1.6.3 使用USB Key完成登录认证

2.1 举例：Windows域资产管理和访问

2.2 举例：Oracle数据库管理和访问

2.3 举例：MSSQL数据库管理和访问（本地帐号）

2.4 举例：MSSQL数据库管理和访问（域帐号）

2.5 举例：IBM DB2数据库管理和访问

2.10 举例：H3C Comware资产管理和访问

4.3 举例：Unix/Linux系统改密

6.3 附录：检查USB Key可用性并导出证书

1 用户

1.1 举例：AD认证

通过配置AD认证可以实现用户帐号登录运维审计系统时使用AD进行集中身份验证。

在配置AD前，请确保您已经理解了AD相关的概念和术语。

运维审计系统缺省提供一个名称为AD/LDAP的认证方式（名称支持修改），状态为禁用。用户可以使用缺省的认证方式，也可以创建新的AD认证服务器。本节以新建AD认证服务器为例进行介绍。

请使用超级管理员进行以下操作。

准备AD基本信息。
包括：
- IP地址或者域名、端口：AD的通讯端口默认为389，如果要使用SSL默认的端口为636。
- 域名：AD的Domain，比如"example.com"。
在运维审计系统中设置AD服务器。
1. 单击右上角的用户帐号（比如admin），选择系统设置。
2. 选择用户 > 登录认证 > AD/LDAP，单击添加。
3. 选择服务器类型为微软AD。
4. 设置各参数，完成后单击确定。
  - 如果存在备份服务器地址，可以使用英文逗号分隔的方式填写在服务器地址中。比如"10.10.16.11,10.10.16.12"。
  - 如果服务器端口不是默认端口，可在服务器地址后以英文冒号分隔的方式加端口号，比如"10.10.16.11:3890"。
  Note: 如果您希望AD中的用户自助登录运维审计系统，您可以选中新用户自动加入系统，然后设置新用户的角色。设置完成后AD中的用户可以直接用AD中的用户名和密码登录运维审计系统，用户首次登录时会自动建立同名的用户帐号。
单击测试，填写AD中的用户名和密码，单击确定，可以验证配置是否正确。
设置用户帐号的身份验证方式。
1. 选择用户 > 用户管理 > 用户列表，单击新建用户。
2. 选择用户角色后，单击下一步。
3. 设置各参数，单击创建。
  - 帐号：一般填写AD的登录名。
  - 姓名：按实际填写。
  - 身份验证：选择AD服务器的名称。
  Note: 如果运维审计系统中的帐号和AD中的不一致，可以在LDAP用户名中单独设置AD中对应的帐号名。
如果配置正确，身份验证为AD/LDAP的用户可以使用AD中的密码登录运维审计系统。

1.2 举例：LDAP认证

通过配置LDAP认证可以实现用户帐号登录运维审计系统时使用LDAP进行集中身份验证。

在配置LDAP前，请确保您已经理解了LDAP相关的概念和术语。

运维审计系统缺省提供一个名称为AD/LDAP的认证方式（名称支持修改），状态为禁用。用户可以使用缺省的认证方式，也可以创建新的LDAP认证服务器。本节以新建LDAP认证服务器为例进行介绍。

请使用超级管理员进行以下操作。

准备LDAP基本信息。
包括：
- 服务地址和端口：LDAP通讯端口默认为389，如果要使用SSL默认的端口为636。
- 查询用户DN和密码：查询用户DN可以在LDAP服务器通过ldapsearch命令获取。如果LDAP允许匿名查询，也可以不提供。
- BaseDN：需要登录运维审计系统的用户DN的范围，比如"dc=mydomain,dc=org"。
- 用户名属性：LDAP中的登录名的属性名称，如uid、cn等。
- SSL相关文件：如果要使用SSL，还需要提供LDAP服务的CA证书，如果LDAP服务器要求使用证书验证运维审计系统的身份，您还需要准备运维审计系统的客户端证书（CERT）和对应的KEY文件。当然如果不要求客户端身份验证，您也可以不提供上述文件。
在运维审计系统中设置LDAP服务器。
1. 单击右上角的用户帐号（比如admin），选择系统设置。
2. 选择用户 > 登录认证 > AD/LDAP，单击添加。
3. 选择服务器类型为通用LDAP服务器。
4. 设置各参数，完成后单击确定。
  Note:
  - 如果您希望LDAP中的用户自助登录运维审计系统，您可以选中新用户自动加入系统，然后设置新用户的角色。设置完成后LDAP中的用户可以直接用LDAP中的用户名和密码登录运维审计系统，用户首次登录时会自动建立同名的用户帐号。
  - 如果勾选了服务器要求安全连接(SSL)，但是不希望提供证书，您可以勾选允许忽略无效证书。
单击测试，填写LDAP中的用户名和密码，单击确定，可以验证配置是否正确。
设置用户帐号的身份验证方式。
1. 选择用户 > 用户管理 > 用户列表，单击新建用户。
2. 选择用户角色后，单击下一步。
3. 设置各参数，单击创建。
  - 帐号：一般填写LDAP的登录名。
  - 姓名：按实际填写。
  - 身份验证：选择LDAP服务器的名称。
  Note: 如果中的帐号和LDAP中的不一致，可以在LDAP用户名中单独设置LDAP中对应的帐号名。
如果配置正确，身份验证为AD/LDAP的用户可以使用LDAP中的密码登录运维审计系统。

1.3 举例：RADIUS认证

收集RADIUS服务器的信息。
- 服务器的IP地址。
- 服务器RADIUS服务的端口号。
- 服务器RADIUS服务的共享密钥。
- 服务器RADIUS服务支持的认证方式（例如：PAP或者CHAP）。
确保运维审计系统能访问RADIUS服务器的认证端口。
拥有超级管理员帐号。

RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。RADIUS在运维审计系统中，主要体现的是认证功能。

请使用超级管理员进行以下操作。

配置RADIUS认证方式。
1. 单击当前帐号，选择系统设置。
2. 选择登录认证 > RADIUS，输入RADIUS信息，单击确定。
  - 选择启用。
  - 认证方式：选择RADIUS服务器的认证方式（PAP或者CHAP）。
  - 服务器地址：输入RADIUS服务器的IP地址。
  - 共享密钥：输入RADIUS服务的共享密钥。
  Note:
  - 如果RADIUS使用的端口是非默认的1812端口，服务器地址输入格式为“IP地址:端口”。
  - 如果使用主备RADIUS服务器，服务器之间可以使用“,”分隔。
用户绑定RADIUS认证方式。
1. 选择用户 > 用户列表 > 新建用户。
2. 选择角色，单击下一步。
3. 设置用户信息，完成后单击创建。
  - 帐号：输入登录帐号。
  - 姓名：输入帐号登录者的真实姓名。
  - 身份验证：选择RADIUS协议。
  - RADIUS用户名：RADIUS用户名可以不填写，如果不填写，默认使用的名称就是帐号。
用户登录测试。
输入RADIUS的帐号密码，单击登录。

1.4 举例：手机令牌认证（双因子）

动态口令的基本认证原理是认证双方使用同一个共享密钥对时间进行密码算法计算，之后比较计算值是否一致从而进行认证。TOTP（基于时间的一次性口令）使用加密散列函数将密钥与当前时间戳结合，来生成一次性口令。TOTP缺省每60秒产生一个新口令，要求客户端和服务器能够十分精确的保持正确的时钟，客户端和服务端基于时间计算的动态口令才能一致。

手机令牌是TOTP在手机客户端上的实现。运维审计系统的手机令牌适用于双因子认证场景，即手机令牌和其他认证方式（例如本地密码、AD/LDAP和RADIUS认证）结合使用。本例介绍本地密码+手机令牌的双因子认证。

请使用角色为超级管理员的帐号登录执行以下操作。

单击右上角用户帐号（例如admin），选择系统设置。
选择用户 > 登录认证 > 手机令牌，设置各参数，完成后单击确定。
- 配置系统时间：单击请配置NTP服务或手工校准服务器时间，进入系统时间配置页面，可以选择手工校准服务器时间，也可以配置NTP服务（推荐）。
- 配置时间偏移窗：配置允许的手机和运维审计系统之间的时间偏差。整数形式，取值范围是1~30。取值每增加1，时间偏移增加30秒。缺省值是1，表示允许的时间偏移是30秒。
  Note: 时间偏移设置的太小，可能会由于网络延迟等原因导致认证失败。时间偏移设置的太大，可能会导致被攻击和破解。
选择用户 > 登录认证 > 双因子，单击新建。
设置各参数，完成后单击确定。
选择用户 > 用户管理 > 用户列表，单击新建用户。
选择操作员，单击下一步。
设置各参数，完成后单击创建。
身份认证：选择之前创建的双因子认证方式。

以下为用户mobile的登录过程。

打开运维审计系统的登录页面，输入mobile和对应的本地密码，单击登录。
下载手机动态码生成器客户端。
绑定手机令牌，需要用户在自己的智能终端上安装TOTP应用，例如Google Authenticator或FreeOTP。下载方法如下：
- 苹果手机：请在App Store中搜索“Google Authenticator或FreeOTP”，搜索到后直接安装即可。
- 安卓手机：请在搜索引擎中搜索“Google Authenticator或FreeOTP”，下载apk文件后安装。FreeOTP推荐使用1.5（含）以上版本；Google Authenticator推荐使用5.1（含）以上版本。
本文以使用Google Authenticator为例进行介绍。
打开手机上的Google Authenticator，单击开始，并在弹出的添加帐号页面单击扫描条形码。
Note: 只有第一次登录时需要进行扫码绑定。
使用Google Authenticator扫描运维审计系统登录界面出现的二维码，完成后单击完成绑定。

如果无法扫码绑定，请单击手动输入，在客户端中输入16位的字符进行设备的绑定。
打开Google Authenticator客户端，查看用户的手机令牌。
在运维审计系统输入手机令牌（6位数字），单击提交。

用户成功登录。

如果用户登录失败，请检查运维审计系统和手机的时间是否准确。
如果使用SSH客户端或者RDP客户端直连目标设备时，密码的输入格式如下：
认证方式1的密码+空格+6位手机令牌
如果用户更换手机，请管理员在相应帐号的修改页面勾选下次登录时重新绑定手机令牌，用户登录时重新绑定即可。

