H3C SecPath A2000-G[AK][V][Cloud]系列运维审计系统 操作员手册(Windows)(E6111 E6112)-5W104

手册下载

目 录

1 关于本文档

1.1 格式约定

2 快速开始

3 登录和访问

3.1 通过Web界面访问

3.1.1 通过Web界面登录运维审计系统

3.1.2 安装AccessClient

3.1.3 访问资产

3.2 通过SSH方式访问

3.2.1 通过SSH客户端访问资产

3.2.1.1 登录到运维审计系统后查找并访问资产

3.2.1.2 直接访问资产

3.2.1.3 通过SSH执行命令

3.3 通过RDP方式访问

3.3.1 通过RDP客户端登录运维审计系统

3.3.2 访问资产

3.3.2.1 登录到运维审计系统后查找并访问资产

3.3.2.2 穿透访问资产

4 高危操作

4.1 执行高危操作

4.1.1 执行高危操作(普通方式)

4.1.2 执行高危操作(操作员自行复核)

4.2 复核会话

4.3 复核命令

4.3.1 在Web界面复核命令

4.3.2 在会话窗口复核命令

5 文件传输

5.1 向Linux/Unix资产传输文件

5.1.1 网盘传输

5.1.1.1 上传文件

5.1.1.2 下载文件

5.1.1.3 管理文件

5.1.2 SFTP工具传输

5.1.2.1 在Web界面中启动SFTP会话

5.1.2.2 通过SFTP工具直连目标资产

5.1.3 SFTP命令传输

5.1.4 ZMODEM传输

5.2 向Windows资产传输文件

6 工单

6.1 申请资产

6.2 申请密码

6.3 审批工单

7 个人帐号设置

7.1 修改个人设置

7.1.1 设置基本信息

7.1.2 修改密码

7.1.3 设置操作员默认展示页面

7.2 修改会话配置

7.2.1 修改字符会话配置

7.2.2 修改图形会话配置

7.2.3 修改文件传输配置

7.3 配置密钥

8 附录

8.1 绑定手机令牌

8.2 使用双因子认证

8.2.1 分两次输入密码(推荐)

8.2.2 使用组合密码

8.3 通过Web界面登录运维审计系统(使用USB Key控件)

8.4 通过Web界面登录运维审计系统(使用X.509证书认证)

8.5 安装安全证书

8.6 共享会话

8.6.1 发起共享

8.6.2 加入共享

1 关于本文档

本文档是面向运维审计系统的操作员的操作指导手册。

操作员是运维审计系统的普通用户,拥有登录运维审计系统并进行资产访问等基本功能的权限。本文将指导操作员完成在运维审计系统上可以进行的这些基本操作。

如需使用其他角色的功能,或需要查看更多详细的指导,请参考运维审计系统的用户手册和重要功能的典型配置指南。

1.1 格式约定

格式 说明
粗体 各类界面控件名称采用加粗字体表示,如单击确定
> 多级菜单用 > 隔开。如选择用户管理 > 用户列表,表示选择用户管理菜单下的用户列表子菜单。

2 快速开始

操作员可以通过本节内容快速了解在运维审计系统上的基本操作。如操作过程中遇到问题,或涉及较复杂的登录/认证过程或其他进阶操作,请查阅后续章节中的详细指导。

本节以使用浏览器登录到运维审计系统的Web界面并访问一个Windows资产为例,指导操作员快速完成在运维审计系统上的操作。

  1. 在浏览器地址栏中输入运维审计系统的IP地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 如出现安全提示,请选择继续前往或添加例外。
  2. 输入帐号密码,单击登录




  3. 选择工作台 > 访问资产,进入资产访问界面。




  4. 根据提示单击下载并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击已安装进行忽略。




  5. 在左侧导航栏中,选择动态视图中的具体节点,例如选择Windows。选择节点后可以在右侧查看该节点下的资产。




  6. 单击访问,设置使用的系统帐号,例如选择已托管密码的administrator帐号,并单击启动




在弹出的远程桌面或网页窗口中,用户将看到该资产的桌面并可以在上面进行远程操作。对于其他类型的资产,将通过相应协议的客户端建立会话。



3 登录和访问

运维审计系统支持使用Web界面、RDP客户端和SSH客户端三种登录方式登录并访问资产。

运维审计系统用户的登录支持以下几种认证方式,每个用户都由管理员设置了其中一种认证方式。如用户不清楚自己的登录方式和密码,请和管理员确认自己的登录认证方式,并获取对应的密码。
表3.1 身份认证方式
认证方式 获取密码 说明
静态密码 向管理员获取密码 使用本地密码或AD/LDAP服务器对应的用户密码。
RADIUS认证 向管理员了解密码获取方式 通过用户公司/机构的内部RADIUS认证系统获取RADIUS口令。
动态令牌 向管理员获取动态令牌和PIN1码。 使用分配的动态令牌生成的动态密码。按下动态令牌的按钮打开或关闭动态令牌,请在令牌左侧倒计时走完之前完成输入。

输入的密码前半段是“PIN1码”,后半段是绑定的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。

手机令牌 初次登录时绑定手机令牌,后续使用该令牌生成密码 使用FreeOTP等TOTP软件绑定并生成的动态密码。

需要先绑定手机令牌

短信认证 使用配置的手机号接收密码短信 使用收到短信中的动态密码。

需要先设置手机号

如未受到短信,请在倒计时结束后单击重新发送验证码
USB Key认证 向管理员获取USB Key、认证插件和USB Key密码 仅用于登录Web界面,使用该认证方式的用户不能登录RDP客户端和SSH交互终端。使用管理员分配的USB Key设备登录Web界面。

请参考通过Web界面登录运维审计系统(使用USB Key控件)

双因子认证 - 使用以上其中两种认证方式的组合。需要分别使用两种认证的密码完成认证。

请参考使用双因子认证

X.509证书认证 向管理员获取用户证书 仅用于登录Web界面。是独立于以上认证方式之外的额外一重认证。

请参考通过Web界面登录运维审计系统(使用X.509证书认证)

密钥认证 自行配置 仅用于登录SSH交互终端。使用密钥认证将代替其他认证方式。用户可以自行配置,请参考配置密钥

3.1 通过Web界面访问

Web界面是运维审计系统最主要的访问入口。用户可以通过Web界面完成操作员的所有日常操作。本文档主要介绍用户在Web界面上的操作。

3.1.1 通过Web界面登录运维审计系统

请参考表3.1 身份认证方式准备登录所需的密码。

通过Web界面登录运维审计系统的环境要求请参考下表:

表3.2 通过Web界面登录运维审计系统的环境要求
项目 要求
操作系统

Windows XP SP3及以上版本。

浏览器
  • Microsoft Internet Explorer 11.0及以上版本
  • Mozilla Firefox 50及以上版本
  • Google Chrome 49及以上版本
显示器分辨率 建议最小为1280*1080(系统的缩放设置为100%时)。
Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
Note: 如果需要在IE早期版本(6/7/8/9)中使用,请使用其他浏览器登录Web界面后在帮助 > 浏览器支持 > IE 6/7/8/9中下载IE浏览器插件,或直接向管理员获取该插件。

本节以IE11浏览器为例,指导完成登录到运维审计系统的Web界面。

  1. 在浏览器中输入运维审计系统的IP地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 登录时如出现以下界面 ,请选择继续前往(例如IE浏览器请单击详细信息 > 转到此网页(不推荐))。管理员如为运维审计系统配置了安全证书,用户也可以安装安全证书并刷新网页。



  2. 输入帐号密码,单击登录




    Note:
登录成功后,进入运维审计系统的Web界面主页面。
  • 在任一界面单击左上角的H3C,可以回到首页。
  • 在任一界面单击上方的工作台,可以切换到不同的服务项。
  • 单击右上角的用户帐号名称(例如操作员),可以打开帐号设置访问记录帮助菜单,或退出登录。




3.1.2 安装AccessClient

在使用运维审计系统访问资产时,除了通过Web方式建立图形会话,其他场景下运维审计系统都会通过AccessClient打开客户端并建立会话。

如本地PC未安装AccessClient,进入访问资产菜单后,浏览器上方也会提示安装AccessClient,也可根据该提示单击下载并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击已安装进行忽略。



如本地PC已安装旧版本的AccessClient,需要升级AccessClient,升级AccessClient前需要先删除已安装的包。
本节指导完成在帮助中下载并安装AccessClient。
  1. 通过Web界面登录运维审计系统
  2. 单击右上角单击帐号名称,在下拉菜单中选择帮助




