手册下载
H3C SecPath A2000-G[AK][V]系列 运维审计系统
应用发布配置手册
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
堡垒机对于应用发布服务器的硬件配置需求取决于访问应用发布会话的并发数,以及各应用程序所需要消耗系统资源的多少,推荐的配置如下表所示:
表1-1 推荐的硬件配置
硬件 |
需求 |
处理器 |
最低:双核CPU |
内存 |
最低:8GB RAM |
可用磁盘空间 |
最低:100GB |
Microsoft Windows Server 2008 R2
由于Windows Server 2008 R2的bug,使用RemoteApp过程中可能会出现“由于协议错误,会话将被中断。请重新连接到远程计算机”,因此请务必保证应用发布服务器为Windows Server 2008 R2,并安装sp1补丁,然后安装Windows6.1-KB2696020-x64.msu、Windows6.1-KB2699817-x64.msu、Windows6.1-KB2798286-x64.msu三个补丁。
堡垒机到应用发布服务器之间网络不要做限制,并且保证应用发布服务器上所安装的客户端能正常访问服务端。
依次打开“开始菜单”>“管理工具”>“服务器管理器”>“角色”,点击“添加角色”,如下图:
图1-1 服务器管理器添加角色示意图
接着点击“下一步”,选择“远程桌面服务”,如下图:
图1-2 选择服务器角色示意图
接着点击“下一步”,选择“远程桌面会话主机”和“远程桌面授权”,如下图:
图1-3 选择角色服务示意图
接着点击“下一步”,直到出现选择身份验证方法,选择“不需要使用网络基本身份验证”,如下图:
图1-4 选择身份验证方法示意图
接着点击“下一步”,选择授权模式为“每设备”,如下图:
图1-5 选择授权模式示意图
接着点击“下一步”,一直到安装完成,系统会提示重启服务器,如下图:
图1-6 安装结果示意图
重启之后重新登录,会继续执行安装配置,直至安装完成。
远程桌面服务组件需要先激活授权管理器,再将微软提供的许可证导入授权管理器才能正常使用远程桌面服务。
依次打开“开始菜单”>“管理工具”>“远程桌面服务”>“远程桌面授权管理器”,如下图:
图1-7 远程桌面服务管理界面示意图
接着选择要激活授权的服务器,右击选择“激活服务器”,如下图:
图1-8 RD授权管理器示意图
接着在弹出的对话框中,点击“下一步”,如下图:
图1-9 服务器激活向导示意图
接着点击“下一步”,进入连接方法界面,本手册以“Web浏览器”的连接方法为例进行说明,如下图:
图1-10 选择连接方法示意图
表1-2 连接方法说明
连接方法 |
描述 |
自动连接(推荐) |
使用此方法的前提是要确保应用发布服务器能连通互联网,否则无法进行授权许可。 |
Web浏览器 |
此方法适用于应用发布服务器无法连通互联网,但需要进行授权许可。找一台能连通互联网的windows电脑,在浏览器中输入https://activate.microsoft.com,进入远程桌面服务器授权页面进行授权许可。 |
电话 |
此方法适用于通过微软的服务热线进行电话授权许可,此方法比较繁琐,需要提供各种详细信息。 |
接着点击“下一步”,进入许可证服务器激活界面,如下图:
记录下上图中的ID,访问https://activate.microsoft.com(请注意是https),如下图:
图1-12 远程桌面服务授权
如果需要更换页面语言为中文,请选择语言为“Chinese(Simplified)”,保持对“Activate a license server”选择,然后点击“下一步”,进入下图:
图1-13 提供激活许可证服务器信息
这里输入刚才图1-11中的产品ID和填写相关必填项后(标有红色*号部分为必填项),填写完毕后点击“下一步”,进入下图:
图1-14 确认激活许可证服务器信息
确认填入信息无误之后,继续点击“下一步”,进入下图:
将红色部分的ID号输入至图1-11页面中(先不要关闭该页面),如下图:
图1-16 输入许可证服务器ID
接着点击“下一步”,激活授权管理器,如下图:
接着图1-17,继续点击“下一步”,安装许可证,如下图:
图1-18 安装许可证向导
接着点击“下一步”,进入下图:
这里许可证密钥包ID,依然需要从之前的Web页面获得,请返回到图1-15中,点击“是”,如下图:
图1-20 进入证密钥包ID web界面
进入新的界面中“许可证程序”一般选择“开放式许可证”,如有特殊需求请向微软单独购买企业协议授权。填入公司相应信息,如下图:
图1-21 RDS授权页面示意图
接着点击“下一步”,进入下图:
图1-22 RDS授权页面示意图
产品类型选择为“Windows Server 2008 R2 RDS每设备CAL或Windows Server 2008 TS每设备 CAL”,数量和授权号码、许可证号码需要向微软申请购买,填入信息后,进入下图:
图1-23 RDS授权页面示意图
确认输入信息无误,继续点击“下一步”就能够获得了许可证秘钥ID号,如下图:
说明:
若出现激活无效问题,可人工进行激活:
打4008203800(手机)或者8008203800(座机),进去之后依次选择5、1、5,会转人工激活。
图1-24 RDS授权页面示意图
将许可证密钥包ID输入至图1-19中的相应位置,如下图:
图1-25 服务器激活向导示意图
点击“下一步”,完成许可证安装,如下图:
图1-26 RDS授权完成页面示意图
到此授权管理已经成功激活并且成功安装了许可证。
在应用发布服务器使用管理员登录堡垒机,在“工具下载”栏下载Winlogon安装程序,双击Winlogon安装程序,选择安装路径(默认即可),点击“安装”,如下图:
图1-27 安装Winlogon向导示意图
一直选择默认安装,在“Winsync允许IP”和“服务器IP”栏中填入堡垒机的ip地址,如下图:
图1-28 Winlogon配置示意图
点击“确定”完成Winlogon安装。
如果有多台堡垒机请用分号间隔各IP。如果需发布IE,请勾选“注册IE插件”。勾选之后应用发布服务器上的IE浏览器不允许在本地直接使用,必须通过堡垒机的应用发布调用。
使用配置管理员登录堡垒机,在“基本控制”>“目标设备”界面中先将应用发布服务器作为普通的Windows设备添加到堡垒机,然后编辑应用发布服务器,在服务列表中编辑“RDP”服务,如下图:
图1-29 编辑应用发布服务器RDP服务示意图
将“应用发布服务器”勾选上,点击“测试连接”之后,堡垒机会自动获取应用发布服务器上的Winlogon信息(版本、路径),如下图:
图1-30 应用发布服务器Winlogon测试连接示意图
参数解释:
同步:若勾选此选项,堡垒机会在应用发布服务器上创建和普通用户同名的系统账号。当普通用户访问应用程序时,登录该应用发布服务器都使用各自的同名系统账号,密码由堡垒机随机产生并完成登录。
在同步模式下访问某些应用,应用会将用户的配置保存在家目录下。如果需要该应用的配置对所有用户都生效,需要将修改好的配置复制到C:\Users\DefaultUser目录下,所有新建用户会从该目录下读取配置文件。
图1-31 勾选同步用户示意图
若未同步成功,管理员可以在应用发布服务器的基本信息配置页面手动点击同步,如下图:
图1-32 手动同步用户密码示意图
堡垒机需要访问应用发布服务器TCP/5156端口,如果此处获取不到Winlogon版本和路径信息,请检查Winlogon配置页面堡垒机地址是否填写正确,以及应用发布服务器防火墙是否允许该服务端口。
在应用发布服务器上安装需要发布的客户端工具。如:plsql、sqlplus、SQL server management studio、Quest Central for DB2、VMware vSphere Client等。安装好之后,确保能找到可执行程序的绝对路径,在发布应用的时候,需要填写这些客户端工具的绝对路径。
新建目标设备之后添加rdpapp服务,配置方法如下图所示:
图2-1 C/S应用发布rdpapp服务示意图
参数解释:
· 名称:该应用程序的名称。
· app类型:这里选择general。
· Winlogon:“应用程序”一栏填入应用程序的绝对路径。
· RemoteApp程序:填入slrdp。
· 其余选项类似rdp服务的配置,这里不再重复介绍。
少数应用程序除了需要填写绝对路径还需要填写工作目录和参数,请参考应用程序的快捷方式的属性进行设置。
对于一些需要登录认证的应用程序,堡垒机提供了一套自动登录的机制来完成用户认证信息的填写。用户在设备列表中选择应用程序和相应的系统账号之后,堡垒机会在应用发布过程中自动填写登录页面的用户名和密码等相关信息。
应用程序账号密码代填兼容版本信息如下表所示:
表2-1 B/S应用程序账号密码代填兼容列表
类别 |
软件 |
已适配的版本 |
Oracle客户端 |
SQL PlusW |
Oracle Client 9i |
Oracle Client 10g |
||
Pl/SQL Developer |
7.1 |
|
9 |
||
10 |
||
11 |
||
Toad for Oracle |
9.7 |
|
10.5 |
||
SQL Server客户端 |
SQL Server查询分析器 |
2000 |
SQL Server Management Studio |
2005简易版中文 |
|
2008简易版中文 |
||
2005中文 |
||
2008中文 |
||
2012中文 |
||
DB2客户端 |
Quest Central for DB2 |
V5.0英文 |
VMware客户端 |
VMware vSphere Client |
5.5中文 |
VMware vSphere Client |