1.5 举例：短信认证（双因子）

本节以配置HTTP短信网关，并创建一个使用短信认证的用户，通过该用户完成登录认证为例，介绍运维审计系统短信认证功能的配置和使用。

短信认证只能作为双因子认证的认证方式2。使用短信认证需要完成以下配置：

配置短信网关
配置认证方式：启用短信认证，并配置包含短信认证的双因子认证
配置用户使用该认证方式

在完成了这些配置之后，使用相应用户登录运维审计系统需要输入短信验证码完成认证。

待配置的短信网关数据如下：

表1.1 短信网关数据信息
参数	取值	说明
网关类型	HTTP短信网关
URL	http://10.10.66.13:8099	短信网关的地址和端口号。
API参数	mobile=<%mobile%>,content=<%content%>	发送短信内容使用的API参数，格式为arg=value，多个API参数使用“,”进行分隔。请根据短信网关厂商的API文档进行填写。其中<%mobile%>表示手机号，<%content%>表示短信内容，登录认证时即为验证码。
字符编码	UTF-8	GBK、UTF-8或ASCII，与HTTP短信网关的设置保持一致。
发送方式	POST	发送短信的HTTP消息类型，取值包括POST和GET。

待配置的认证方式信息如下：

表1.2 认证方式数据信息
参数	取值	说明
认证类型	HTTP	启用HTTP短信网关后自动显示为HTTP。
消息过期时间（分钟）	2	认证消息过期时间。整数形式，单位是分钟，取值范围是1~5，缺省值是2。
双因子认证名称	密码+短信
认证方式1	本地密码
认证方式2	短信认证

待使用短信认证的用户信息如下：

表1.3 用户信息
参数	取值	说明
帐号/姓名	sms/sms
身份验证	密码+短信	选取已配置的包含短信认证的双因子认证。
密码	password
手机号码	1888888888	使用短信认证时必须配置手机号码，用于接收短信。需要保证该手机号码在短信网关的短信发送列表内。

配置短信网关

使用超级管理员登录运维审计系统的Web界面。
选择系统设置 > 系统 > 基本设置 > 短信配置。
选择HTTP短信网关的状态为启用。
根据表1.1 短信网关数据信息，设置相关参数，并单击确定。
单击测试，输入测试手机号和任意测试内容，单击确定。

如短信网关配置正确，将显示操作成功，并且测试手机将收到短信。

配置认证方式

选择系统设置 > 用户 > 登录认证 > 短信认证。
选择启用，设置消息过期时间为2分钟，并单击确定。
选择双因子页签，单击新建。
填写双因子认证信息并单击确定。

添加使用短信认证的用户

选择用户 > 用户管理 > 用户列表，单击新建用户。
选择用户角色为操作员，填写以下信息并单击创建。

验证使用短信认证登录

退出登录并重新访问运维审计系统。
输入使用短信认证的帐号，并输入本地密码。
如短信网关配置正确，用户绑定的手机号将收到短信，短信中会显示验证码。认证码短信的HTTP消息示例如下：
```
POST / HTTP/1.1
Accept-Encoding: identity
Content-Length: 28
Host: 10.10.66.13:8099
Content-Type: application/x-www-form-urlencoded
Connection: close
User-Agent: XXX

mobile=18888888888&content=894616
```
查看手机接收到的短信验证码，并在2分钟内输入到短信验证码窗口中，单击提交。

如短信验证码输入正确，用户将完成登录认证并进入运维审计系统的Web界面。

1.6 举例：USB Key认证

通过配置USB Key认证，可以实现当用户登录运维审计系统的Web界面时必须使用专门的USB Key才能完成认证。

USB Key是一种使用USB接口的硬件设备，它可以存储用户的私钥以及数字证书。一个USB Key设备可以签发多个签名密钥对和证书，一个签名密钥对和证书与一个用户严格对应。用户必须使用该USB Key设备以及对应的签名密钥对和证书来完成登录认证。

USB Key认证，可以作为单独的认证方式，也可以作为双因子认证的第二重认证方式。同时，运维审计系统支持跨站点签发USB Key，如果部署了多站点，在某一站点签发了USB Key，该USB Key也可以在其他站点使用。

超级管理员请参考配置USB Key，启用USB Key并为待使用USB Key的用户签发USB Key；签发了USB Key的用户请参考使用USB Key完成登录认证进行登录；以上两项操作，均需要先完成安装USB Key控件。

Note:

不支持使用MacOS系统进行USB Key的签发和认证。
本章介绍普通USB Key认证，国密USB Key认证请参见配置国密。

1.6.1 安装USB Key控件

配置USB Key和完成USB Key登录认证，都需要安装USB Key控件。

安装USB Key控件需要满足以下前提条件：

已获取新华三提供的USB Key设备。
已准备一台有USB 2.0及以上接口的Windows 10操作系统的PC，并已安装支持USB Key认证的浏览器（任意一款即可）：
- IE 10或11.0
- Firefox 70及以上非ESR版本
- Chrome 53及以上
- 密信浏览器V1.0.0.6

将USB Key设备插入本地PC的USB接口中。
运行USB Key设备中的et199auto.exe，安装控件。
控件将自动完成安装，安装完成后，右下角将提示USBKey已连接，并将在任务栏右下角显示图标。
安装USB Key认证插件ET199Plugin.exe。
1. 登录运维审计系统 Web界面。
2. 单击右上角的用户姓名（例如admin），选择帮助 > USBKey认证插件 > 下载，并单击下载将认证插件下载到本地。
3. 在本地PC上安装ET199Plugin.exe（直接默认安装即可）。
使用支持USB Key控件登录的浏览器登录运维审计系统 Web界面。
对于IE浏览器，在弹出的对话框中单击允许，启用加载项。
仅IE浏览器需要启用加载项，Chrome和Firefox浏览器无需启用加载项。

Note: 如果未弹出该提示，请在IE浏览器菜单中，选择管理加载项，对加载项ET199MFCPlugin Control，右键单击选择启用，并双击选择在所有站点上允许。
Optional: 修改USB Key的密码。
Note: 建议将USB Key的密码修改为非默认密码。可以由使用者拿到USB Key设备后进行修改，也可以由管理员修改后再进行分配。
1. 双击任务栏右下角的图标，并选择修改密码。
  
  Note: 如未修改默认密码，插入USB Key设备或重新启动PC后，用户也将收到修改密码的提示。也可以单击该窗口的确定进行密码修改。
2. 输入当前的USB Key密码，并输入新密码后，单击确定。
  
  Note: 初始默认密码为1234，新的密码可以为任意非空字符串。进行USB Key签发和使用该USB Key进行登录认证时，都将用到该密码。

1.6.2 配置USB Key

使用USB Key登录认证，需要超级管理员先完成USB Key的配置。

配置USB Key需要满足以下前提条件：

已获取新华三提供的USB Key设备。
已准备一台有USB 2.0及以上接口的Windows PC，安装了支持USB Key控件登录的浏览器，并完成安装USB Key控件。
已获取超级管理员帐号的用户和密码。

使用超级管理员登录运维审计系统 Web界面。

启用USB Key认证

单击右上角的用户姓名（例如admin），选择系统设置 > 用户 > 登录认证 > USBKey认证。
单击启用并单击确定，启用USB Key。
Optional: 如需使用双因子认证，将USBKey认证配置成双因子认证的第二重认证。
1. 选择双因子页签，单击新建。
2. 配置认证方式1为其他认证方式，认证方式2为USBKey认证。

设置用户使用USB Key认证

选择用户 > 用户管理 > 用户列表。
新建用户，或编辑已有用户，将身份验证设置为USBKey认证或包含USBKey认证的双因子认证。

签发USB Key

将USB Key设备插入本地PC的USB接口中。
在用户 > 配置 > USB Key管理中，单击签发新USBKey。
当进入USB Key管理页面时，出现下图弹窗，说明浏览器版本不满足前提条件，请使用支持USB Key控件登录的浏览器进行操作。
输入相关参数，并单击确定。
- USBKey序列号：用于在运维审计系统中唯一地标识一个USB Key，仅用于内部管理，可以不使用硬件序列号。例如180101AF02464。
- 持有人：必须是已存在的用户，且身份验证方式为为USBKey认证或包含USBKey认证的双因子认证，并且不存在已签发的USB Key，才能在此下拉选择。例如选择用户usb。
- 有效期：超过该有效期的USB Key将无法使用。取值范围为1 - 36500。例如取默认值1095。
当出现下图界面，说明不满足前提条件。请检查以下条件是否满足：
- 是否安装了et199auto.exe和ET199Plugin.exe。
- IE浏览器的管理加载项菜单中，是否已启用了ET199MFCPlugin Control，并且已允许当前运维审计系统的IP。
输入USB Key的密码，并单击登录。
如无法使用键盘直接输入，请勾选使用软键盘，并使用软键盘输入密码。

等待几秒钟后将收到操作成功提示，列表中将显示已签发的USB Key：

完成USB Key的签发后，如该USB Key将不再使用，可以单击对应的吊销按钮，将该USB Key吊销。吊销后可以单击重新签发，将该USB Key的状态再次变成已签发。

已签发的USB Key，可以双击任务栏右下角的

图标，选择对应的用户名称的签名密钥对和证书，并单击查看证书，查看证书的详情。

如果有多个USB Key设备，需要超级管理员依次插入USB Key设备，并分别完成USB Key的签发。

1.6.3 使用USB Key完成登录认证

超级管理员完成配置USB Key并为用户签发USB key后，用户可以使用USB Key完成登录认证。

使用USB Key完成登录认证需要满足以下条件：

超级管理员已为待登录用户签发了USB Key。
待登录用户已获取了USB Key设备及其密码。
待登录用户已准备了一台有USB 2.0及以上接口的Windows PC，安装了支持USB Key控件登录的浏览器，并完成安装USB Key控件。

将USB Key设备插入本地PC的USB接口中。
在IE11浏览器中输入运维审计系统的地址。
输入帐号、密码并单击登录。
如用户认证方式为USBKey认证，请不输入密码直接单击登录。如用户认证方式为包含USBKey认证的双因子认证，请输入认证方式1的密码并单击登录。
当出现下图界面，说明不满足前提条件。请检查以下条件是否满足：
- 是否安装了et199auto.exe和ET199Plugin.exe。
- IE浏览器的管理加载项菜单中，是否已启用了ET199MFCPlugin Control，并且已允许当前运维审计系统的IP。
输入USB Key的密码，并单击登录。
如无法使用键盘直接输入，请勾选使用软键盘，并使用软键盘输入密码。

已完成USB Key的认证，登录到运维审计系统的Web界面。

1.7 举例：动态令牌认证

运维审计系统支持基于时间的动态令牌认证。动态令牌可以独立作为一种认证方式，也可以和其他认证方式结合使用形成双因子认证方式。

已获取管理员分配的动态令牌。
已配置运维审计系统系统时间。请在系统设置 > 系统 > 基本设置 > 系统时间中配置。
Note: 运维审计系统支持手工修改和NTP同步两种方式修改系统时间和日期，推荐配置NTP方式。