  3. AccessClient > 下载页面,单击下载,将AccessClient下载到本地。




  4. 双击运行AccessClient,并单击Install进行安装。

3.1.3 访问资产

运维审计系统支持访问的资产包含主机、网络设备、数据库和应用系统资产。

通过Web界面访问主机/网络设备时,如通过mstsc方式(在修改图形会话配置中设置)访问Windows主机,需要在本地PC上安装RDP客户端;如建立字符会话,需要在本地PC上安装字符客户端,使用的字符客户端类型在修改字符会话配置中设置。
Web界面对RDP客户端和字符客户端的要求如下:
表3.3 运维审计系统的Web界面支持的RDP客户端和字符客户端
访问资产类型 要求
Windows(mstsc方式)

mstsc客户端(Windows默认安装)5.1及以上

Linux、HP Unix、IBM AIX、网络设备
  • Putty0.58及以上
  • Xshell4.0及以上
Note: AccessClient自带Putty。
AS/400 pcomm5.0(CN)、pcomm5.8(CN)
用户在Web界面的访问资产界面中查找资产,有以下几种方式:
  • 直接查找:在左侧导航栏中,选择动态视图中的具体节点并查看节点下的资产。
  • 快速搜索:在动态视图选择节点后,如资产仍较多,在搜索框中输入资产名称/IP/简要说明/系统帐号的全部或一部分进行模糊查找。



    Note: 快速搜索支持正则匹配,且可以通过多关键字进行搜索,多关键字之间通过空格分隔。
    • 资产名称的条件关系是与,即资产名称输入10 web,则筛选出资产名称同时包含“10”和“web”的资产。
    • IP地址的条件关系是或:资产的IP地址输入10.10.16.21 10.10.16.22,则筛选出资产的IP地址包含“10.10.16.21”或者“10.10.16.22”的资产。
    • 简要说明不支持多关键字搜索。

    域名不支持多关键字检索。

  • 高级筛选:在动态视图选择节点后,如资产仍较多,单击下拉框选择高级筛选,设置筛选条件后单击筛选



    Note: 高级搜索支持正则匹配,且可以通过多关键字进行搜索,多关键字之间通过空格分隔。
    • 资产名称的条件关系是与。
    • IP地址不支持多关键字搜索。
    • 简要说明的条件关系是与。

    域名不支持多关键字检索。

  • 在最近访问中查找:单击访问资产后,选择最近访问页签。



  • 收藏并查找:对资产单击收藏后,单击访问资产并选择最近访问页签,查看收藏。



查找到资产并启动访问后,运维审计系统将启动对应的客户端并建立字符或图形会话。会话的全局设置请参考修改会话配置进行修改。

本节以Windows主机为例,指导完成资产访问。但将对所有资产涉及的参数进行说明。

  1. 通过Web界面登录运维审计系统
  2. 单击工作台 > 访问资产,并找到待访问的资产。




  3. 单击访问并设置启动参数。




    表3.4 配置会话参数
    参数 说明
    系统帐号 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的帐号。有以下几种类型:
    • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产,请操作员自行确保该帐号在待访问资产上存在。
    • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
    • 运维审计系统上已添加的资产帐号名称,例如root运维审计系统使用该帐号登录到资产设备。
    Note:
    • 帐号名称之前有*,表示该帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。
    • 当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
    客户端 仅当访问的资产是数据库、应用系统时需要配置。

    用于选择使用哪种客户端打开对应的资产。

    屏幕大小 仅当满足以下条件时显示该参数:
    • 帐号设置中RDP会话使用mstsc方式启动。
    • 待访问的资产为Windows主机或应用系统。
    • 访问应用系统时,管理员设置了不使用RemoteAPP。

    用于选择打开的远程会话的屏幕的分辨率。

    磁盘映射 仅当满足以下条件时显示该参数:
    • 帐号设置中RDP会话使用mstsc方式启动。
    • 待访问的资产为Windows主机或应用系统。
    用于标识是否启用磁盘映射并选择磁盘映射的磁盘驱动器。

    启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。

    启用Console连接

    仅当管理员设置了显示该参数时才会显示。

    仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
  4. 确认配置无误后,单击启动建立远程会话并打开。




    Note:
    • 当使用Telnet/SSH/SFTP访问资产时,运维审计系统如找不到对应类型的客户端,将弹出窗口,请在该窗口中选择本地PC上安装的Telnet/SSH/SFTP客户端并启动会话。客户端类型请参考修改字符会话配置进行设置。
    • 当使用VNC连接或使用其他Web方式的访问时,将会打开新的网页窗口。请允许该弹出窗口,以下为Chrome浏览器中的操作:



    • 使用VNC连接,启动后需要继续输入在待访问资产的VNC server上设置的VNC远程连接的密码。如配置资产时已托管了VNC密码,直接勾选使用已设置密码,并单击启动。



    • 使用XFWD连接,如初始登录到xterm字符终端,请输入待启动的图形/字符工具的路径,如/usr/bin/xfce4-session/usr/bin/xfce4-terminal,打开图形或字符会话。



    • 如管理员设置了启动会话时必填或可填备注,请输入备注后并单击启动。备注是一个1~100长度的字符串。



    • 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作
    • 建立会话后,可将会话共享给其他用户,请参考共享会话

3.2 通过SSH方式访问

用户如果需要快速访问允许通过SSH或者Telnet访问的资产,可以使用SSH登录运维审计系统的交互终端。

3.2.1 通过SSH客户端访问资产

通过SSH客户端登录运维审计系统后仅能查看并访问当前用户可通过SSH/Telnet访问的资产,即类Unix资产。

请参考表3.1 身份认证方式准备登录所需的密码。

通过SSH客户端登录运维审计系统的环境要求请参考下表:

表3.5 通过SSH客户端登录运维审计系统的环境要求
项目 要求
操作系统

Windows XP SP3及以上版本。

SSH客户端
已安装了以下客户端软件之一:
  • Xshell4.0及以上
  • Putty0.58及以上
通过运维审计系统的SSH交互终端访问资产有三种方式:
  • 先通过SSH客户端登录运维审计系统,在运维审计系统找到待访问的资产后再建立字符会话进行访问。
  • 穿透访问,即直接建立到待访问资产的字符会话。必须提前知道待访问资产的IP地址和登录帐号,且运维审计系统上必须已托管了相应资产帐号的密码。用户也可以通过该方法将连接保存到本地,从而快速访问。
  • 通过SSH远程执行命令。一般用于脚本中,仅执行单条命令,执行完后断开连接。

如登录帐号被管理员在运维审计系统上设置了下次登录时必须修改密码,请先通过Web界面登录并重设密码;如使用手机令牌登录但未绑定令牌,请先完成绑定手机令牌,然后再登录SSH交互终端,否则将登录失败。

3.2.1.1 登录到运维审计系统后查找并访问资产

本节以Putty为例,指导完成登录运维审计系统
  1. 打开Putty工具。
  2. Putty Configuration菜单中,左侧导航选择Session,设置以下参数。
    • Host Name:主机名,运维审计系统的IP或者域名。
    • Port:端口号,22。
    • Connection Type:连接方式,选择SSH




  3. Optional: 在左侧导航选择Window > Translation,设置终端的编码格式,和运维审计系统保持一致。
    运维审计系统交互终端编码类型默认为GB18030,如被管理员修改,请询问管理员。如编码类型不一致,登录后会显示为乱码。
    Note: Putty默认的编码类型中没有GB18030,设置为Use font encoding即可。




  4. Optional: 如使用密钥登录,设置用于登录的密钥。
    Note: 登录前需要先完成配置密钥。对于Putty,只支持ppk格式的密钥,需要使用puttygen工具将用户的私钥转换为ppk格式。

    在左侧导航选择Connection > SSH > Auth,单击Browse,设置用于登录的ppk密钥。





  5. 设置完成后,单击下方的Open,打开连接。




    通过SSH客户端登录运维审计系统后,可以执行以下常用操作:
    表3.6 SSH交互终端常用操作
    使用场景 输入 说明
    最外层资产分类列表菜单 q 退出登录运维审计系统
    l 切换语言(从中文到英文,或从英文到中文)
    r 重新加载数据
    /设备IP、名称或说明 过滤设备
    目标资产列表菜单 i 按IP排序
    a 按设备名称排序
    /设备IP、名称或说明 过滤设备
    任意子菜单 直接按回车键 返回上一级菜单
    断开到设备的会话后 直接按回车键 回到资产分类列表菜单
    r 重新连接到已断开的会话
    q 退出登录运维审计系统
  6. 根据提示输入待访问资产所在的资产分类编号,并按回车键确定。
    资产分类列表
    序号: 资产分类
    0: 全部资产
    1: 资产组1
    2: 资产组2
    请选择资产分类:1
    Note: 资产分类会根据字符会话配置中的直连分类方式进行展示。上图中是按资产组进行分类。如果不存在可用分类,连接后将直接进入未分类资产列表中;如只存在一个可用分类,连接后将直接进入该分类。
  7. 根据提示输入待访问的资产的序号、IP地址或名称,并按回车键确定。
    已选择:资产组1
    目标资产列表
    序号: IP 地址 名称(说明) *
    1: 10.10.33.30 CentOS7
    2: 10.10.33.130 CentOS7-2
    请选择目标资产:1
  8. 根据列出的登录帐号列表,输入访问资产要使用的帐号的序号或完整帐号名称(含协议名称),并按回车键确定。建立字符会话。
    已选择:资产组1 > CentOS7(10.10.33.30)
    登录帐号列表
    序号: 帐号名
    1: any
    2: * root
    3: self
    请选择登录帐号:2
    Note:
    • 帐号列表说明如下:
      • self:同用户帐号。使用和当前登录运维审计系统的帐号同名的帐号登录资产,请操作员自行确保该帐号在待访问资产上存在。
      • any:登录时提供。运维审计系统仅连接到资产的登录界面,不自动输入帐号名称和密码,由访问者手动填写。
      • 运维审计系统上已添加的资产帐号名称,例如root运维审计系统使用该帐号登录到资产设备。
    • *表示该帐号的密码已在运维审计系统上托管,将无需输入密码直接登录。
    • 当选择的帐号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的帐号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名帐号。
    • 如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。备注是一个1~100长度的字符串。
      Connecting to root@CentOS7(10.10.33.30) ...
      请输入备注:备注内容
    • 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作