6.0中文 |
|
其它 |
Radmin |
3.4中文版 |
PowerBuilder |
9.0企业版 |
内置cs代填脚本是根据可执行文件名进行代填脚本的匹配,同一个应用存在多个版本时,默认启用了最高版本的代填脚本,如果要使用低版本的应用,管理员可以在“策略配置”>“密码代填”栏进行修改。
新建目标设备之后添加rdpapp服务,配置方法如下图:
图2-2 一般应用密码代填radapp服务示意图
参数解释:
· 名称:填入需要访问的IP地址。
· Winlogon应用程序:填写vsphere的绝对路径。
· RemoteApp程序:中填写‘slrdp’。
接着在“密码管理”页面中配置好vsphere登录的账号及密码,配置好访问权限后使用普通用户即可登录,如下图:
图2-3 一般应用密码代填登录界面示意图
可以看到,IP地址、用户名以及密码已经被自动填入并且已经自动开始登录,如下图:
图2-4 一般应用密码代填结果示意图
新建目标设备之后添加rdpapp服务,配置方法如下图:
图2-5 Oracle应用radapp服务示意图
参数解释:
· 名称:填入需要访问的数据库名称。
· Winlogon应用程序:填写plsqldev.exe程序的绝对路径。
· RemoteApp程序:中填写slrdp。
接着在“密码管理”页面中配置好登录oracle数据库的账号及密码,配置好访问权限使用后普通用户即可登录,如下图:
图2-6 Oracle应用密码代填登录示意图
成功进入界面即为代填成功,如下图:
图2-7 Oracle应用密码代填结果示意图
Oracle类型的应用发布系统账号比较特殊,堡垒机在原有系统帐号的基础上做了扩展,扩展方式为“原账号_as_登录角色代码”,(其中as_0代表角色为“normal”的oracle帐号,as_1代表角色为“sysoper”,as_2代表角色为“sysdba”)例如:
oracle的管理员账号为“sys”,该帐号在用plsql登录的时候要选择角色为“sysdba”,所以我们要新建一个名为“sys_as_2”的系统帐号。
图2-8 Oracle系统账号说明示意图
由于该客户端安装过程中可能选择不同的选项安装导致未知问题,故 PL/SQL的发布不能用账号同步方式,用administrator的系统账号进行发布,步骤如下:
(1) 编辑应用发布服务器RDP服务,取消同步选项勾选,点击“确定”保存配置。如下图所示:
图2-9 取消同步示意图
(2) 编辑对应的RDPAPP服务,设置RDPAPP服务的系统账号,如下图:
图2-10 设置RDPAPPP系统账号
点击“确定”保存即可。
取消同步选项勾选后,应用发布服务器上发布的每个RDPAPP服务的系统账号都需要设置成administrator,且应用发布服务器的administrator密码必须托管。
通过IE浏览器来访问的系统,我们需要通过HTTP类型的应用发布来进行访问。需要开启Winlogon的“注册IE插件”功能,如下图所示:
图3-1 注册IE插件示意图
新建目标设备之后添加rdpapp服务,配置方法如下图:
图3-2 B/S应用发布rdpapp服务示意图
参数解释:
· 名称:该应用程序的名称。
· App类型:本节介绍HTTP方式,这里选择http。
· Winlogon:“app类型”选择http之后“应用程序”一栏会自动填上IE浏览器的路径。
· RemoteApp程序:填入slrdp。
· 入口URL:填入要访问的URL链接。
· 允许域名:填上允许访问的ip地址或者域名(格式参考下面的说明文字)。
· 其余选项类似rdp服务的配置,这里不再重复介绍。
配置好访问权限之后便可直接访问,访问过程中IE浏览器会自动跳转至配置好的URL。
全自动脚本是HTTP类型密码代填中最简单配置的方式,编辑相关服务,如下图:
图3-3 http类型配置全自动脚本登录示意图
选择登录脚本为“全自动脚本”。
填写网页匹配的Url pattern,可以点击“默认填写”生成左边的默认Url pattern,Url pattern是指HTTP类型密码代填中的匹配。
当Url pattern匹配网页的URL时,堡垒机就会提交用户名、密码进行代填操作,所以需要确定。如某产品的登录url为https://186.25.0.2/web/frame/login.html,则其URL pattern不能使用默认的,需要将其修改为http[s]?://{domain}/web/frame/login.html$。
Url pattern不能匹配成用户登录成功后的网页URL,否则堡垒机就会一直尝试代填。
Url pattern采用的是正则表达式的结构。
进入“密码管理”菜单,托管账号密码,并分配相应的权限,直接使用普通用户进行登录测试,如下图:
图3-4 http类型配置全自动脚本登录页面示意图
登录网页进行了账号密码代填并成功进入网页,即为成功,如下图:
图3-5 http类型配置全自动脚本登录成功示意图
因为登录测试不允许进行操作,如果遇见“证书错误”等需要先进行交互式操作才能出现登录页面的,请先建立访问权限,然后用普通用户测试。
使用半自动脚本方式,需要获取登录界面html的标签属性,配置比全自动复杂。
首先使用浏览器,访问目标设备页面,如下图:
图3-6 http类型半自动脚本登录页面示意图
接着点击键盘“F12”,打开浏览器开发人员调试工具,如下图:
(1) 点击“选择元素”按钮。
(2) 将鼠标移动到用户名输入框后单机。确认该元素被锁定。
(3) 查看该HTML元素的属性。其中需要获取“name”字段属性或者“id”字段属性。
图3-7 HTTP类型半自动脚本页面元素示意图
以同样的方式获取密码框和登录按钮的“name”或者“id”属性,编辑相关服务,如下图:
图3-8 半自动脚本服务配置示意图
参数解释:
· 选择登录脚本为“半自动脚本”。
· 填写网页匹配的Url pattern,可以点击“默认填写”生成左边的默认Url pattern。
· 编辑“用户名框标识”,“密码框标识”,“提交按钮标识”为上一步获取到的内容。
接着进入“密码管理”,托管账号密码,并分配相应的权限,直接使用普通用户进行登录测试。
图3-9 半自动脚本登录测试页面示意图
登录网页进行了账号密码代填并成功进入网页,即为成功。
图3-10 半自动脚本登录测试成功示意图
B/S应用的密码代填仅支持form表单有明确的id或者name,无验证码,登录按钮没有绑定特殊JavaScript事件的情况。
IE浏览器可以做URL限制,在允许域名栏填入允许访问的IP或域名白名单,如下图:
图3-11 IE浏览器URL限制示意图
Chrome浏览器用于支持vSphere_Web_Client密码代填,在应用发布服务器上需配置以下内容:
(1) 需要管理员在自己的PC上已经安装和配置好Java环境,具体过程略。
(2) 安装Chrome浏览器:Chrome v59至v61之间的版本。
(3) 安装.net3.5。
新建目标设备之后添加rdpapp服务,配置方法如下图:
图3-12 Chrome类型radapp服务示意图
参数解释:
· 名称:该应用程序的名称
· App类型:本节介绍Chrome方式,这里选择Chrome。
· RDP服务:配置应用发布服务器及登录该应用发布服务器的系统账号,若之前配置应用发布服务器勾选了“同步”则这里只需要选择应用发布服务器。
· Winlogon:“应用程序”一栏填入Chrome浏览器的绝对路径。
· RemoteApp程序:不填。
· 入口URL:填入要访问的URL。
· 登录模式:不带填、自动和高级三种模式。
配置好访问权限之后便可直接访问,访问过程中Chrome浏览器会自动跳转至配置好的URL。
自动寻找需要代填的用户名,密码框和提交按钮,该模式只能处理简单场景,可适用于vSphere_Web_Client密码代填
编辑目标设备rdpapp服务,配置方法如下图:
图3-13 Chrome类型密码自动代填radapp服务示意图
其中登录模式选择“自动”,其它参考chrome类型的发布。
如果自动代填没有代填成功,可以使用高级代填配配置,编辑目标设备rdpapp服务,配置方法如下图:
图3-14 Chrome类型密码高级代填radapp服务示意图
登录模式:选择“高级”,填入用户名框、密码框、提交按钮标识(都为css选择器),右击页面用户框>copy>copyselector,具体操作如下图所示:
图3-15 Chrome类型密码代填高级模式示意图
· 1、使用Chrome浏览器进行密码代填时,有些设备,如H3C的V7防火墙和ACG1000设备的登录界面,无法进行账号密码的自动代填,请适应IE进行代填。
· 2、chrome浏览器默认安装路径位于administrator的目录下,需要手工复制整个目录到program files目录下,发布应用时应该使用program files目录下的chrome。
· Chrome代填,填写应用程序路径时,一般需要把应用程序路径的双引号去掉。
使用配置管理员登录到堡垒机,进入“权限配置”,“权限配置”进行应用访问权限的配置,其中对应的服务协议需选择rdpapp,如下图所示
图4-1 应用发布访问权限配置示意图
如果某设备发布了多个应用程序,限制只能使用某个设备中特定应用,可以在访问权限对应的“服务名称”栏进行配置。如下图所示
图4-2 限制只能使用某个设备中特定应用示意图
普通用户先登录堡垒机,然后选择相应的应用程序完成登录,整个过程跟在本地机器上打开应用程序一样。
图5-1 登录堡垒机
由于是采用RDP协议访问应用发布服务器提供的应用程序,所以对终端平台有以下要求:
· 终端操作系统必须为Windows桌面版本的操作系统。
· Windows的RDP版本至少6.1版本。
· 如果终端操作系统为Windows XP,请检查RDP版本,如果版本过低请升级RDP版本。