TOTP （基于时间的一次性口令）使用加密散列函数将密钥与当前时间戳结合，来生成一次性口令。TOTP定期产生一个新口令，要求客户端和服务器能够十分精确的保持正确的时钟，客户端和服务端基于时间计算的动态口令才能一致。使用TOTP令牌不需要令牌和运维审计系统之间保持网络通信，也不需要其他额外的认证服务器。

Note: 本节仅以普通动态令牌为例进行介绍。国密令牌的配置请参考《Web配置指导》。

请使用角色为超级管理员的帐号登录执行以下操作。

单击右上角用户帐号（例如admin），选择系统设置。
选择用户 > 登录认证 > 动态令牌。
Optional: 单击配置PIN码安全性配置，设置PIN码的参数信息，完成后单击确定。
PIN码使用本地密码的安全性设置，具体配置请参考《运维审计系统Web配置指导》中系统设置章节下的登录认证：配置本地密码参数。
单击新建，输入动态令牌的参数信息，完成后单击确定。
- 动态令牌的SN由若干位数字组成，请在动态令牌实体上查看。
- 动态令牌的KEY由若干位数字和字符组成，请在发货附件中查看。KEY与SN一一对应。
如果选择批量导入令牌，有以下两种方式。
- 单击导入 > 上传文件，选择新华三提供的后缀名为tnk的文件，单击开始导入，导入完成后，单击下载导入结果，查看导入的动态令牌。
  Note: tnk文件的内容有两列，一列是SN，一列是对应的KEY，中间用空格分隔。
- 单击导入 > 下载模板，将Excel格式的模板文件保存到本地PC，打开本地模板文件，填写SN和对应的KEY，完成后保存文件，单击上传文件，选择保存的Excel文件。
Note: 不需要导入的动态令牌，直接单击令牌对应的，从列表中删除该令牌。
Optional: 当动态令牌的时钟与运维审计系统不一致时，执行同步动态令牌时钟漂移操作。
1. 单击令牌对应的同步。
2. 按下动态令牌的按钮，获取第一个动态密码，填写到动态密码1中，第一个动态密码消失后再次按下按钮，获取第二个动态密码，填写到动态密码2中，单击同步。
  Note: 两个动态密码必须是连续的。
Optional: 当运维审计系统的系统时间发生变化时，执行批量同步操作重置所有动态令牌的时钟漂移值，确保动态令牌时间和运维审计系统系统时间保持同步。
1. 单击批量同步。
2. 在时钟漂移值中输入0，单击同步。
  时钟漂移值是指动态令牌和运维审计系统系统时间差，一般情况下配置为0。
  当系统时钟慢于令牌时钟时，时钟漂移值为正数；当系统时钟快于令牌时钟时，时钟漂移值为负数。
  Note:
  - 如果动态令牌数量大，在搜索框中输入令牌的SN或者绑定用户名的关键字，可以筛选出特定的令牌。单击重置清空关键字，查看所有令牌。
  - 如果使用双因子认证，请先在用户 > 登录认证 > 双因子中配置双因子认证，并将认证方式2选择为动态令牌，新建用户身份时身份验证选择刚才配置的双因子认证方式。

设置用户帐号的身份验证方式。

选择用户 > 用户管理 > 用户列表，单击新建用户。
选择用户角色后，单击下一步。

设置各参数，单击创建。

参数	说明
帐号	登录帐号
姓名	帐号登录者的真实姓名
身份验证	动态令牌
令牌号	请选择运维审计系统已添加的动态令牌。 Note: 一个令牌最多可以绑定五个用户。令牌被用户关联后不能被删除。
PIN1/确认PIN1	用户自己登录运维审计系统使用PIN1码+动态密码。
PIN2/确认PIN2	用于会话复核。具体请参考《运维审计系统Web配置指导》用户管理章节中的配置用户（手工创建）小节。
下次登录时必须修改PIN1码	如果选中，用户首次登录时需要修改PIN1码。

用户登录测试。
输入登录的帐号密码，单击登录。
Note:
- 使用动态令牌登录认证时，输入“PIN1码+动态密码”。
- 使用双因子认证时密码输入方式有以下两种。
  - 输入第一重密码后按回车或者单击登录等按钮后再输入“PIN1码+动态密码”。
  - 输入组合密码：直接在第一个密码框中输入“第一重密码+空格+PIN1码+动态密码”。

1.8 举例：LDAP导入

运维审计系统支持导入LDAP用户（AD或LDAP服务器的用户）。导入运维审计系统的用户的缺省角色是操作员、状态是活动。

如果LDAP导入的用户使用LDAP认证，请先配置LDAP认证或者配置AD认证，如果使用其他认证方式，不需要配置LDAP认证和AD认证。

本节将详细介绍批量导入LDAP用户的操作方式。已知数据信息如下表所示。

参数	取值	说明
LDAP地址	10.10.16.14	LDAP服务器的IP地址和端口，缺省端口号是389，如果使用SSL是636。 Note: 如果服务器的端口号是缺省的389或者636，仅输入IP地址即可；如果不是，输入格式为IP地址:端口号。
认证方式	密码认证
baseDN	cn=root,dc=example,dc=com	查询用户DN。
密码	123456	查询用户的密码。
baseDN	ou=People,dc=example,dc=com	登录运维审计系统的用户DN的范围。
objectClass	objectClass=person	选择设置用户所属的分组。

选择用户 > 用户管理 > 用户列表。
单击LDAP导入。
设置各参数。

Optional: 如果是LDAP over SSL (LDAPS)服务器，请选中服务器要求安全连接(SSL)，设置各参数。

参数	说明
CA	LDAP服务器的CA证书，单击浏览选择文件上传。
CERT	运维审计系统的客户端证书CERT，单击浏览选择文件上传。
KEY	运维审计系统的客户端证书对应的KEY，单击浏览选择文件上传。
允许忽略无效证书	如果选中，运维审计系统不对LDAP服务器的证书进行合法性检查；如果不选，运维审计系统将对LDAP服务器的证书进行合法性检查，对于使用非知名CA签发证书的LDAP服务器，请务必上传CA证书。

单击设置ldap用户属性关系，设置各参数，完成后单击保存。

参数	取值	说明
帐号	uid	置将LDAP服务器上的用户的什么属性作为运维审计系统的帐号。缺省值为AD中的用户名字段sAMAccountName。 Note: Open LDAP服务器且使用用户名字段作为帐号，此处就要修改为uid。
姓名	displayName	设置将LDAP服务器上的什么属性作为运维审计系统的姓名，缺省值为displayName。

单击查询。
Optional: 单击设置帐号选项，设置各参数，完成后单击保存。
单击开始导入。
Note: 不需要导入的帐号，请直接单击帐号对应的，从列表中删除该帐号。

导入时，如果运维审计系统上已存在相同的帐号，该帐号导入失败。
Optional: 单击下载导入结果，查看导入的帐号。

LDAP导入的用户的自定义用户属性为空，如果需要设置自定义属性或者需要修改用户的状态、帐号有效期、密码有效期等高级属性，请参考《运维审计系统Web配置指导》用户管理章节中的修改用户属性小节。

1.9 举例：X.509证书认证

运维审计系统支持通过X.509证书对用户进行身份认证。

本节以超级管理员配置X.509证书认证，并要求操作员opt01登录运维审计系统的Web界面时需要验证X.509证书为例，详细介绍X.509证书认证的具体配置和登录验证方式。

本节使用Windows系统和Chrome浏览器（IE可同样参考）完成用户证书的导入和访问。其他系统或浏览器的证书管理系统如不一样，请参考相应的指导完成证书导入。

已知数据信息如下表所示。

表1.4 X.509证书认证配置参数
参数	取值	说明
用户信息匹配规则	emailAddress={EMAIL},CN={LOGIN_NAME},OU=ROOT,*	匹配用户证书Subject内容的规则，使用正则表达式表示，各主题之间用英文“,”分隔。本例中，该取值表示用户所使用的证书中，emailAddress必须匹配用户在运维审计系统中的邮箱，CN（commonName）必须匹配用户在运维审计系统中的用户名，且OU必须为ROOT。 Note: 支持以下变量名。本例中CN使用{LOGIN_NAME}进行匹配，未使用{USER_NAME}。 {LOGIN_NAME}：用户的账号 {USER_NAME}：用户的姓名 {EMAIL}：用户的工作邮箱
受信任根证书	CA.crt	单击浏览，上传签发用户证书的根证书（扩展名可以为pem、crt、cert）。
验证深度	2	证书的验证深度。整数形式，取值范围是1~99。

表1.5 opt01证书参数信息
参数	取值	说明
countryName	CN	国家名称
stateORProvinceName	ZheJiang	州或省份名称
localityName	HangZhou	地区名称
organizationName	AAA	机构名称
organizationalUnitName	ROOT	机构单位名称。按本例的匹配规则必须设置为ROOT。
commonName	opt01	通用名称。按本例的匹配规则，必须与运维审计系统的登录用户名完全一致。
emailAddress	opt01@example.com	邮箱地址。按本例的匹配规则，必须与该用户在运维审计系统中填写的邮箱完全一致。

配置X.509证书认证

单击右上角的用户帐号（例如admin），选择系统设置。
选择用户 > 登录认证 > X.509证书认证。
单击启用，设置各参数信息，完成后单击确定。
在用户 > 用户列表中新建/修改opt01时，勾选Web登录是否验证X.509证书，完成后单击保存。

X.509证书登录认证

操作员opt01在本地PC上导入X.509证书。
Note: 由于验证深度大于1，操作员opt01还需要将所有中间证书导入用户本地PC。
1. 双击中间证书/用户证书文件，进入证书导入向导页面，选择存储位置为当前用户，完成后单击下一步
2. 勾选将所有的证书都放入下列存储（P），单击浏览。在弹出的对话框中选择证书存储位置。中间证书选择中间证书颁发机构，用户证书选择个人，完成后单击下一步。
  中间证书：
  
  用户证书：
3. 确认信息无误后单击完成。
  中间证书：
  
  用户证书：
以Chrome浏览器为例，操作员opt01在浏览器中输入运维审计系统的地址（https://运维审计系统的IP地址），进入运维审计系统的Web登录页面。在弹出的对话框中选择opt01的X.509证书，并单击确定确认证书。
进入运维审计系统的登录页面，输入opt01的帐号和密码，完成后单击登录，进入运维审计系统主页面。

2 资产

2.1 举例：Windows域资产管理和访问

Windows资产加入AD域控制器后，通过域帐号访问该目标资产时，运维审计系统支持自动代填域帐号、密码和域名。

在运维审计系统通过域帐号访问和管理域中的Windows资产时，需要满足以下条件：

已安装和配置AD域控制器。
AD域控制器与待加入域的Windows目标资产之间网络是连通的。

本节以将Windows server 2012资产加入域，并通过域帐号访问为例，详细介绍在运维审计系统中通过域帐号实现管理和访问Windows资产的具体方法。已知数据信息如下表所示。