3.2.1.2 直接访问资产

该方式即穿透访问,直接通过运维审计系统连接到目标资产。

如需配置密钥或终端编码,请参考登录到运维审计系统后查找并访问资产完成配置。

  1. 打开SSH客户端工具。

    本节以Putty为例指导完成访问资产。

  2. Putty Configuration菜单中,左侧导航选择Session,设置以下参数。
    • Host Name:主机名,运维审计系统的IP或者域名。
    • Port:端口号,22。
    • Connection Type:连接方式,选择SSH




  3. 单击Open连接后,输入以下用户名和密码,直接连接到资产。
    参数 说明
    用户名

    运维审计系统的用户名/目标资产的地址/访问目标资产的帐号

    密码 用户在运维审计系统中的密码。
    Note: 如已配置了密钥,将无需输入密码,直接连接到资产。




    Note:
    • 当使用IPv6地址时,部分客户端支持IPv6地址加中括号,但几乎所有客户端都支持地址不加中括号,因此建议运维审计系统地址和目标资产地址全都不加中括号,例如ssh opt/fc00::1010:32::30/root@fc00::1010:32::1另外,当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。
    • 如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。

3.2.1.3 通过SSH执行命令

需要满足以下前提条件:
  • 必须使用OpenSSH客户端。
  • 目标资产已在运维审计系统上托管了帐号和密码。
OpenSSH客户端的SSH命令,支持在待访问的地址之后添加command参数,填写待在目标资产上执行的命令,执行完命令后断开连接。一般用于在脚本中连接资产并远程执行命令。

通过该方式执行的命令,不会受到会话复核的限制,无需被复核即可执行。但如配置了命令复核,只要规则中执行的动作不为允许,该命令的执行的都将被拒绝,请参见执行高危操作

本节以在OpenSSH客户端的Shell中执行命令为例,实际使用中可以将该命令写到脚本中。

  1. 打开OpenSSH客户端的Shell菜单。
  2. 执行以下命令:
     ssh 运维审计系统的用户名/目标资产的地址/访问目标资产的帐号@运维审计系统的地址 命令内容
    例如:
    ssh opt/10.10.33.30/root@10.10.33.23 pwd
  3. 在收到密码提示后,输入运维审计系统的密码。
    命令执行成功后,将显示命令的回显。
    [root@localhost ~]# ssh opt/10.10.33.30/root@10.10.33.23 pwd
    Password authentication
    Password:
    /root
    Note:
    • 资产的密码将由运维审计系统自动代填,如未托管密码,命令执行将失败。
    • 如需执行多条命令,可以使用;&|等符号进行分割。
    • 命令如需要在脚本中执行,建议配置密钥,使执行过程中不需要进行密码交互。

3.3 通过RDP方式访问

用户如果需要快速运维Windows资产可以使用RDP客户端登录运维审计系统

3.3.1 通过RDP客户端登录运维审计系统

通过RDP客户端登录到运维审计系统,仅能查看并访问当前用户可访问的Windows资产。

请参考表3.1 身份认证方式准备登录所需的密码。

通过RDP客户端登录运维审计系统的环境要求请参考下表:

表3.7 通过RDP客户端登录运维审计系统的环境要求
项目 要求
操作系统

Windows XP SP3及以上版本。

RDP客户端

已安装了mstsc客户端(Windows默认安装),版本为5.1及以上。

如登录帐号被管理员在运维审计系统上设置了下次登录时必须修改密码,请先通过Web界面登录并重设密码;如使用手机令牌登录但未绑定令牌,请先完成绑定手机令牌,否则将登录失败。

  1. 在Windows系统的运行或搜索框中输入mstsc,打开远程桌面连接
  2. 计算机输入运维审计系统的IP地址,用户名输入操作员在运维审计系统上的帐号名称,并单击连接




  3. Optional: 第一次访问,或之前没有勾选记住凭据,则需要在弹出的Windows安全性对话框中,输入当前操作员在运维审计系统上的密码,并单击确定




    Note:
    • 如认证失败或存在第二重认证,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定



    • 密码的输入方式请参考表3.1 身份认证方式
    • 如使用双因子登录,密码输入方式请参考使用双因子认证
登录成功后,会显示当前用户所有可以访问的Windows资产,选中一台待访问的资产后,双击访问该资产。



3.3.2 访问资产

通过RDP客户端登录运维审计系统只支持访问Windows主机资产。

Windows中通过RDP客户端访问资产有两种方式:
  • 使用Mstsc先登录到运维审计系统,在运维审计系统找到待访问的资产后再建立图形会话进行访问。
  • 直接使用Mstsc建立到待访问资产的图形会话。必须提前知道待访问资产的IP地址和登录帐号,且目标资产仅支持IP地址,不支持域名。用户也可以通过该方法将连接保存到本地,从而快速访问。
Note: 屏幕大小、剪贴板和磁盘映射参数都需要在Mstsc客户端中进行配置,如下图所示。运维审计系统连接到资产时将沿用用户在Mstsc上的配置。







3.3.2.1 登录到运维审计系统后查找并访问资产

  1. 通过RDP客户端登录运维审计系统
    界面中会列出当前登录用户所有可以访问的Windows主机资产和上一次连接使用的帐号。



  2. Optional: Name/IP/Remark(F2)输入待访问资产的名称、IP或说明内容,并按搜索进行搜索。
  3. 选中一条待访问的资产,双击该资产,设置会话参数,并单击确定,建立图形会话。
    会话参数的配置,请参考Web界面的表3.4 配置会话参数



3.3.2.2 穿透访问资产

  1. 在Windows系统的运行或搜索框中输入mstsc,打开远程桌面连接




  2. 参数设置如下,完成后单击连接




    参数 说明
    计算机名 运维审计系统的IP地址
    用户名

    运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号

    Note: 如目标资产使用IPv6地址,不能加中括号;如运维审计系统使用IPv6地址,可以加中括号也可以不加。
  3. Optional: 第一次访问,或之前没有勾选记住凭据,则需要在弹出的Windows安全性对话框中,输入运维审计系统帐号的密码,并单击确定。本例中输入用户opt在运维审计系统的密码。




    Note:
    • 如认证失败或存在第二重认证,将跳转到运维审计系统的RDP登录界面,请将窗口最大化,并在窗口中央的登录窗口中重新填入用户名和密码,并单击确定



    • 用户可以在首次登录时勾选记住我的凭据,并再次打开mstsc,去勾选始终要求凭据,并单击另存为,将该连接保存到本地PC。用户后续可以通过双击保存的.rdp文件,直接连接到该资产。要求用户必须使用单重静态密码认证,并且资产密码已托管。



    • 如该资产未托管密码,则用户连接该资产后,仍须手动选择帐号并输入密码。



4 高危操作

管理员如果配置了会话复核或高危命令规则,指定用户在访问资产和执行命令时将受到限制。根据配置的规则,操作员可以作为被复核人受到这些规则的限制,也可以作为复核人来复核其他用户的操作。

运维审计系统中的高危操作,包括会话复核和高危命令两部分:
  • 会话复核:对会话进行审核授权和监控,执行的动作包括允许操作和禁止操作。
  • 高危命令:对字符会话执行的命令进行限制和监控,执行的动作包括允许、复核、拒绝、切断、通知。

4.1 执行高危操作

当管理员配置了高危操作时,特定操作用户如访问特定的资产时,会要求会话复核;如在特定资产的字符会话上执行某些特定的命令时,会触发高危命令,执行的命令被发送通知、被要求复核、被直接拒绝,或被直接断开会话。

操作员在进行资产访问和执行命令时都有可能触发已配置的高危操作规则,已配置的具体规则请向管理员咨询。

触发高危操作后的示例如下:
  • 触发会话复核:



  • 触发高危命令:



Note: 在Web界面启动的会话如经过了会话复核,不允许执行克隆操作,克隆后的新会话将直接连接失败;从Telnet/SSH客户端启动的会话不受此限制,但克隆后需要再次执行复核。

4.1.1 执行高危操作(普通方式)

