面。

  1. 打开钥匙串,选择系统 > 证书
  2. 将获得的p12或pfx文件拖入该路径中。




  3. 在弹出的密码输入窗口中,输入导入的证书对应的密码,并单击。如证书无密码则留空。




  4. 在浏览器中输入运维审计系统的IP地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 登录时如出现以下界面 ,请选择继续前往(例如Chrome浏览器请单击高级 > 继续前往)。管理员如为运维审计系统配置了安全证书,用户也可以安装安全证书并刷新网页。




  5. 在弹出的选择证书窗口中选择对应的证书,并单击确定




  6. 输入帐号密码,单击登录




    Note:
登录成功后,进入运维审计系统的Web界面主页面。
管理员会对证书的匹配设置相关规则,例如绑定用户登录名、姓名或邮箱。如果用户自行修改了相关信息,将无法再使用已安装的证书,请向管理员重新申请制作证书。

8.5 安装安全证书

访问运维审计系统的Web界面时,如果提示证书错误,请安装运维审计系统的安全证书。

该操作要求 运维审计系统的超级管理员必须为运维审计系统正确配置了安全证书。

8.5.1 为FireFox浏览器安装证书

Firefox使用的是自己的证书体系,在添加安全例外(如下图所示)之后,Firefox将自动获取并导入证书。完成后,Firefox将会一直显示该连接不安全,但不影响访问。



8.5.2 为Safari浏览器安装证书

Chrome和Safari使用同一证书体系,在Chrome中将证书导出到文件并安装证书后,Safari也将不再提示证书错误。

如未安装证书,也可以在使用Safari访问运维审计系统时,按以下步骤自动安装证书。

  1. 访问运维审计系统的Web界面。收到安全提示后,单击访问此网站




  2. 收到确认提示后,继续单击访问网站




  3. 填写当前登录的Mac用户的用户名和密码,并单击更新设置




Safari将自动获取运维审计系统的证书并安装证书到Mac的钥匙串 > 登录 > 证书中。
Safari自动安装的证书,将仅设置加密套接字协议层(SSL)始终信任。必须将X.509基本策略也手动设置为始终信任后,Chrome访问才不会报证书错误。



8.5.2.1 为Chrome浏览器安装证书

Chrome和Safari使用同一证书体系,在Safari中自动安装证书,并将X.509基本策略也手动设置为始终信任后,Chrome也将不再提示证书错误。

本节介绍直接通过Chrome访问运维审计系统并安装证书的方式。

  1. 访问运维审计系统的Web界面,单击地址栏左侧的不安全提示,然后单击证书




  2. 拖动证书图标到Mac中的任一路径下,导出为cer证书文件。




  3. 双击导出的证书文件,在弹出的添加证书菜单中,选择钥匙串登录,并单击添加




    添加完成后,该证书将显示在钥匙串 > 登录 > 证书中:



    Note: 也可以直接在该界面中将证书拖入,或者选择导入项目导入该证书。
  4. 右键单击已导入的证书,选择显示简介




  5. 展开信任,并选择使用此证书始终信任




关闭信任菜单后,重新启动Chrome或Safari浏览器,访问运维审计系统的Web界面,将不再提示证书错误。
如导入证书并重启浏览器后,访问运维审计系统仍出现证书错误提示,请检查证书的内容。证书的使用者可选名称中,必须包含访问运维审计系统使用的IP地址。如无该信息,表明运维审计系统后台的证书配置有误,请联系超级管理员检查证书配置。



8.6 共享会话

用户可以通过运维审计系统将已打开的会话,共享给另一个用户,实现两人同时对同一个会话进行操作。

用户加入共享后,开启共享的用户不能取消对该用户的共享。但如果开启共享的用户关掉被共享的会话窗口,所有加入共享的用户的会话窗口都将被自动关闭。

会话共享有以下使用限制
  • 待共享的会话必须是通过Web界面或SSH客户端建立的会话。通过RDP客户端建立的会话,无法进行会话共享。
  • 会话共享列表中将不显示AS/400资产会话、SFTP会话和被复核的会话。
  • Web界面建立的RDP会话和应用系统会话,如需共享,访问方式必须设置为web方式。请在图形会话配置中修改。应用系统客户端如被管理员设置为使用RemoteAPP,也无法共享相关会话。

8.6.1 发起共享

  1. 通过Web界面访问(客户端方式)
  2. 在Web界面中选择工作台 > 访问资产 > 会话共享
  3. 单击共享,打开可共享的会话列表。




  4. 选择要共享的会话,单击邀请




  5. 在受邀人输入框中填入待邀请的用户名称,在下拉菜单中选中该用户,并单击确定,发送邀请给对应的用户。




    Note:
    • 发送邀请后,会话共享列表中将显示该共享会话。受邀人接受邀请之前,发起共享的用户可以单击撤销按钮取消邀请。如发起共享的用户在受邀人接受前关闭该会话或退出登录,邀请也将被自动取消。



    • 受邀人接受邀请之后,发起共享的用户如刷新列表,将看到该会话的操作一栏为正在加入,并在加入成功后显示为已加入



8.6.2 加入共享

受邀人收到共享邀请后可以选择加入会话共享。

  1. 通过Web界面登录运维审计系统
  2. 在右上角单击消息提醒图标,可以看到收到的会话共享邀请。单击查看详情,将跳转到会话共享界面。也可以直接选择工作台 > 访问资产 > 会话共享进入该界面。




  3. 在会话共享列表中找到该条邀请,单击加入,加入到被共享的会话中。




    Note: 受邀人可以随时关闭被共享的会话窗口(不包括在字符会话中执行exit断开会话),不影响共享发起人和其他受邀人的会话。但再次加入需要共享发起人再次邀请。
新华三官网
联系我们