表2.1 域控服务器和Windows资产数据信息
系统	数据	说明
AD域控制器	域名：hfnboatest.com IP地址：202...30 特权帐号：名称：administrator bindDN：CN=Administrator, CN=Users, DC=hfnboatest, DC=com 密码：password 待添加域帐号：名称：ad002 baseDN：CN=Users, DC=hfnboatest, DC=com 密码：password	待添加的域帐号需要配置远程登录权限并添加Domain Admins权限，用于登录Windows资产。
Windows资产	资产名称：Windows-01 IP地址：202...40 系统帐号：ad002

表2.2 动态权限参数信息
参数	取值	说明
名称	Windows资产访问	动态权限的名称。字符串格式，长度范围是1~200个字符。
规则模板	Default	动态权限引用的规则模板。
用户	全部用户	设置能够访问资产的用户。
资产	Windows-01	设置待访问的目标资产。
协议	全部协议	访问目标资产使用的协议。
帐号	全部帐号	访问目标资产使用的帐号。

Windows资产加入AD域控制器

使用administrator帐号登录Windows资产，打开网络共享中心。
在Internet协议版本4（TCP/IPv4）属性中将首选DNS服务器设置为AD域控制器的IP地址。
在控制面板 > 系统和安全 > 系统中单击高级系统设置。
在系统属性页面选择计算机名，单击更改。
在弹出的对话框中勾选隶属于，并在域中输入AD域控制器的域名，完成后单击确定。
输入AD域控制器中的用户和密码，完成身份验证。

身份验证通过后将出现如下提示信息：
按照提示信息重启Windows系统，完成加入域的相关配置。

验证Windows资产是否成功加入域

登录AD域控制器，增加域帐号ad002/password，并配置其具有远程登录的权限，添加Domain Admins权限。
添加后如下所示：
使用域帐号ad002登录Windows资产。登录时输入的用户名为hfnboatest\ad002。
登录成功，在命令提示符中通过whoami命令查看当前登录用户是否为域用户。

在运维审计系统中创建Windows域

使用域帐号登录目标资产时需要先在运维审计系统中创建该域。如果已经创建了可以忽略本步骤。

管理员登录运维审计系统，在资产 > 配置 > Windows域中单击新建域。
设置域控相关参数，完成后单击确定。
单击特权帐号对应的，在弹出的对话框中设置特权帐号、bindDN和帐号密码，测试成功后，单击确定。

配置域帐号

在工作台 > 帐号改密 > 帐号资产 > 域帐号中单击Windows域对应的，加载域帐号。
找到ad002帐号，并单击对应编辑，在帐号编辑页面设置登录密码，完成后单击确定。

新建Windows资产并关联域帐号

在资产 > 资产清单 > 主机中新建Windows资产。
单击该资产对应的编辑，在系统帐号页面通过添加帐号关联域帐号中的ad002，完成后单击确定，并单击保存。

增加访问权限

选择权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过域帐号访问Windows资产

在工作台 > 访问资产中单击Windows资产对应的访问，并选择通过ad002进行访问。

如果配置正确，运维审计系统可以直接代填域帐号信息，使用户登录到加入域的Windows资产，并对资产进行管理。

2.2 举例：Oracle数据库管理和访问

在完成应用发布后，用户可以在创建资产时勾选对应的客户端，在访问Oracle数据库资产时，运维审计系统将连接到应用发布服务器，通过服务器上已安装的应用客户端访问该资产。

已完成Oracle数据库客户端（例如Toad）的应用发布。

本节以超级管理员新增一个Oracle数据库资产并通过已发布的Toad客户端进行访问为例，详细介绍Oracle数据库管理和访问的具体方法。已知数据信息如下表所示。

表2.3 Oracle数据库资产数据信息
参数	取值	说明
资产名称	Oracle数据库	资产在运维审计系统上的名称。字符串格式，长度范围是1~200个字符。
连接方式	服务名	数据库的连接方式。
资产IP	10.10.16.136	目标数据库的IP地址或域名和服务端口，IP地址支持IPv4和IPv6；域名仅支持IPv4，最大长度是200个字符。
服务名	orcl9i.ad2003	数据库的ServiceName。
客户端	Toad	访问资产使用的客户端软件。
系统帐号/密码	sys/password	目标数据库的登录帐号和登录密码。

表2.4 动态权限参数信息
参数	取值	说明
名称	Oracle访问	动态权限的名称。字符串格式，长度范围是1~200个字符。
规则模板	Default	动态权限引用的规则模板。
用户	全部用户	设置能够访问资产的用户。
资产	Oracle数据库	设置待访问的目标资产。
协议	全部协议	访问目标资产使用的协议。
帐号	全部帐号	访问目标资产使用的帐号。

新建Oracle数据库资产

选择资产 > 资产清单 > 数据库，单击新建。
选择Oracle资产类型，单击下一步。
设置各参数信息，完成后单击创建。
单击Oracle数据库对应的编辑。
选择系统帐号页签，单击编辑。
在弹出的对话框中输入帐号对应的密码，完成后单击确定，并单击保存。

增加访问权限

选择权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过Toad客户端访问建立的Oracle数据库资产

选择工作台 > 访问资产，在左侧的动态视图中找到已添加的Oracle数据库资产，单击访问按钮。
单击启动，通过默认参数信息访问目标数据库。

如果配置正确，通过Toad客户端可以对运维审计系统上已存在的Oracle数据库资产进行访问和管理。

2.3 举例：MSSQL数据库管理和访问（本地帐号）

在完成应用发布后，用户可以在创建资产时勾选对应的客户端，在访问SQL Server数据库资产时，运维审计系统将连接到应用发布服务器，通过服务器上已安装的应用客户端访问该资产。

已完成MSSQL数据库客户端（例如Ssms）的应用发布。

本节以超级管理员新增一个MSSQL数据库资产并使用已发布的Ssms客户端访问该资产为例，详细介绍MSSQL数据库管理和访问的具体方法。已知数据信息如下表所示。

表2.5 MSSQL数据库资产数据信息
参数	取值	说明
资产名称	MSSQL数据库	资产在运维审计系统上的名称。字符串格式，长度范围是1~200个字符。
资产IP	10.10.16.133	目标数据库的IP地址或域名和服务端口，IP地址支持IPv4和IPv6；域名仅支持IPv4，最大长度是200个字符。
客户端	Ssms	访问资产使用的客户端软件。
系统帐号/密码	sa/password	目标数据库的登录帐号和登录密码。

表2.6 动态权限参数信息
参数	取值	说明
名称	MSSQL访问	动态权限的名称。字符串格式，长度范围是1~200个字符。
规则模板	Default	动态权限引用的规则模板。
用户	全部用户	设置能够访问资产的用户。
资产	MSSQL数据库	设置待访问的目标资产。
协议	全部协议	访问目标资产使用的协议。
帐号	全部帐号	访问目标资产使用的帐号。

新建MSSQL数据库资产

选择资产 > 资产清单 > 数据库，单击新建。
选择MSSQL资产类型，单击下一步。
设置各参数信息，完成后点击创建。
单击MSSQL数据库对应的编辑。
选择系统帐号页签，单击编辑。
在弹出的对话框中输入帐号对应的密码，完成后单击确定，并单击保存。

增加访问权限

选择权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过Ssms客户端访问建立的MSSQL数据库资产

选择工作台 > 访问资产，在左侧的动态视图中找到已添加的MSSQL数据库资产，单击访问按钮。
单击启动，通过默认参数信息访问目标数据库。

如果配置正确，通过Ssms客户端可以对运维审计系统上已存在的MSSQL数据库资产进行访问和管理。

2.4 举例：MSSQL数据库管理和访问（域帐号）

MSSQL数据库服务器所在的Windows加入AD域控制器后，可以通过域帐号访问该MSSQL数据库。当该数据库已在运维审计系统纳管，访问时运维审计系统需要自动代填域帐号、密码和域名。

在运维审计系统通过域帐号访问和管理域中的Windows资产时，需要满足以下条件：

已安装和配置AD域控制器。
MSSQL数据库服务器所在的Windows已安装MSSQL数据库客户端（例如Ssms）且已成功加入域。
应用发布服务器已完成MSSQL数据库客户端（例如Ssms）的应用发布。

本节以将MSSQL数据库资产加入域，并通过域帐号访问为例，详细介绍在运维审计系统中通过域帐号实现MSSQL数据库资产的管理和访问的具体方法。已知数据信息如下表所示。

表2.7 域控服务器和Windows资产数据信息
系统	数据	说明
AD域控制器	域名：hfnboatest.com IP地址：202...30 特权帐号：名称：administrator bindDN：CN=Administrator, CN=Users, DC=hfnboatest, DC=com 密码：password 域帐号：名称：ad002 baseDN：CN=Users, DC=hfnboatest, DC=com 密码：password	域帐号ad002已配置远程登录权限并添加Domain Admins权限。
MSSQL数据库	资产名称：MSSQL-01 IP地址：202...40 系统帐号：ad002

表2.8 动态权限参数信息
参数	取值	说明
名称	MSSQL数据库访问	动态权限的名称。字符串格式，长度范围是1~200个字符。
规则模板	Default	动态权限引用的规则模板。
用户	全部用户	设置能够访问资产的用户。
资产	MSSQL-01	设置待访问的目标资产。
协议	全部协议	访问目标资产使用的协议。
帐号	全部帐号	访问目标资产使用的帐号。

将应用发布服务器加入AD域控制器中。
具体步骤请参考Windows资产加入AD域控制器。
Note: 应用发布服务器和MSSQL数据库服务器需要加入同一AD域控制器中，否则访问MSSQL数据库时，将会失败。

在MSSQL数据库中添加域帐号登录名

使用administrator帐号登录应用发布服务器，并通过Ssms客户端使用sa帐号远程访问MSSQL数据库。
在远程访问窗口，鼠标右击安全性 > 登录名，选择新建登录名。
将登录名的验证方式勾选为Windows身份验证，在弹出的对话框中将查找位置设置为AD域控制器的整个目录，同时输入需要登录的域帐号ad002，检查名称后自动匹配出该域帐号，完成后单击确定。