操作员在执行访问资产及在字符会话中执行命令,正常触发高危操作后的现象及处理方法如下:
现象 说明 处理方法
通过Web界面建立会话,单击启动后出现启动资产窗口,包含复核人下拉菜单。 操作员触发了会话复核规则,需要完成会话复核后才能进行操作。
  1. 选择复核人并启动会话。
    • Web界面:在复核人下拉菜单中选择一个复核人,并单击启动
    • SSH界面:输入复核人对应的编号并按回车启动会话。
  2. 启动会话后,操作员无法执行任何操作。请联系选择的复核人完成复核会话,完成复核后操作员可以进行操作。
    Note: 会话复核过程中,复核人将观看操作员的所有操作,并可以随时锁定用户的操作。被锁定后请联系复核人进行解锁。
通过SSH客户端建立会话,选择资产和帐号名称后,提示请选择会话复核用户
执行命令,提示This command requires manager's confirmation, are you sure?[Y/n] 操作员触发了命令复核规则,需要完成命令复核后命令才能被执行。
  1. 确认是否要执行该命令。
    • 是,输入Y(忽略大小写),转到下一步。
    • 否,输入N(忽略大小写),命令被撤回,操作结束。
  2. 联系命令复核对应的复核人中的任意一个完成复核命令。如不清楚有哪些命令复核人请咨询管理员。
    Note: 在复核人进行复核之前,操作员可以按Ctrl+C,取消命令复核,所有复核人收到的命令复核申请都将被撤回,命令的执行也被取消。

    复核人完成复核并允许命令执行之后,命令将开始执行并显示执行结果;复核人如拒绝命令执行,该命令的执行将被取消。

执行命令,提示You are not allowed to use this command 操作员触发了拒绝用户执行的高危命令 请使用其他允许被执行的命令。
执行命令,提示Session will be killed because of this command 操作员因执行高危命令,触发了断开会话的操作 请重新打开会话,并使用其他允许被执行的命令。
高危操作规则如配置有误,访问资产或执行命令将无法进行,具体现象和处理方法如下:
现象 说明 处理方法
在Web界面单击启动会话时,提示操作失败 可能原因:会话复核规则中设置的所有复核人均不可用。 联系管理员检查会话复核规则是否存在问题。
在SSH客户端上启动会话时,提示Not authorized to login to server 'XX' with account 'YY'
执行命令,提示No valid user for confirmation. Please contact the administrator 命令复核规则没有设置复核人或设置的所有复核人均不可用。 联系管理员为命令复核规则设置可用的复核人。

4.1.2 执行高危操作(操作员自行复核)

复核人为使用动态令牌登录,或使用的双因子认证中包含动态令牌的用户时,如复核人暂时无法进行复核,经协商一致,操作员可以向复核人直接获取复核人的PIN2码及动态令牌的动态密码,并由操作员自己进行会话复核。
  1. 操作员使用自己的帐号访问资产
  2. 操作员通过Web或、RDP、SSH访问资产,触发会话复核,选择复核人为使用动态令牌登录的用户。




  3. 单击右上角的提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。




  4. 单击复核打开对应的会话复核。




  5. 在弹出的对话框中,输入密码并单击确定
    密码前半段是从复核人获取的“PIN2码”,后半段是从复核人获取的动态令牌生成的6位数字密码。在同一个密码输入框内输入该拼接后的字符串。



  6. 参考复核会话完成会话复核。

4.2 复核会话

如管理员配置了会话复核规则中,当前用户被设置为复核人之一,则其他用户进行资产访问触发会话复核规则时,可以指定当前用户作为本次会话的复核人。复核人完成会话复核,访问资产的用户才能在建立的会话中进行操作。

需要复核的会话,当操作用户建立会话之后不能执行任何操作,必须等复核人进行确认后才能执行操作。复核人将继续观看用户的所有操作,并在用户将要进行危险操作时及时锁定会话。

  1. 使用复核人帐号访问资产
  2. 单击右上角的提醒图标,查看收到的待复核会话的提醒,并单击查看详情,跳转到复核申请列表页面。




  3. 查看收到的复核申请,对于复核类型会话复核的复核申请,单击复核,打开对应的会话。




    复核使用的客户端与复核人在帐号设置 > 会话配置中设置的会话访问方式无关。对于字符会话,默认使用Putty打开会话复核窗口;对于图形会话,默认使用web方法打开会话复核窗口。会话打开后,复核人将看到和操作人一样的操作界面,但不能进行任何输入。
  4. 确认该会话合法后,请复核人执行解锁操作允许操作用户进行操作。
    • 字符会话:按空格回车,解锁或锁定操作用户的操作。
    • 图形会话:单击窗口右上角的continue按钮,解锁操作;单击pause,锁定操作。




  5. 当复核人发现操作用户将要进行危险操作时,请执行锁定操作,使操作用户无法继续执行任何操作。

4.3 复核命令

如管理员配置了命令复核规则,则当有其他用户触发命令复核规则时,当前用户如为复核人之一,可以对操作人要执行的命令进行复核。

操作人触发命令复核时,所有复核人都将收到命令复核提示,当有一个复核人完成复核之后,其他复核人收到的复核请求将失效并被撤回。操作人如自行撤回复核申请,复核人将无法再复核。

复核人收到提醒并完成复核的情况有以下两种:
  • Web界面复核:复核人在Web界面右上角收到命令复核提醒:有待复核的命令。复核人直接在Web界面处理高危命令复核申请。
  • 会话窗口复核:当某个会话的会话复核人同时也是该会话的命令复核人之一时,该复核人可以在打开的会话复核窗口中直接收到操作用户发出的复核申请:Confirmation: Are you allowed to execute this command?[Y/n]。复核人可以在会话窗口中完成该命令的复核。

4.3.1 在Web界面复核命令

  1. 使用复核人帐号通过Web界面登录运维审计系统
  2. 单击右上角的提醒图标,查看收到的待复核命令的提醒,并单击查看详情,跳转到复核申请列表页面。




  3. 查看收到的复核申请,确认命令是否可以执行。
    • 是,单击允许,该命令将直接执行并显示回显。
    • 否,单击拒绝,该命令的执行将被阻断。




4.3.2 在会话窗口复核命令

  1. 用户作为会话复核人,在复核会话窗口中复核字符会话。
  2. 操作用户发出复核申请后,复核人查看会话窗口中收到的Confirmation信息及其具体执行的命令。
  3. 确认命令是否可以执行。
    • 是,按Y键(忽略大小写),表示允许执行,该命令将直接执行并显示回显。
    • 否,按N键(忽略大小写),表示拒绝执行,该命令的执行将被阻断。




完成该条命令的复核后,复核人可以在复核窗口中继续对操作人进行会话复核,并在操作人再次触发命令复核时完成复核。

5 文件传输

5.1 向Linux/Unix资产传输文件

本地PC与Linux、HP Unix、IBM AIX资产之间传输文件,运维审计系统提供了多种方式。

下表列出了运维审计系统支持的向Linux/Unix资产传输文件的所有方式及相互之间的比较,请用户根据自己的实际情况及喜好,灵活选用文件传输方式:
表5.1 不同文件传输方式的比较
传输方式 依赖软件 推荐程度
网盘传输 目标资产非Windows时首选
SFTP工具传输 本地PC:SFTP工具(FileZilla或WinSCP之一

目标资产非Windows时推荐

SFTP命令传输 需要安装字符终端工具,如Xshell 本地PC为Linux/Unix时推荐
ZMODEM传输
  • 目标资产:已安装lrzsz
  • 需要安装字符终端工具,如Xshell,不支持Putty
小文件时推荐。不能传输超过2GB的文件

5.1.1 网盘传输

通过运维审计系统客户端的自带的文件传输功能,用户可以将文件在本地PC、运维审计系统、目标资产设备之间上传/下载。

使用运维审计系统网盘的相关功能,请通过Web界面登录运维审计系统后选择工作台 > 文件传输



5.1.1.1 上传文件

  1. 选择文件传输 > 文件传输




  2. 单击从本地上传,上传文件到运维审计系统




  3. 拖拽文件或直接单击并在弹出的窗口中选择待上传的文件。




  4. 单击右侧的选择目标资产,勾选一个或多个待连接的Linux/Unix资产,并下拉选择帐号上传使用的帐号。
    Note: 使用的帐号必须为已托管了密码的帐号。如需使用未托管密码的帐号,选择any帐号;指定多个目标资产时,不可使用any帐号。




  5. 选择上传的路径。
    • 选择单个资产时,填写上传路径或在窗口中选择目录层级。



    • 选择多个资产时,填写统一的上传路径。



  6. 在左侧勾选待上传的文件,并单击上传,将文件从运维审计系统的网盘上传到目标资产中。




5.1.1.2 下载文件

  1. 选择文件传输 > 文件传输
  2. 单击右侧的选择目标资产,勾选一个待连接的Linux/Unix资产,并下拉选择帐号上传使用的帐号。
    Note: 只能勾选一个资产,勾选多个资产时将仅能上传不能下载。
  3. 在右侧找到待下载的文件并勾选,单击下载,将文件下载到网盘中。