新建成功后，展开登录名，可以看到刚添加的ad002域帐号。

验证域帐号是否可以登录MSSQL数据库

使用ad002域帐号登录MSSQL数据库所在的Windows服务器，并通过Ssms客户端访问MSSQL数据库，其中身份验证选择Windows身份验证。

成功登录后显示如下：

在运维审计系统中创建Windows域

使用域帐号登录目标资产时需要先在中运维审计系统创建该域。如果已经创建了可以忽略本步骤。

管理员登录运维审计系统，在资产 > 配置 > Windows域中单击新建域。
设置域控相关参数，完成后单击确定。
单击特权帐号对应的，在弹出的对话框中设置特权帐号、bindDN和帐号密码，测试成功后，单击确定。

配置域帐号

在工作台 > 帐号改密 > 帐号资产 > 域帐号中单击Windows域对应的，加载域帐号。
找到ad002帐号，并单击对应编辑，在帐号编辑页面设置登录密码，完成后单击确定。

新建MSSQL资产并关联域帐号

在资产 > 资产清单 > 数据库中新建MSSQL资产。
单击该资产对应的编辑，在系统帐号页面通过添加帐号关联域帐号中的ad002，完成后单击确定，并单击保存。

增加访问权限

选择权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过域帐号访问MSSQL数据库资产

在工作台 > 访问资产中单击MSSQL数据库资产对应的访问，并选择通过ad002进行访问。

如果配置正确，运维审计系统可以直接代填域帐号信息，使用户登录到加入域的MSSQL数据库资产，并对资产进行管理。

2.5 举例：IBM DB2数据库管理和访问

在完成应用发布后，用户可以在创建资产时勾选对应的客户端，在访问DB2数据库资产时，运维审计系统将连接到应用发布服务器，通过服务器上已安装的应用客户端访问该资产。

本节以超级管理员新增一个IBM DB2数据库资产并使用已发布的 ToadForDB2 客户端访问该资产为例，详细介绍IBM DB2数据库管理和访问的具体方法。已知数据信息如下表所示。

表2.9 IBM DB2数据库资产数据信息
参数	取值	说明
资产名称	DB2数据库	资产在运维审计系统上的名称。字符串格式，长度范围是1~200个字符。
数据库名	DB2115	数据库的名称。字符串格式，长度范围是1~30个字符。
资产IP	10.10.16.115	目标数据库的IP地址或域名和服务端口，IP地址支持IPv4和IPv6；域名仅支持IPv4，最大长度是200个字符。
客户端	ToadForDB2	访问资产使用的客户端软件。
系统帐号/密码	admin/password	目标数据库的登录帐号和登录密码。

表2.10 动态权限参数信息
参数	取值	说明
名称	DB2访问	动态权限的名称。字符串格式，长度范围是1~200个字符。
规则模板	Default	动态权限引用的规则模板。
用户	全部用户	设置能够访问资产的用户。
资产	DB2数据库	设置待访问的目标资产。
协议	全部协议	访问目标资产使用的协议。
帐号	全部帐号	访问目标资产使用的帐号。

新建IBM DB2数据库资产

选择资产 > 资产清单 > 数据库，单击新建资产。
选择DB2类型的资产，单击下一步。
设置各参数信息，完成后单击创建。
单击DB2数据库对应的编辑。
选择系统帐号页签，单击添加帐号。
在弹出的对话框中输入帐号和密码，勾选设为特权帐号，完成后单击确定，并单击保存。

增加访问权限

选择权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过ToadForDB2客户端访问建立的IBM DB2数据库资产

选择工作台 > 访问资产，在左侧的动态视图中找到已添加的IBM DB2数据库资产，单击访问按钮。
设置参数信息，完成后单击启动。

如果配置正确，通过ToadForDB2客户端可以对运维审计系统上已存在的IBM DB2数据库资产进行访问和管理。

2.6 举例：B/S资产管理和访问

本节将新增一个B/S资产，并使用已发布的Chrome浏览器访问该资产为例，详细介绍B/S资产管理和访问的具体方法。

已完成浏览器（例如Chrome）的应用发布。

已知数据信息如下表所示：

表2.11 B/S资产数据信息
参数	取值	说明
资产名称	Node01	资产的名称。字符串格式，长度范围是1~200个字符。
URL	https://10.2.105.3	访问资产的web界面的URL地址。
客户端	Chrome	访问资产使用的客户端软件。
系统帐号/密码	admin/password	目标资产的登录帐号和登录密码。

新建B/S资产

选择资产 > 资产清单 > 应用系统，单击新建。
选择B/S资产类型，单击下一步。
设置各参数信息，完成后点击创建。

添加登录帐号

单击B/S对应的编辑。
选择系统帐号页签，单击添加帐号。
在弹出的对话框中输入帐号对应的密码，完成后单击确定，并单击保存。

增加访问权限

选择权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过Chrome浏览器访问建立的B/S资产

择工作台 > 访问资产，在左侧的动态视图里找到添加的B/S资产，单击访问按钮。
单击启动，通过默认参数信息访问目标资产。

如果配置正确，运维审计系统通过应用发布服务器上的Chrome浏览器打开对应的B/S资产界面。

如果代填脚本配置正确，运维审计系统将使用托管的帐号密码自动完成登录代填；如登录代填失败，将停留在登录界面。

2.7 举例：C/S资产管理和访问

本节以将一台Radmin服务器新增为一个C/S资产，并使用已发布的Radmin客户端访问该资产为例，详细介绍C/S资产管理和访问的具体方法。

已完成客户端（例如Radmin）的应用发布。

已知数据信息如下表所示：

表2.12 C/S资产数据信息
参数	取值	说明
资产名称	Radmin	资产的名称。字符串格式，长度范围是1~200个字符。
资产IP	10.10.16.11	目标资产的IP。
客户端	Radmin	访问资产使用的客户端软件。
端口号	4899	目标资产的Radmin服务的端口号。
系统帐号/密码	admin/password	访问目标资产使用的帐号。

新建C/S资产

选择资产 > 资产清单 > 应用系统，单击新建。
选择C/S资产类型，单击下一步。
设置各参数信息，完成后点击创建。
单击C/S对应的编辑。
选择系统帐号页签，单击添加帐号。
在弹出的对话框中输入帐号对应的密码，完成后单击确定，并单击保存。

增加访问权限

选择权限权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过Radmin客户端访问建立的C/S资产

选择工作台 > 访问资产，在左侧的动态视图中找到已添加的C/S资产，单击访问按钮。
单击启动，通过默认参数信息访问目标资产。

如果配置正确，将通过应用发布服务器上的Radmin客户端打开对应的界面，并代填帐号密码，完成登录。

C/S资产的帐号密码代填使用内置的代填脚本，如内置的代填脚本无法代填成功，将停留在登录界面。

2.8 举例：等价资产

对等价资产中任意一个资产进行运维审计系统上的配置修改，部分配置会自动同步到等价资产中的其他成员。

等价资产一般用于以下两种情况。

资产为HA或集群部署时，将HA或集群中的各节点设置为等价资产。
资产有多个IP，例如有实IP和虚IP，IPv4和IPv6时，将该资产的不同IP分别配置为一个资产，并设置为等价资产。

例如，资产A和资产B组成HA，在运维审计系统上添加资产A和资产B的同时，也将HA的虚IP设置为资产C。这种情况下可以将这3个资产设置为等价资产。当配置管理员修改资产B的配置时，也会将修改的配置同步到资产A和资产C。

运维审计系统仅会对资产的部分配置进行同步，不同资产类型被同步的配置不相同，具体请参见《运维审计系统Web配置指导》的配置等价资产章节。对于主机/网络资产，仅同步访问协议、系统帐号和责任人。

本节以将两个部署成HA的Linux主机资产及其虚IP添加为3个不同的资产，并设置为等价资产为例，介绍等价资产的设置，并在修改其中一个资产的配置后进行验证。已知资产数据如下表所示，本例中暂不添加帐号。

名称	IP	说明
CentOS7	10.10.33.30	IP配置为第一台主机的实IP。
CentOS7-2	10.10.33.130	IP配置为第二台主机的实IP。
VIP	10.10.33.100	IP配置为HA的虚IP。

新建资产。
1. 选择资产 > 资产清单 > 主机。
2. 单击新建，选择Linux，单击下一步。
3. 设置资产CentOS7的各参数，完成后单击创建。
4. 参照以上步骤同样完成CentOS7-2和VIP资产的创建。
检查等价资产的属性是否满足等价资产的组成条件。
Note: 设置为等价资产的各个资产，其资产属性必须一致，运维审计系统会对其组成条件进行检查，具体请参见《运维审计系统Web配置指导》的配置等价资产章节。对于主机/网络资产，仅检查资产类型是否一致，相同访问协议的端口和状态是否一致、相同帐号的密码和特权属性是否一致。
选择资产 > 配置 > 等价配置 > 等价资产，并单击新建。
输入等价资产的名称，并单击添加资产后的，添加等价资产。
勾选待设置为等价资产的资产，并单击添加。
选择责任人，并单击确定。

Note: 等价资产的责任人必须一致，责任人列表中会列出各个资产之前配置的责任人，从中选择一个作为等价资产的责任人，也可以都设置为未配置责任人。

Note: 单击确定后将检查是否满足组成条件，如不满足则添加等价资产失败，请重新检查2。

完成等价资产的配置之后，对其中一个资产修改特定的配置，将自动同步到其他资产。用户可以进行以下验证：

选择资产 > 主机菜单。
编辑其中一个资产，如CentOS7，修改责任人，并修改访问协议和系统帐号，新增或删除一个协议或帐号。
编辑等价资产中的其他资产，查看相应的属性是否发生变化。本例中修改责任人后，其他资产的责任人也被改变，说明等价资产的配置已生效：

2.9 举例：等价帐号

对等价帐号中的任何一个帐号进行运维审计系统上的密码修改，改密成功后，托管密码的更新都会同步到等价帐号中的其他成员。

等价帐号一般用于资产因使用目的的不同被配置成为两种资产类型的场景。例如防火墙设备，既有SSH访问接口，又有Web访问接口，管理员会创建网络设备类型的资产以满足SSH访问，创建应用系统类型的资产以满足Web访问。这两个资产使用同一套帐号体系，帐号的密码需要进行同步。

如下图所示，资产A是网络设备资产，资产B是B/S应用系统资产，将资产A的帐号1和资产B的帐号1配置为等价帐号。配置管理员对资产A上的帐号1进行改密并更新托管的密码后，也会同步更新资产B上的帐号1托管的密码。