  4. 下载到网盘完成后,勾选文件,并单击批量下载到本地,将文件从网盘下载到本地。




5.1.1.3 管理文件

我的文件界面,可以对已上传或下载到运维审计系统的文件进行管理。



该页面主要有以下管理操作:
操作 说明
查询 对话框中,输入文件或文件夹的名称并按回车键进行查询。如未勾选查询子文件/文件夹,只会搜索当前文件夹内的内容。但勾选了查询子文件/文件夹后,不能执行批量操作。
新建文件夹 在文件列表中进入指定的目录,然后单击新建文件夹,填入文件夹的名称,在当前路径新建文件夹。
上传 在文件列表中进入指定的目录,然后单击上传,并在弹出的对话框中选中本地PC上待上传的文件,将文件上传到当前进入的目录。
Note: 该操作要求当前用户拥有足够的配额空间。界面上方会标出已用空间:已用大小/配额大小,如未设置配额上限,则不会显示配额大小。如配额不够用,请先删除多余的文件,以使配额满足要求。
下载 在文件列表中找到待下载的文件或文件夹,单击下载将文件下载到本地PC。如需批量下载,请勾选所有待下载的文件,并单击下方的批量下载,下载文件夹或批量下载文件,运维审计系统将使用zip压缩包打包。
删除 在文件列表中找到待删除的文件或文件夹,单击...,在下拉菜单中选择删除,并单击确认。如需批量删除,请勾选所有待删除文件,并单击下方的批量删除
重命名 在文件列表中找到待重命名的文件或文件夹,单击...并在下拉菜单中选择重命名,在对话框中输入新的文件名并单击确定。新的文件名必须是一个长度为1~100的字符串,不能以“.”开头且不能包含“\”或“/”。
移动至 在文件列表中找到待移动的文件,单击...并在下拉菜单中选择移动至,在弹出的对话框中选择目的路径。如需批量移动,请勾选所有待移动的文件,并单击下方的移动至。文件夹不能进行移动。
分享文件 在文件列表中找到待分享的文件,单击...并在下拉菜单中选择分享文件,在弹出的对话框中输入有效时长(天),取值范围为1~30天。单击确定后,会弹出分享链接及密码。已分享的文件可以单击...并在下拉菜单中选择查看分享链接取消分享
获取分享的文件 获取分享文件的用户必须具有文件传输权限。用户接收到分享链接和密码之后,请按以下操作获取文件:
  1. 使用自己的帐号通过Web界面登录运维审计系统
  2. 在同一浏览器中新建页签,输入分享链接,并跳转到该链接。
  3. 页面跳转后将弹出密码输入框,请输入分享文件的密码。
  4. 单击保存至将该文件保存至运维审计系统上自己的文件空间中,或单击下载,将文件下载到本地。

5.1.2 SFTP工具传输

运维审计系统支持使用SFTP工具,建立本地PC和目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。

使用SFTP工具传输文件,有两种方法:
  • 在Web界面中启动SFTP会话:支持Filezilla或WinSCP
  • 通过SFTP工具直连目标资产:支持Filezilla、WinSCP、XFTP或其他可用的SFTP工具。必须提前获取了目标资产的IP地址和登录帐号名称。

本文以Filezilla为例进行介绍。

5.1.2.1 在Web界面中启动SFTP会话

  1. 参考访问资产,建立到目标资产的访问协议为SFTP的会话。




    Note: 建立SFTP会话时,如需要使用未托管密码的帐号,请选择any
  2. 弹出工具窗口后,在左侧进入下载目标路径或在右侧进入上传目标路径。




  3. 上传或下载文件。
    以上传文件为例,在左侧选中待上传的文件后,单击上传



    Note: 单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。

5.1.2.2 通过SFTP工具直连目标资产

  1. 打开SFTP工具,如Filezilla。
  2. 在上方输入会话参数,并单击快速连接
    • 主机:运维审计系统的IP地址。
    • 端口号:22
    • 用户名:按照以下格式输入:运维审计系统上的用户名/目标资产的IP地址/目标资产上的帐号名
    • 密码:运维审计系统登录用户名对应的密码
    Note: 例如,运维审计系统的IP为10.10.33.23,用户名为opt,目标主机的IP为10.10.33.30,可以访问的帐号为root,已在运维审计系统上托管了密码。则输入的主机名为10.10.33.23,输入的用户名为opt/10.10.33.30/root。
    Note: 对于IPv6地址,填写如下:
    • 当主机名(运维审计系统地址)使用IPv6地址时,FileZilla中填写主机名必须加中括号,例如[fc00:1010:32::10],WinSCP、Xftp可以加中括号也可以不加中括号
    • 当用户名中的目标资产地址使用IPv6地址时,统一不加中括号,例如admin/fc00:1010:32::30/root




  3. 连接成功后,在左侧进入下载目标路径或在右侧进入上传目标路径。
  4. 上传或下载文件。

5.1.3 SFTP命令传输

当本地PC为Linux/Unix时,用户可以在命令行中使用sftp命令传输文件。Windows中需要安装能够使用sftp命令的客户端,例如Xshell。

  1. 在命令行中,输入sftp命令连接到目标资产。
    sftp 运维审计系统上的用户名/目标资产的IP地址/目标资产上的帐号@运维审计系统的IP地址
    Note: 例如,运维审计系统的IP为10.10.33.23,用户名为opt,目标主机的IP为10.10.33.30,可以访问的帐号为root,已在运维审计系统上托管了密码。则输入sftp opt/10.10.33.30/root@10.10.33.23
    Note: 对于IPv6地址,主机名使用IPv6地址时必须加中括号,目标资产使用IPv6地址时必须不加中括号,例如sftp admin/fc00:1010:32::30/root@[fc00:1010:32::1]
  2. 输入运维审计系统登录用户名对应的密码。
    运维审计系统和目标资产的用户名密码均验证通过后,本地PC到目标主机之间的SFTP字符会话建立成功。



  3. 使用get下载文件或使用put命令上传文件。
    get 待下载文件的源路径(远端) 待下载文件的目标路径(本地)
    put 待上传文件的源路径(本地) 待上传文件的目标路径(远端)




5.1.4 ZMODEM传输

用户可以在建立到资产的字符会话后,使用rz和sz命令上传/下载文件。

ZMODEM是一种使用字符会话传输文件的协议,支持在字符终端上使用rz、sz命令。使用rz、sz命令,需要在服务端上安装lrzsz包,该包是一个第三方软件包,请自行下载。例如,CentOS系统可以通过yum install lrzsz命令直接下载并安装。

请使用Xshell等支持ZMODEM的字符终端工具。Putty不支持 ZMODEM传输。

  1. 访问资产访问资产,建立字符会话。
  2. 上传文件到资产。
    1. 进入待上传文件的目录,执行rz命令。
      cd 待上传文件的目录
      rz
    2. 在弹出的对话框中,选中本地待上传的文件,并单击打开
      进度条达到100%后,完成文件的上传。
  3. 下载文件到本地。
    1. 进入待下载文件所在的目录,执行sz命令。
      cd 待下载文件所在的目录
      sz 待下载文件的文件名
    2. 在弹出的对话框中,选中文件下载的目标路径,并单击确定
      进度条达到100%后,完成文件的下载。

5.2 向Windows资产传输文件

本地PC与Windows主机之间的文件传输,可以在启动RDP会话时选择启用剪贴板或磁盘映射。

使用剪贴板和磁盘映射,需要管理员配置的权限中允许使用剪贴板和磁盘映射的上行/下行。

图形会话访问方式为web时的访问不支持使用剪贴板和磁盘映射,请修改图形会话配置

  1. 通过Web界面访问资产通过RDP客户端访问资产
    Note: 通过Web界面启动会话需要勾选磁盘映射盘符;通过RDP客户端启动会话需要在客户端中勾选剪贴板和磁盘映射。具体请参考访问资产
  2. 使用剪贴板。
    通过复制粘贴,在图形会话窗口和本地PC之间传输文件。



  3. 使用磁盘映射。
    1. 打开Windows资产管理器,找到映射的磁盘,名称显示为本地PC名称 上的 盘符,如DESKTOP-PC1 上的 C
    2. 进入该磁盘,将该磁盘和目标主机本地磁盘之间的文件进行复制粘贴操作,以实现文件传输。




6 工单

运维审计系统上可以通过工单申请资产权限、资产密码。

操作员可以提交以下类型的工单,不同类型的工单对使用人和审批人的要求如表6.1 工单申请人、使用人和审批人的要求所示。

表6.1 工单申请人、使用人和审批人的要求
工单类型 使用人 审批人
资产权限 用户具有访问资产权限。 由超级管理员指定的审批人名单中的用户。如未指定,则为所有配置管理员。
资产密码 用户具有工单权限。 同上

申请人提交工单后,审批人会收到通知;审批人审批工单后,申请人、使用人也会收到通知。运维审计系统支持以下通知方式。

  • 消息:用户登录Web界面后,单击右上角的查看通知消息。



  • 邮件:如果已配置用户的工作邮箱,用户会收到通知邮件。
申请人可以在待办工单已办工单中查看工单详情:
  • 申请人已提交申请的但未完成审批的工单,将显示在工单 > 工单管理 > 待办工单中。
  • 申请人已提交申请且已完成审批的工单,将显示在工单 > 工单管理 > 已办工单中。




6.1 申请资产

用户可以通过工单来申请资产的访问权限。

图6.1 资产权限工单处理流程




  1. 选择工单 > 工单管理 > 新建工单




  2. 单击申请资产对应的,设置各参数。
    参数 说明
    工单标题

    工单的标题。字符串格式,长度范围是1~30个字符。

    工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。

    操作类型 用户要申请的操作类型,取值包括日常维护定期巡检
    申请理由 工单的申请理由。字符串格式,长度范围是0~512个字符。
    开始时间/结束时间

    权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为:

    • 开始时间:当前时间点。
    • 结束时间:当前时间点+1天。

    开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。





  3. 单击资产对应的,选中要添加权限的资产,然后在系统帐号中选择帐号,单击添加
    • 一次最多能够选择100个资产,如果要添加权限的资产数大于100,请分批添加。
    • 一个资产一次只能选择一个帐号,如果要申请一个资产的多个帐号的权限,请重复执行本步骤。




  4. 配置访问协议。
    缺省情况下,运维审计系统选中的是全部协议。如果需要更精细化的管理,请选中指定协议,并配置允许的访问协议,协议包括SSHTelnetRDPXDMCPVNCXFWD
  5. Optional: 如果需要在高危命令的配置中,允许工单申请资产的使用人执行某些命令,请填写放行命令,多条命令之间用回车分隔。
    Note: 放行命令可以直接填写完整的命令,例如crontab -l,也可以填写命令的正则表达式,例如rm -rf.*。此处放行的命令相当于在命令模板中配置对应的命令为允许,并将有着比高危命令配置更高的优先级。
  6. 单击使用人对应的,选中要添加权限的用户,单击添加




  7. 单击提交
    Note:
    • 如果暂时不提交,请单击保存为草稿,下次在草稿箱中打开工单继续填写、提交。
    • 用户还可以单击保存为模板,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
  8. Optional: 超级管理员如手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。




申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统将用户和所选资产、帐号关联。

执行结束后,运维审计系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的帐号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。





完成审批后,最后一层审批人可以对该工单执行撤销操作。撤销后,工单状态显示为已完成,使用人将无法访问该资产。

6.2 申请密码

用户可以通过工单来申请资产帐号的密码。

图6.2 密码工单处理流程




  1. 选择工单 > 工单管理 > 新建工单




  2. 单击申请密码对应的,设置各参数。
    参数 说明
    工单标题

    工单的标题。字符串格式,长度范围是1~30个字符。

    工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。

    开始时间/结束时间

    使用密码的开始时间和结束时间。开始时间和结束时间的缺省值为:

    • 开始时间:当前时间点。
    • 结束时间:当前时间点+1天。

    开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。





  3. 单击资产对应的,选中要申请密码的资产,然后在系统帐号中选择帐号,单击添加
    Note:
    • 一次最多能够选择100个资产,如果要申请密码的资产数大于100,请分批添加。
    • 运维审计系统不支持为应用系统资产申请密码,这些资产将不显示。
    • 系统帐号中显示资产上的所有帐号,但正在使用中的帐号不能添加。正在使用中的帐号是指其他密码申请工单中已申请的帐号且还在使用时间范围内。
    • 一个资产一次只能选择一个帐号,如果要申请一个资产的多个帐号的密码,请重复执行本步骤。
    • 对于使用Windows域的资产,申请的是域账号的密码,例如图中未显示Windows资产,只能勾选资产帐号所在的example域。




  4. 选择密码是否分段。
    • 如果申请人就是密码使用人,请选择。工单审批完成后申请人会收到通知邮件。
    • 如果申请人不是密码使用人,请选择,并设置前段密码用户后段密码用户。工单审批完成后,两段密码的用户都会收到通知消息和通知邮件。




  5. 单击提交
    Note:
    • 如果暂时不提交,请单击保存为草稿,下次在草稿箱中打开工单继续填写、提交。
    • 用户还可以单击保存为模板,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
  6. Optional: 超级管理员如手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。




  • 密码不分段

    申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给申请人。

    工单中填写的开始时间到期后,申请人在已办工单中执行以下操作获取密码。





    1. 单击工单对应的解压密码,输入登录帐号对应的密码,单击确定。用户会获取到解压密码,请牢记该密码。
    2. 单击下载密码,将压缩的密码文件保存到本地PC,然后解压缩密码文件(需要输入解压密码),用户即可获取指定资产指定帐号的密码(Excel文件)。
  • 密码分段

    申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给前段、后段密码用户。

    两段密码的用户分别在已办工单中执行以下操作获取分段密码,最后将两段密码拼接成完整的密码。

    1. 单击工单对应的解压密码,输入登录帐号对应的密码,单击确定。用户会获取到解压密码,请牢记该密码。
    2. 单击下载密码,将压缩的密码文件保存到本地PC,然后解压缩密码文件(需要输入解压密码),用户即可获取指定资产指定帐号的密码(Excel文件)。

工单结束时间到期后,工单状态变为已完成,解压密码入口消失。如果帐号配置了改密计划,运维审计系统对该帐号改密。

审批完成后,最后一层审批人可以对该工单执行撤销操作。撤销后,解压密码入口消失,工单状态显示为已完成,使用人将无法访问该资产。

6.3 审批工单

工单的默认审批人是配置管理员。仅当超级管理员手动指定了某种类型的工单的审批人名单,且名单中包含操作员时,操作员才能审批工单。

  1. 登录运维审计系统的Web客户端后,请单击左上角收到的工单审批的提醒中的查看详情




    Note: 也可以直接选择工单 > 工单管理 > 待办工单,并单击详情查看待审批的工单。
  2. 查看工单的具体内容后,如果同意,请单击批准,然后单击确定;如果不同意,请单击驳回,然后填写拒绝理由,完成后单击确定




  3. Optional: 批准工单后,如果超级管理员设置了多级审批,存在下一级审批人,且下一级审批人为超级管理员指定的审批人时,需要从下一级审批人名单中勾选一个或多个审批人。这些审批人将会收到提示并由其中之一继续完成审批。




  4. Optional: 审批通过后,针对申请资产权限和申请密码这两种类型的工单,可由最后一层的审批人撤销已经生效的工单。选择工单 > 工单管理 > 已办工单,单击待撤销工单对应的详情,在弹出的工单详情页面中单击撤销按钮,完成撤销工单操作。




7 个人帐号设置

7.1 修改个人设置

7.1.1 设置基本信息

基本信息包含个人帐号名称、姓名、手机号码、工作邮箱等。但帐号名称只能查看不能修改。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置




  2. 选择修改信息 > 个人设置 > 基本信息




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    姓名 用于标识该帐号所属的具体人员的姓名,会显示在右上角。取值范围为1~100长度的字符串,不能为空。
    手机号码
    在以下场景会使用该手机号码:
    • 用户启用了短信认证,登录运维审计系统时,运维审计系统会将短信密码发送到该手机号。
    • 系统启用了会话复核发送短信的功能,被复核人在建立会话后,复核人的手机号码会收到提醒复核的手机短信。
    • 系统启用了命令复核发送短信的功能,被复核人执行满足条件的命令后,复核人的手机号码会收到提醒复核的手机短信。

    标准格式的手机号码。如设置为空则不会发送短信给用户。

    工作邮箱

    在需要发送邮件给用户时,运维审计系统会将相关信息发送到用户设置的该邮箱中。

    标准格式的邮箱地址。如不设置,则在需要发送相关信息的目标用户时,无法选中当前用户。

7.1.2 修改密码

仅当用户使用本地密码登录,或使用双因子登录中的第一身份验证方式为本地密码时会显示该页签,并可以在此处修改本地密码。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 个人设置 > 修改密码




  3. 输入原始密码新密码新密码需要连续输入两次。
    Note: 新密码需要满足系统的密码复杂度策略,密码复杂度策略请将鼠标移动到图标上进行查看。
  4. 确认输入无误后,单击确定完成密码修改。

7.1.3 设置操作员默认展示页面

用于设置操作员登录到运维审计系统的Web界面之后默认展示的页面。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 个人设置 > 操作员默认展示页面




  3. 根据需要勾选要展示的页面,并单击确定保存。
    • 按照系统配置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • 控制台:默认登录的主界面,会包含工作台中的各个按钮、快速访问资产模块、以及用户自定义添加的其他模块。
    • 资产访问:登录后直接进入资产访问菜单中,从而快速进行操作。