本节以将1个Juniper防火墙分别添加为网络设备资产和B/S应用系统资产为例，介绍等价帐号的设置，并完成改密验证。已知数据如下表所示。

系统	数据	说明
运维审计系统	用户帐号：cfg 用户工作邮箱：cfg@example.com 用户ZIP文件密码：PassWord01	运维审计系统上接收改密通知和密码备份文件的用户。
网络设备资产	名称：JuniperJunosSRX IP地址：10.10.16.83 特权帐号：admin/123456 普通帐号：test/123456	本例中将普通帐号test设置为等价帐号，并通过对网络设备资产设置改密计划进行改密。
应用系统资产	名称：JuniperJunosSRX-Web URL：https://10.10.16.83 普通帐号：test/123456	本例中将普通帐号test设置为等价帐号，并通过对网络设备资产设置改密计划进行改密。

新建网络设备资产。
1. 选择资产 > 资产清单 > 网络。
2. 单击新建，选择Juniper NetScreen，单击下一步。
3. 设置资产的各参数，完成后单击创建。
4. 单击JuniperJunosSRX对应的编辑，选择系统帐号。
5. 单击添加帐号，并输入密码，分别完成admin和test帐号的添加和密码托管，将admin设置为特权帐号，完成后单击保存。
新建应用系统资产。
1. 选择资产 > 资产清单 > 应用系统。
2. 单击新建，选择B/S，单击下一步。
3. 设置资产的各参数，完成后单击创建。
4. 单击JuniperJunosSRX-Web对应的编辑，选择系统帐号。
5. 单击添加帐号，并输入密码，完成test帐号的添加和密码托管，完成后单击保存。
选择资产 > 配置 > 等价配置 > 等价帐号，并单击新建。
输入等价帐号的名称，并单击资产后的，设置待添加的等价帐号所在的资产。
勾选本节已添加的两个资产，并单击添加。
下拉选择待设置为等价帐号的帐号名，并单击确定完成等价帐号的创建。下拉列表中只会包含两个资产中共同存在的帐号。

完成等价帐号的配置之后，对其中一个帐号进行改密，改密成功后，新密码将自动更新到等价帐号中所有帐号中。用户可以通过执行改密计划进行如下验证：

参照举例：Windows本地用户改密，完成邮箱和信息加密设置、密码备份设置、密码规则设置，并创建改密计划。
其中，改密关联的帐号仅关联网络设备的test帐号：

Note: Juniper防火墙默认无改密脚本，请使用超级管理员修改系统设置 > 资产 > 资产类型，将Juniper NetScreen的改密方式设置为juniper firewall或使用自定义的改密脚本，否则改密将失败并提示no pwd change method。

Note: 如资产的登录提示符和默认的不一致，也会造成改密失败。本例中由于要进入Juniper的Configure模式，提示符会由>变为#，因此需要在资产 > 配置 > 资产适配中添加一条对于该资产的资产适配，设置特权提示符为#，否则也将引起改密失败。
执行改密计划，为网络设备资产JuniperJunosSRX的test帐号修改密码。
改密成功后，访问应用系统资产，选择帐号为any，并手动输入帐号名test及修改后的密码。登录成功，则表明test帐号的密码已被修改。
再次访问该应用系统资产，选择帐号为test，由运维审计系统完成密码代填。代填成功，则表明该应用系统资产的test帐号在运维审计系统上托管的密码也已被修改。等价帐号的设置已生效。

2.10 举例：H3C Comware资产管理和访问

本节以新增一个H3C Comware资产，并使用Telnet客户端访问该资产为例，详细介绍网络设备资产管理和访问的具体方法。

已知数据信息如下表所示：

表2.13 H3C Comware资产数据信息
参数	取值	说明
资产名称	H3C Comware	资产的名称。字符串格式，长度范围是1~200个字符。
资产IP	10.10.66.100	目标资产的IP。
系统帐号/密码	admin/password	访问目标资产使用的帐号。

选择资产 > 资产清单 > 应用系统，单击新建。
选择H3C Comware资产类型，单击下一步。
设置各参数信息，完成后单击创建。
单击H3C Comware对应的编辑。
选择系统帐号页签，单击添加帐号。
在弹出的对话框中输入帐号对应的密码，完成后单击确定，并单击保存。

增加访问权限

选择权限权限 > 权限配置 > 动态权限，单击新增动态权限。
设置动态权限的参数信息，完成后单击保存。

通过Telnet客户端访问建立的H3C Comware资产

选择工作台 > 访问资产，在左侧的动态视图中找到已添加的H3C Comware资产，单击访问按钮。
选择已添加的系统帐号，并单击启动。

如果配置正确，将通过Telnet客户端打开对应的界面，并使用托管的帐号密码完成登录。

3 权限

3.1 举例：动态权限

管理员通过指定动态权限的基础四要素（用户、资产、协议、帐号），可以快速地完成权限配置。

Note: 如果存在多条动态权限，各条权限之间是并集关系。即满足任一条权限，用户即可访问。

现新增一条test动态权限，要求操作员通过普通帐号访问运维审计系统中指定的Windows主机资产时，只允许使用剪切板的上行字符和上行文件。已知参数信息如下表所示。

表3.1 动态权限参数信息
参数	取值	说明
名称	test	动态权限的名称。字符串格式，长度范围是1~200个字符。
规则模板	test规则模板	动态权限引用的规则模板。
用户	指定规则：角色=操作员	设置能够访问资产的用户。
资产	windows 2008	设置待访问的目标资产。
协议	全部协议	访问目标资产使用的协议。
帐号	指定规则：帐号类型=特权帐号	访问目标资产使用的帐号。

表3.2 规则模板参数信息
参数	取值	说明
模板名称	test规则模板	定义该规则模板名称。
控制策略	允许访问	选择该条策略禁止或允许访问。
剪贴板	上行字符和上行文件	针对图形会话的访问，能否使用剪切板上下行。
剪贴板长度限制	1024	仅当剪贴板勾选了上行字符或下行字符时显示该参数。当图形会话访问资产时，如复制字符大于或等于该限制，复制无效。默认无限制。
事件级别	NOTICE	访问资产生成事件的事件级别，在访问资产后运维审计系统发送的告警日志中显示。
标题	--特权帐号访问--	访问资产时生成事件的标题名称，最大长度为200个字符，在访问资产后运维审计系统发送的告警日志中显示。

新增规则模板

选择权限 > 权限配置 > 规则模板，单击新增规则模板。
在弹出的对话框中设置各参数信息，完成单击保存。

新增动态权限

选择权限 > 权限配置 > 动态权限。
单击新增动态权限，设置各参数。

Note: 指定规则可以让管理员针对各种属性做出灵活地匹配。针对用户、资产或帐号，管理员可以指定多条规则，必须满足指定的所有规则，才能够匹配该条权限。
单击保存，完成动态权限的创建。

3.2 举例：变更单

变更单是一个Excel表格，在上面可以填写名称、申请人、到期时间、使用人、使用资产、访问帐号、协议等信息。将填写好的变更单上传到运维审计系统形成访问权限。

现要求admin替opt01申请一个在规定时间内使用windows 2008主机资产的变更单，已知数据如下表所示。

参数	取值	说明
申请单名称	变更单申请	变更申请单的名称。字符串格式，长度范围是1~128个字符。
申请人帐号	admin	申请人的帐号，该帐号必须在运维审计系统上存在且处于活动状态。
部门	ROOT	变更单所属的部门。
到期时间	2019/05/31	申请单中权限到期日期和时间。到期时间可以设置小时和分钟，小时和分钟都为可选设置。
申请原因	日常巡检	变更单申请原因。
权限	使用人：opt01 资产：10.1.2.10 帐号：administrator 协议：telnet、rdp	变更单申请的权限清单。一个变更单中可以有多条权限，一条权限对应一行。每条权限包含以下字段：使用人：使用人的帐号，该帐号必须在运维审计系统上存在且状态为活动。资产：要访问的资产名称或IP。如果输入的IP地址被多个资产共用，那么权限会关联共用IP的全部资产。帐号：使用资产的哪个帐号访问。协议：取值包括ssh、sftp、telnet、vnc、rdp、xfwd和xdmcp，不填写是表示全部协议。

选择权限 > 权限配置 > 变更单，单击下载模板，将模板文件下载到本地PC。
编辑模板内容。
单击上传变更单，上传配置好的变更单。

Note: 成功导入变更单后，变更单中的权限会立即生效，直到到期。

单击变更单对应的详情，可以查看变更单的详细信息。

3.3 举例：会话复核

会话复核要求特定的用户在访问特定的资产或执行特定的操作时，必须由特定的复核人进行复核之后，才能在资产上执行各种操作，从而可以对操作用户访问资产和执行命令进行控制，以减小操作用户访问资产及执行操作可能存在的风险。

现要求操作员通过administrator帐号访问windows 2008主机资产时需要超级管理员或配置管理员进行会话复核，在触发会话复核后，运维审计系统将发送告警日志。已知数据信息如下表所示。

表3.3
参数	取值	说明
会话复核名称	会话复核test	会话复核规则的名称。该名称为一个长度1~200的字符串，且全局唯一。
复核人	admin config01	触发会话复核后，执行复核操作的用户。
操作用户	opt01 opt02 opt03	需要进行会话复核的用户。
资产	10.1.2.10	建立会话时需要进行复核的资产。
帐号	administrator	使用该资产帐号访问资产时需要进行会话复核。
事件级别	NOTICE	触发会话复核的事件级别，在触发会话复核后运维审计系统发送的告警日志中显示。
标题	--访问windows 2008资产--	触发会话复核时生成事件的标题名称，最大长度为200个字符，在触发会话复核后运维审计系统发送的告警日志中显示。

Note: SFTP协议不支持会话复核。

使用管理员帐号登录运维审计系统 Web界面。

配置会话复核规则

选择工作台 > 高危操作 > 设置 > 会话复核，单击右上角的新增会话复核。
设置参数信息，完成后单击保存。
1. 填写会话复核规则的名称。
2. 添加会话复核人。单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
  
  配置了会话复核后，操作用户访问windows 2008主机资产时，在会话启动前要求选择会话复核人，该会话复核人将在此处添加的会话复核人中选取。
3. 添加需要进行会话复核的操作用户。单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
  
  Note: 如添加了多个用户或用户组，且相互之间有重复用户，则操作用户将取勾选的用户和用户组之间的并集。
4. 添加建立会话时需要复核的资产。单击，在弹出的对话框中选择资产或资产组页签，勾选待添加的资产或资产组。
  
  Note: 如添加了多个资产和资产组，且相互之间有重复资产，则将取所有勾选的资产和资产组的并集。
5. 添加资产帐号。
  如需单独设置帐号，去勾选全部帐号，在下方的对话框中输入需要添加的帐号，并按回车确定。
6. Optional: 设置开始待审核会话时生成事件。在事件级别下拉菜单中选中NOTICE，并填写会话复核生成事件的标题。
  事件级别由低到高依次为：NONE（不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。
确定配置无误后，单击保存，使规则生效。

触发会话复核

操作员opt01登录运维审计系统Web界面，并访问windows 2008主机资产。
1. 选择工作台 > 访问资产，单击windows 2008对应的访问。
2. 单击启动。
3. 在弹出的对话框中选择复核人为admin，完成后单击启动。
  
  此时，页面将出现如下所示的提示信息。
  
  Note: 操作员opt01登录到windows 2008主机资产后，无法进行任何操作。此时运维审计系统向复核人admin发送会话复核通知，待admin复核后，opt01才能执行后续的操作。

完成会话复核

复核人admin登录运维审计系统Web界面执行会话复核操作。
1. 单击右上角的，查看会话复核通知，单击查看详情。
2. 在弹出的页面中单击复核。
3. 在弹出的页面中单击右上角的continue，完成会话复核，此时操作员opt01可以在windows 2008上执行操作。

3.4 举例：高危命令复核

管理员可以在Web界面的高危命令菜单中定义各种规则，针对特定的用户、资产、帐号启用特定的高危命令模板，从而对操作用户在字符会话中的行为进行控制。

新增一条高危命令，要求操作员在Linux资产上执行mkdir命令时触发高危命令，只有超级管理员或配置管理员复核后，mkdir命令才能执行。已知数据信息如下表所示。

表3.4 命令模板参数规划
参数	取值	说明
命令模板名称	mkdir执行复核	用于标识一个命令模板，全局唯一，长度为1~200的字符串。
缺省策略	允许	取值包括：允许：允许用户执行该命令。禁止：禁止用户执行该命令。无：继续匹配下一条高危命令。缺省策略为禁止。
执行动作	需复核	执行动作包括：允许、拒绝、终止会话、需复核和通知。
命令控制	mkdir	命令控制可以输入正则表达式，通过回车分隔命令，最多512个字符。

表3.5 高危命令参数规划
参数	取值	说明
高危命令名称	mkdir	长度为1~200的字符串，且全局唯一。
命令模板	mkdir执行复核
复核人	admin config01	触发高危命令后，执行复核高危命令操作的用户。
操作用户	opt01 opt02 opt03	被添加的用户在执行操作时会触发高危命令。
资产	Cent OS 7	在被添加的资产上执行操作时会触发高危命令。
帐号	root	仅当使用该帐号访问资产并执行操作时会触发高危命令。
事件级别	NOTICE	触发高危命令的事件级别，在运维审计系统发送的告警日志中显示。
标题	--触发高危命令--	触发高危命令时生成事件的标题名称，最大长度为200个字符，在运维审计系统发送的告警日志中显示。

Note: 高危命令只对Telnet/SSH字符会话有效，如通过XDMCP或XFWD等图形会话方式打开字符终端并执行命令，将不受高危命令的约束。

使用管理员账号登录运维审计系统 Web界面。

新增高危命令模板

选择工作台 > 高危操作 > 设置 > 命令模板。
单击新增命令模板，设置参数信息，完成后单击保存。
在命令模板列表中找到新增的规则，单击对应的规则管理。
单击新增规则，在执行动作的下拉菜单中选择需复核，在命令控制中输入mkdir，完成后单击保存。

配置高危命令

选择工作台 > 高危操作 > 设置 > 高危命令。
单击右上角的高危命令全局缺省策略，将全局缺省策略配置为允许执行或禁止执行，完成后单击保存。
如果所有的高危命令规则都无法匹配，则使用此全局缺省策略。全局缺省策略的缺省值为允许执行。
单击右上角的新增高危命令，设置各参数信息。
1. 填写高危命令规则的名称。
2. 选择命令模板，在下拉菜单中选中mkdir执行复核。
3. 由于模板中存在需复核的规则，需要添加高危命令复核人。单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
  
  配置了高危命令复核人后，当操作用户执行mkdir操作命令时，运维审计系统会将命令复核提醒发送给admin和config01，由其中任意一人完成命令复核。
4. 添加操作用户。去勾选全部用户，单击，在弹出的对话框中选择用户或用户组页签，勾选待添加的用户或用户组。
5. 添加资产。去勾选全部资产，单击，在弹出的对话框中选择资产或资产组页签，勾选待添加的用户或用户组。
6. 添加资产帐号。去勾选全部帐号，在下方的对话框中，输入要添加的帐号，并按回车确定。
  管理员也可以选中排除以下帐号，然后输入要排除的帐号，多个帐号之间用英文逗号","分隔。
7. Optional: 设置触发高危命令时生成事件。在事件级别下拉菜单中选中NOTICE，并填写高危命令生成事件的标题。
  事件级别由低到高依次为：NONE（不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。
确定配置无误后，单击保存，使规则生效。

触发高危命令

操作员opt01登录运维审计系统Web界面，并访问Cent OS 7主机资产。
1. 选择工作台 > 访问资产，单击windows 2008对应的访问。
2. 单击启动。
3. 在弹出的对话框中输入mkdir AAA，完成后单击回车。
4. 在对话框中输入Y，此时对话框提示等待复核。

完成高危命令复核

复核人admin登录运维审计系统Web界面执行高危命令复核操作。
1. 单击右上角的，查看待复核的命令通知，单击查看详情。
2. 在弹出的页面中单击opt01当前操作对应的允许。
admin执行复核操作后，opt01的mkdir AAA操作执行成功。

可以通过ls命令查看具体执行结果。

3.5 举例：权限工单

对于部分资产，当操作员没有访问权限时，可以通过工单来申请资产的访问权限。超级管理员可以提前设置工单的审批模板，用以审批工单。

超级管理员创建一个审批资产权限的审批模板。

操作员新建一条申请资产工单，要求操作员opt01通过工单为自己申请Cent OS 7主机资产的root帐号访问权限。

已知参数信息如下所示。

表3.6 权限工单审批模板参数规划
参数	取值	说明
模版名称	申请资产	系统默认值，不可修改
工单	申请资产	系统默认值，不可修改
审批级别	一级	该工单将经过几层审批，默认一级。取值可选：一级、二级、三级
审批规则	手动指定审批人为：配置管理员	指定每一层审批的审批人。可选值：自动分配、手动指定。自动分配：审批人为申请用户所在部门及上级部门的所有配置管理员。手动指定：从所有用户中，手动选择若干审批人。当上一级审批人批准工单后，需要从这些审批人中选择一个或多个，作为下一级审批人。 Note: 配置了多级审批后，一级审批人完成审批后，将由二级审批人、三级审批人依次完成审批。每一级中只要有一个审批人批准了工单，工单就会进入到下一级审批中，各级审批都完成后，工单生效；只要有一个审批人驳回了工单，或所有审批人在工单结束时间之前都没有完成审批，该工单就将关闭。

表3.7 申请权限工单参数规划
参数	取值	说明
申请人	opt01	申请权限工单的用户。
工单标题	opt01申请Cent OS 7主机资产	工单的标题。字符串格式，长度范围是1~30个字符。
操作类型	日常维护	用户要申请的操作类型，取值包括日常维护和定期巡检。
申请理由	Linux设备日常维护	工单的申请理由。字符串格式，长度范围是1~512个字符。
开始时间/结束时间	开始时间：2019/06/14 10:00 结束时间：2019/06/15 10:00	权限生效的开始时间和结束时间。开始时间和结束时间使用的是运维审计系统的系统时间，而非本地PC的时间。
资产	10.2.102.11	待添加权限的资产。
协议	SSH、Telnet和XDMCP	使用人允许访问资产使用的协议。
放行命令	mkdir.* rm -rf.*	放行命令可以直接填写完整的命令，也可以填写命令的正则表达式，最多512个字符。
使用人	opt01	工单申请资产的实际使用用户。

配置审批模板

使用超级管理员帐号登录运维审计系统，进入工单 > 配置 > 审批模板。
找到申请资产的模板，单击编辑。
设置相关参数后，保存审批模板。

申请工单

操作员opt01登录运维审计系统Web界面后，选择工单 > 工单管理 > 新建工单，单击申请资产对应的。
设置各参数信息。
添加资产。单击资产对应的，在弹出的对话框中勾选要添加权限的资产，并在系统帐号中选择访问帐号，单击添加。
配置访问协议。选择指定协议，并勾选ssh、telnet和xdmcp协议。
如果管理员配置了高危命令，工单申请人可以通过设置放行命令，允许工单申请资产的使用人执行某些命令。填写放行命令，多条命令之间用回车分隔。

Note: 此处放行的命令相当于在命令模板中配置对应的命令为允许，且将拥有比高危命令配置更高的优先级。只要用户执行的命令能够匹配上此处的放行命令，则在高危命令配置中的拒绝、需复核、终止会话将不再生效，命令将可以直接执行。
单击使用人对应的，选中要添加权限的用户，单击添加。
单击提交。
申请人提交工单后，审批人会收到通知消息。待审批人批准后，运维审计系统将用户和所选资产、帐号进行关联。

审批工单

配置管理员登录运维审计系统Web界面后，单击右上角的，查看待审批的工单，单击查看详情。
在弹出的页面中查看工单详情，确认无误后单击批准。

配置管理员批准工单后，opt01会收到通知消息。

单击查看详情，可以查看审批后的工单的详细信息。

4 帐号

4.1 举例：密码备份（邮件）

目标设备的帐号和密码在运维审计系统上托管后，为了保证密码的安全性，请定期备份密码。

本节以通过ZIP加密方式对密码备份信息进行加密为例，详细介绍通过邮件实现密码备份的配置方式。已知数据如下表所示。

表4.1 邮件服务器参数信息
参数	取值	说明
邮件服务器	10.1.2.20	邮件服务器地址，可填写IP地址或者域名，必填，默认值127.0.0.1，请修改为您的邮件服务器地址。 Note: 如果使用非缺省端口（25或SSL465），请在地址后面加上 “:端口”。
发件人地址	test@example.com	发件人地址，必填，格式需要符合RFC5322中定义的E-mail地址格式。
发件人名称	消息提醒	发件人的显示名称。选填，任意字符，不超过64的字符。
服务器要求身份验证	勾选	SMTP服务器是否要求进行身份验证，默认未勾选。
用户名/密码	test@example.com/password	用户名，SMTP服务器上的用户名。密码，SMTP服务器上的密码。 Note: 如服务器需要使用授权码，请将密码配置为获取的授权码。

表4.2 密码备份参数信息
参数	取值	说明
执行时间	2019-06-14 18:05	密码备份的执行日期和时间。
执行间隔	每3月	密码备份的执行间隔。
密码分段	否	密码备份时是否分段。如果选择是，密码将被分为两段，前、后半段需要分别选择不同的备份方式和通知用户。如果选择否，密码被作为一个整体备份。
备份方式	邮件备份	密码备份采取的方式。
通知用户	admin	密码备份时，接收邮件通知的用户。