7.2 修改会话配置

用于设置用户在访问资产并进行字符、图形会话和文件传输时的相关参数。

7.2.1 修改字符会话配置

用于设置用户访问资产时建立的字符会话的访问方式及持续时间。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 会话配置 > 字符会话




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    会话访问方式 用于设置本地PC为Windows时的字符会话访问方式。
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • putty:使用Putty工具建立字符会话。AccessClient安装时会自带Putty。
    • xshell:使用Xshell工具建立字符会话。需要自己安装Xshell。
    会话访问方式(Mac) 用于设置本地PC为Mac时的字符会话访问方式。
    最大持续时间 用于设置字符会话的最大持续时间,取值包括:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置。具体设置值请询问超级管理员。
    • 自定义:按照“天/时/分”设置会话最大持续时间。达到最大持续时间后会话将被切断。单击上下箭头按钮设置时间时最小单位为15分钟,手动输入时最小单位为1分钟,不能设置为0天0小时0分钟。
    直连分类方式 用户使用SSH直连方式访问时资产的分类方式,取值包括:
    • 无:表示使用管理员配置的全局设置。
    • 资产组
    • 资产类型
    • 责任人

7.2.2 修改图形会话配置

用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 会话配置 > 图形会话




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    图形会话分辨率

    仅当图形会话访问方式设置为mstsc时该参数的设置有效。

    用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800x600、1024x768、1280x1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。

    分辨率的取值范围为640x480~9999x9999。多个分辨率之间用空格隔开,例如“1280x800 1920x1080”。

    默认分辨率

    仅当图形会话访问方式设置为mstsc时该参数的设置有效。

    用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640x480~9999x9999,或fullscreen、maximize。

    该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。

    图形会话访问方式 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • web:当在Web界面中建立图形会话时,使用Web方式建立图形会话。
    • mstsc:当在Web界面中建立图形会话时,使用mstsc建立图形会话。
    Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。
    启用Console连接

    勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。

    仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。

    Note: 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。
    最大持续时间 用于设置字符会话的最大持续时间,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置。具体设置值请询问超级管理员。
    • 自定义:按照“天/时/分”设置会话最大持续时间。达到最大持续时间后会话将被切断。单击上下箭头按钮设置时间时最小单位为15分钟,手动输入时最小单位为1分钟,不能设置为0天0小时0分钟。
    磁盘映射

    仅当图形会话访问方式设置为mstsc时该参数的设置有效。

    设置该参数仅表示在配置所有RDP图形会话及应用系统的图形会话的启动参数时,磁盘映射都默认勾选该参数设置的磁盘盘符。用户最终建立会话时是否会勾选对应磁盘的映射由用户自己决定。

    该参数输入格式为单个字母表示的盘符,多个盘符之间用英文逗号隔开,例如“c,d,f”。

7.2.3 修改文件传输配置

用于设置用户通过Web界面建立SFTP会话时,使用的SFTP工具。需要在本地PC上自行安装对应的工具。

  1. 单击右上角用户帐号(例如操作员),选择帐号设置
  2. 选择修改信息 > 会话配置 > 文件传输




  3. 设置需要修改的参数,完成后单击确定
    参数 说明
    会话访问方式 用于设置本地PC为Windows时建立SFTP会话使用的工具,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • filezilla:使用FileZilla工具建立SFTP会话。
    • winscp:使用WinSCP工具建立SFTP会话。
    会话访问方式(Mac) 用于设置本地PC为Mac时建立SFTP会话使用的工具,取值范围如下:
    • 使用全局设置:默认选项,由超级管理员在系统设置中配置,括号内会显示当前具体的配置。
    • filezilla:使用FileZilla工具建立SFTP会话。

7.3 配置密钥

用于当用户通过SSH客户端访问资产时,使用此处配置的密钥对应的私钥进行验证,从而不输入密码登录到运维审计系统的字符交互终端。

  1. 使用工具生成密钥对,例如使用OpenSSH工具。
  2. 通过Web界面登录运维审计系统
  3. 单击右上角用户帐号(例如操作员),选择帐号设置
  4. 选择修改信息 > 密钥管理




  5. 单击新建
  6. 以编辑文本文档的方式打开生成的密钥中的公钥。




  7. 将公钥文件中的密钥串,粘贴至Web界面的密钥串框体中,并单击增加




    已完成新增密钥。
完成新增密钥后,当前用户通过字符终端工具登录运维审计系统的SSH交互终端时,可以通过在生成的私钥进行验证,参见通过SSH客户端访问资产。用户可以添加多个密钥。请用户妥善保管自己的私钥,并且对于不用的密钥,及时在密钥管理中禁用或删除。

8 附录

8.1 绑定手机令牌

仅当用户登录方式为手机令牌登录时,需要在首次登录时绑定手机令牌。

绑定手机令牌,需要用户在自己的智能手机上安装TOTP应用,例如Google Authenticator或Free OTP。本节以Free OTP为例进行介绍。
  1. 在浏览器中输入运维审计系统的Web界面的地址(https://的IP地址),请参考通过Web界面登录运维审计系统
  2. 输入帐号和第一重认证方式的密码,单击登录




  3. 下载手机动态码生成器客户端。
    1. 单击页面的Google Authenticator




    2. 在弹出的对话框中扫码下载手机动态码生成器客户端。




      Note:
      • 华为手机和小米手机扫码后,如果通过自带的浏览器无法成功下载,请使用UC浏览器打开下载链接,进行下载安装。
      • 安卓版本的手机在此处下载的客户端版本较低,需要手动升级后再绑定设备。
  4. 打开手机上的Google Authenticator,单击开始,并在弹出的添加帐号页面单击扫描条形码
    Note: 只有第一次登录时需要进行扫码绑定。








  5. 使用Google Authenticator扫描运维审计系统登录界面出现的二维码,完成后单击完成绑定




    Note:
    • 绑定界面的二维码不会过期。
    • 如果升级后的Google Authenticator仍无法正常扫码绑定,请单击手动输入,在客户端中输入16位的字符进行设备的绑定。



    完成绑定后,在Google Authenticator中将显示一个对应的令牌,包含运维审计系统的登录帐号。表明绑定成功。



  6. 单击完成绑定,完成手机令牌的绑定。
  • 如果用户更换手机或令牌遗失,请联系管理员设置下次登录时重新绑定手机令牌
  • 如无法使用已绑定的令牌登录,请联系管理员设置下次登录时重新绑定手机令牌,并在TOTP软件中删除该令牌,重新登录扫码,完成绑定。

完成绑定后,用户下次登录时将可以填写两步认证密码为手机令牌的密码,进行登录。并可以登录RDP和SSH客户端。

8.2 使用双因子认证

用户如使用双因子认证,在输入密码时,请参考本节指导完成输入。

Web界面、SSH交互终端、RDP客户端均支持使用双因子认证。

双因子认证有以下两种输入方式,请用户根据自己的实际情况进行选择。

8.2.1 分两次输入密码(推荐)

在密码输入框中输入第一重认证的密码,第一重认证通过后,在两步认证窗口中继续输入第二重认证的密码,并提交,进行第二重认证。

  • Web界面的两步认证界面如下:



    如使用短信认证,界面如下:



  • SSH交互终端的两步认证界面如下,请在2nd Password:提示符后继续输入第二重认证的密码,并按回车。



  • RDP客户端的两步认证界面如下:



8.2.2 使用组合密码

组合密码允许用户在同一密码输入框内直接输入第一重密码和第二重密码的组合,从而直接完成登录认证。

当使用SSH或RDP客户端时,如双因子认证的两种认证方式全都为静态密码时,可以保存会话,并将密码保存为组合密码,从而简化登录。其他情况下,不建议使用该密码输入方式。

双因子认证中如包含USB Key认证,不能使用该方式。如管理员禁用了组合密码功能,不能使用该方式,只能分两次输入密码。

组合密码的输入方式有以下两种。以第一重密码为abcdef,第二重密码为123456为例:
输入格式 说明 举例
第一重密码+空格+第二重密码 推荐使用该方式。 abcdef 123456
第一重密码+第二重密码 仅当第二重认证的密码为6位数字时,可使用该方式。 abcdef123456

8.3 通过Web界面登录运维审计系统(使用USB Key控件)

仅当用户登录方式为USB Key登录时,参照本节登录Web界面,登录前需要在本地PC上完成安装USB Key控件。

使用USB Key控件登录,需要先准备以下软件或硬件:
  • 管理员分配的USB Key设备,内含et199auto.exe控件。
  • USB key认证插件ET199Plugin.exe。由管理员或其他人登录运维审计系统的Web界面的用户在帮助界面下载并提供。
  • 使用支持USB Key控件登录的浏览器:
    • IE浏览器:10或11版本。
    • Chrome浏览器:53及以上版本。
    • Firefox浏览器:70及以上且非ESR版本。
安装USB Key控件和插件并使用USB Key登录到运维审计系统的Web界面的步骤如下:
  1. 将USB Key设备插入本地PC的USB接口中。
  2. 运行USB Key设备中的et199auto.exe,安装控件。
    控件将自动完成安装,安装完成后,右下角将提示USBKey已连接,并将在任务栏右下角显示图标。
  3. 双击ET199Plugin.exe,完成认证插件的安装。




  4. 使用支持的浏览器登录运维审计系统的Web界面。
  5. 在弹出的对话框中单击允许,启用加载项。
    仅IE浏览器需要启用加载项,Chrome和Firefox浏览器无需启用加载项。



    Note: 如果未弹出该提示,请在IE浏览器菜单中,选择管理加载项,对加载项ET199MFCPlugin Control,右键单击选择启用,并双击选择在所有站点上允许
  6. Optional: 初次使用时,建议修改USB Key的密码。
    Note: 建议将USB Key的密码修改为非默认密码。可以由使用者拿到USB Key设备后进行修改,也可以由管理员修改后再进行分配。
    1. 双击任务栏右下角的图标,并选择修改密码




      Note: 如未修改默认密码,插入USB Key设备或重新启动PC后,用户也将收到修改密码的提示。也可以单击该窗口的确定进行密码修改。



    2. 输入当前的USB Key密码,并输入新密码后,单击确定




      Note: 初始默认密码为1234,新的密码可以为任意非空字符串。进行USB Key签发和使用该USB Key进行登录认证时,都将用到该密码。
  7. 输入帐号密码,单击登录
    Note:
    • 如不使用双因子认证,请将密码留空,直接单击登录
    • 如使用双因子认证,请输入第一重认证的密码后,单击登录




  8. 在弹出的验证USBKey密码窗口中,输入USB Key的密码,并单击登录




    Note: 如无法使用键盘直接输入,请勾选使用软键盘,并使用软键盘输入USB Key的密码。
登录成功后,进入运维审计系统的Web界面主页面。
  • 在任一界面单击左上角的H3C,可以回到首页。
  • 在任一界面单击上方的工作台,可以切换到不同的服务项。
  • 单击右上角的用户帐号名称(例如操作员),可以打开帐号设置访问记录帮助菜单,或退出登录。




8.4 通过Web界面登录运维审计系统(使用X.509证书认证)

仅当管理员设置了用户需要进行X.509证书认证时需要安装X.509证书。仅当进行Web界面登录时需要使用该证书。

X.509证书与用户一一对应,请用户向管理员获取自己的X.509用户证书及对应的证书密码。用户证书是p12或pfx格式的加密证书,获取任意一种即可。

通过Web界面登录的环境要求请参考下表:

表8.1 通过Web界面登录的环境要求
项目 要求
操作系统 Windows XP SP3及以上版本。
浏览器
  • Microsoft Internet Explorer 11.0及以上版本
  • Mozilla Firefox 50及以上版本
  • Google Chrome 49及以上版本
显示器分辨率 建议最小为1280*1080(系统的缩放设置为100%时)。
Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
Chrome和IE使用的是同一证书体系,Firefox使用的是自己的证书体系。本节的操作步骤仅指导进行Chrome和IE证书的安装导入。Firefox的证书导入,请在Firefox菜单的选项 > 隐私与安全 > 证书中单击查看证书,并将证书导入到个人页签中。

本节以IE11浏览器为例,指导完成登录Web界面。

  1. 双击获取的p12或pfx格式的证书
  2. 证书导入向导中,选择当前用户,并单击下一步




  3. 直接单击下一步




  4. 输入证书的密码,并单击下一步。如证书无密码则不输入。




  5. 选择证书存储位置。
    1. 选择将所有的证书都放入下列存储
    2. 单击浏览
    3. 选择个人并单击确定
    4. 单击下一步




  6. 单击完成,完成证书导入。
    导入成功后,将显示导入成功提示:



    用户可以在使用Chrome或IE浏览器登录运维审计系统时使用该证书完成X.509认证。
  7. 在浏览器中输入运维审计系统的IP地址(https://运维审计系统的IP地址),进入运维审计系统的Web登录页面。
    Note: 登录时如出现以下界面 ,请选择继续前往(例如IE浏览器请单击详细信息 > 转到此网页(不推荐))。管理员如为运维审计系统配置了安全证书,用户也可以安装安全证书并刷新网页。



  8. 在弹出的选择证书窗口中单击更多选项选择对应的证书,并单击确定




  9. 输入帐号密码,单击登录




    Note:
登录成功后,进入运维审计系统的Web界面主页面。
  • 在任一界面单击左上角的H3C,可以回到首页。
  • 在任一界面单击上方的工作台,可以切换到不同的服务项。
  • 单击右上角的用户帐号名称(例如操作员),可以打开帐号设置访问记录帮助菜单,或退出登录。




管理员会对证书的匹配设置相关规则,例如绑定用户登录名、姓名或邮箱。如果用户自行修改了相关信息,将无法再使用已安装的证书,请向管理员重新申请制作证书。

8.5 安装安全证书

访问运维审计系统的Web界面时,如果提示证书错误,请安装运维审计系统的安全证书。

该操作要求 运维审计系统的超级管理员必须为运维审计系统正确配置了安全证书。
Chrome和IE使用同一证书体系,在Chrome或IE其中之一中将证书导出到文件并安装证书后,Chrome和IE都将不再提示证书错误。
Firefox使用的是自己的证书体系,在添加安全例外(如下图所示)之后,Firefox将自动获取并导入证书。完成后,Firefox将会一直显示该连接不安全,但不影响访问。



本节以Chrome为例指导完成安全证书的安装。

  1. 访问运维审计系统的Web界面,单击地址栏左侧的不安全提示,然后单击证书




  2. 选择详细信息页签,并单击复制到文件...




  3. 连续直接单击下一步,进入指定文件名界面,单击浏览...




  4. 选择证书待保存的路径,输入文件名,并单击保存下一步




  5. 单击完成,完成证书导出到文件。
  6. 双击导出的cer格式的证书,并选择安装证书...




  7. 证书导入向导中,选择当前用户,并单击下一步




  8. 选择证书存储位置。
    1. 选择将所有的证书都放入下列存储
    2. 单击浏览
    3. 选择受信任的根证书颁发机构并单击确定
    4. 单击下一步




  9. 单击完成,完成证书导入。
    Note: 如出现以下安全提示,单击进行确认。



完成证书导入后,重新启动Chrome或IE浏览器,访问运维审计系统的Web界面,将不再提示证书错误。
如导入证书并重启浏览器后,访问运维审计系统仍出现证书错误提示,请在Windows的证书管理器中检查受信任的根证书颁发机构中是否存在该证书,并检查证书的内容。
证书的使用者可选名称中,必须包含访问运维审计系统使用的IP地址。如无该信息,表明运维审计系统后台的证书配置有误,请联系超级管理员检查证书配置。



8.6 共享会话

用户可以通过运维审计系统将已打开的会话,共享给另一个用户,实现两人同时对同一个会话进行操作。

用户加入共享后,开启共享的用户不能取消对该用户的共享。但如果开启共享的用户关掉被共享的会话窗口,所有加入共享的用户的会话窗口都将被自动关闭。

会话共享有以下使用限制
  • 待共享的会话必须是通过Web界面或SSH客户端建立的会话。通过RDP客户端建立的会话,无法进行会话共享。
  • 会话共享列表中将不显示AS/400资产会话、SFTP会话和被复核的会话。
  • Web界面建立的RDP会话和应用系统会话,如需共享,访问方式必须设置为web方式。请在图形会话配置中修改。应用系统客户端如被管理员设置为使用RemoteAPP,也无法共享相关会话。

8.6.1 发起共享

  1. 访问资产
  2. 在Web界面中选择工作台 > 访问资产 > 会话共享
  3. 单击共享,打开可共享的会话列表。




  4. 选择要共享的会话,单击邀请




  5. 在受邀人输入框中填入待邀请的用户名称,在下拉菜单中选中该用户,并单击确定,发送邀请给对应的用户。




    Note:
    • 发送邀请后,会话共享列表中将显示该共享会话。受邀人接受邀请之前,发起共享的用户可以单击撤销按钮取消邀请。如发起共享的用户在受邀人接受前关闭该会话或退出登录,邀请也将被自动取消。



    • 受邀人接受邀请之后,发起共享的用户如刷新列表,将看到该会话的操作一栏为正在加入,并在加入成功后显示为已加入



8.6.2 加入共享

受邀人收到共享邀请后可以选择加入会话共享。

  1. 通过Web界面登录运维审计系统
  2. 在右上角单击消息提醒图标,可以看到收到的会话共享邀请。单击查看详情,将跳转到会话共享界面。也可以直接选择工作台 > 访问资产 > 会话共享进入该界面。




  3. 在会话共享列表中找到该条邀请,单击加入,加入到被共享的会话中。




    Note: 受邀人可以随时关闭被共享的会话窗口(不包括在字符会话中执行exit断开会话),不影响共享发起人和其他受邀人的会话。但再次加入需要共享发起人再次邀请。
联系我们