配置密码备份相关参数

配置信息加密。
1. 单击右上角的admin，选择帐号设置，单击信息加密，选择ZIP文件密码页签。
2. 设置密码信息，完成后单击确定。
配置邮件服务。
1. 单击右上角的admin，选择系统设置 > 系统 > 基本设置 > 邮件服务。
2. 设置邮件服务参数信息，完成后单击确定。

配置密码备份

选择工作台 > 帐号改密。
选择帐号维护 > 密码备份。
设置各参数信息。
单击选择备份方式，在弹出的对话框中勾选邮件备份，完成后单击确定。
单击添加通知用户，在弹出的对话框中勾选需要通知的用户，完成后单击确定。
确认设置的信息无误后，单击确定。
单击立即执行，手动执行一次密码备份。
Note: 密码备份执行完成后可以直接单击执行记录对应的查看按钮，查看执行结果。

查看密码备份结果：

通知用户收到密码备份邮件。
下载附件文件，利用解压软件打开压缩包。
输入设置的ZIP文件密码，打开压缩包中的Excel文件，即可查看已备份的密码信息。

4.2 举例：密码备份（文件服务器）

本节以通过ZIP加密方式对密码备份信息进行加密为例，详细介绍通过文件服务器密码备份的配置方式。已知数据如下表所示。

表4.3 文件服务器一参数信息
参数	取值	说明
地址	10.1.2.12	文件服务器的IP地址。
端口	22	文件服务器的端口。 SFTP默认为22 。
用户名/密码	root/password	文件服务器的用户名和密码。

表4.4 密码备份参数信息
参数	取值	说明
执行时间	2019-06-14 18:30	密码备份的执行日期和时间。
执行间隔	每3月	密码备份的执行间隔。
密码分段	否	密码备份时是否分段。如果选择是，密码将被分为两段，前、后半段需要分别选择不同的备份方式和通知用户。如果选择否，密码被作为一个整体备份。
备份方式	文件服务器一	密码备份采取的方式。
通知用户	admin	密码备份时，接收信息通知的用户。

配置密码备份相关参数

配置信息加密。
1. 单击右上角的admin，选择帐号设置，单击信息加密，选择ZIP文件密码页签。
2. 设置密码信息，完成后单击确定。
配置文件服务。
1. 单击右上角的admin，选择系统设置 > 系统 > 基本设置 > 文件服务。
2. 设置文件服务参数信息，完成后单击确定。

配置密码备份

选择工作台 > 帐号改密。
选择帐号维护 > 密码备份。
设置各参数信息。
单击选择备份方式，在弹出的对话框中勾选文件服务器一，完成后单击确定。
单击添加通知用户，在弹出的对话框中勾选需要通知的用户，完成后单击确定。
确认设置的信息无误后，单击确定。
单击立即执行，手动执行一次密码备份。
Note: 密码备份执行完成后可以直接单击执行记录对应的查看按钮，查看执行结果。

查看密码备份：

通过SSH远程登录到文件服务器一，查看密码备份文件。
将密码备份文件下载到本地，利用解压软件打开压缩包。
输入设置的ZIP文件密码，打开压缩包中的Excel文件，即可查看已备份的密码信息。

4.3 举例：Unix/Linux系统改密

Unix/Linux系统改密需要满足以下条件：

帐号已配置密码或密钥。
运维审计系统上资产的访问协议（SSH或Telnet）配置正确。

现要求通过运维审计系统为Linux系统上的本地用户改密，已知数据如下表所示。

系统	数据	说明
运维审计系统	用户帐号：admin 用户工作邮箱：admin@example.com 用户ZIP文件密码：12345678	运维审计系统上接收改密通知和密码备份文件的用户，本例中为admin。实际使用中请根据需要配置成其他用户。
Linux	IP地址：10.2.102.11 特权帐号：名称：root 密码：123456	无
SFTP服务器	IP地址：10.2.102.11 端口：22 用户名：root 密码：123456	存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器，本例中为上传到文件服务器。

配置密码备份相关参数

配置信息加密与文件服务。
配置密码规则。
1. 选择工作台 > 帐号改密 > 系统设置 > 密码规则。
2. 在密码规则中单击新建密码规则，设置各参数，完成后单击确定。
  - 密码策略：生成密码的规则，本例中采取随机生成不同密码规则并使用缺省生成规则，您可以根据需要选择其他的密码策略。
  - 备份方式：在弹出的对话框中勾选文件服务器一。
  - 添加通知用户：在弹出的对话框中勾选admin。

配置改密计划

选择工作台 > 帐号改密 > 帐号维护 > 改密计划，单击新建改密计划。
设置各参数信息，完成后单击下一步。
- 通知方式：选择站内通知。
- 通知人：在弹出的对话框中勾选admin。
设置密码规则，完成后单击下一步。
- 密码规则：选择模板选择。
- 模板选择：选择example01。
设置关联帐号。单击指定帐号对应的已关联，在弹出的对话框中勾选目标Linux资产，单击确定，完成后单击保存。

配置完成后，运维审计系统会按照计划中的时间执行改密。也可以单击Linux系统改密对应的立即执行，当提示立即执行改密计划时单击确定，实现手工立即执行改密计划。

当改密计划正在执行时，可以单击操作列表下的终止执行按钮，取消继续执行改密计划。取消后，未执行改密的帐号数量会记录在上次改密结果列表中。

Note: 终止执行操作将终止未进行的改密，当前正在执行改密的帐号还是会继续改密。

改密操作执行结束后，可以通过以下两种方式查看改密结果。

在改密计划对应的上次改密结果中查看执行结果。

Note: 可以单击密码备份下载，将当前改密计划对应的帐号的密码下载到本地。下载后需要根据在帐号设置 > 信息加密中配置的加密方法进行解密。
登录SFTP服务器，可以看到改密前后的密码备份文件。
下载备份文件并使用ZIP密码解压缩，可以看到修改前后的密码。

验证修改后密码的正确性。

选择工作台 > 帐号改密 > 帐号资产 > 主机帐号。
单击Cent OS 7，然后单击root对应的编辑。
选择密码管理，单击登录测试。
如果提示登录成功，表示root的新密码已在运维审计系统上更新，当前密码的状态为正常。

4.4 举例：Windows本地用户改密

如图4.1 Windows本地用户改密组网图所示，运维人员通过运维审计系统管理目标资产。

图4.1 Windows本地用户改密组网图

现要求通过运维审计系统为Windows Server上的本地用户改密，已知数据如下表所示。

系统	数据	说明
运维审计系统	用户帐号：admin 用户工作邮箱：administrator@example.com 用户ZIP文件密码：PassWord01	运维审计系统上接收改密通知和密码备份文件的用户，本例中为admin。实际使用中请根据需要配置成其他用户。
Windows Server	IP地址：10.10.16.124 特权帐号：名称：administrator 密码：123456 待改密帐号：名称：user01 密码：123456	无
SFTP服务器	IP地址：10.10.16.26 端口：22 用户名：root 密码：123456	存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器，本例中为上传到文件服务器。

运维审计系统为Windows本地用户改密支持两种方式：

RPC
Agent

改密时优先用Agent方式，Agent改密失败后再使用RPC方式。推荐使用Agent方式。

表4.5 不同改密方式对Windows和运维审计系统的要求
方式	Windows Server	运维审计系统
RPC	Windows上已打开TCP的135、139和445端口，且Windows和运维审计系统之间的防火墙允许运维审计系统访问Windows的这些端口。	特权帐号或者待改密帐号的密码已在运维审计系统上托管。 Note: 优先使用特权帐号进行改密。支持非默认特权帐号，即帐号属于Administrators组即可，不必是administrator。
Agent	Windows上已安装Agent，且Agent上已配置运维审计系统的IP地址和端口（缺省端口是TCP 3301），Windows和运维审计系统之间的防火墙允许Windows访问运维审计系统的TCP 3301端口。 Note: Agent的版本要和运维审计系统的版本配套。Agent下载地址：在运维审计系统的Web界面上单击admin，选择帮助，在其他应用 > 下载中下载Windows的Agent安装软件。	无

新建Windows主机。
1. 选择资产 > 资产清单 > 主机。
2. 单击新建，选择Windows，单击下一步。
3. 设置各参数，完成后单击创建。
4. 单击Windows01对应的编辑，选择系统帐号。
5. 单击特权帐号administrator对应的编辑，输入密码，完成后单击确定。
  
  Note: 配置完成后可以单击登录测试来测试配置是否正确。
6. 单击添加帐号，设置普通帐号user01各参数，完成后单击确定。
  
  Note: 配置完成后可以单击登录测试来测试配置是否正确。
配置密码备份相关参数。
1. 选择用户 > 用户管理 > 用户列表，单击admin对应的编辑，设置工作邮箱，完成后单击保存。
2. 单击admin，选择帐号设置，单击信息加密，选择ZIP文件密码，设置各参数，完成后单击确定。
3. 单击admin，选择系统设置 > 系统 > 基本设置，单击文件服务，设置各参数，完成后单击确定。
  Note: 单击测试来测试配置是否正确。如果提示测试成功，表示配置正确；如果不是，请修改配置。
配置密码规则。
1. 选择工作台 > 帐号改密 > 系统设置 > 密码规则。
2. 在密码规则中单击新建密码规则，设置各参数，完成后单击确定。
  - 密码策略：生成密码的规则，本例中采取随机生成不同密码规则并使用缺省生成规则，您可以根据需要选择其他的密码策略。
  - 备份方式：选择文件服务器一
  - 添加通知用户：选择admin
配置改密计划。
1. 选择工作台 > 帐号改密 > 帐号维护 > 改密计划。
2. 单击新建改密计划，设置各参数，完成后单击下一步。
  - 通知方式：选择站内通知
  - 通知人：选择admin
3. 设置密码规则，完成后单击下一步。
  - 密码规则：选择模板选择
  - 模板选择：选择example01
4. 单击指定帐号对应的已关联，选择user01（资产名称为Windows01），单击确定，完成后单击保存。

Windows本地用户改密配置完成后，运维审计系统会按照计划中的时间执行改密，您也可以手工立即执行改密计划。

单击schedule_01对应的立即执行，当提示立即执行改密计划时单击确定。
当改密计划正在执行时，可以单击操作列表下的终止执行，取消继续执行改密计划。
Note: 终止执行操作将终止未进行的改密，当前正在执行改密的帐号还是会继续改密。

执行结束后，上次改密结果中会显示执行结果。未执行改密的帐号数量也会记录在上次改密结果列表中。

Note: 可以单击密码备份下载，将当前改密计划对应的帐号的密码下载到本地。下载后需要根据在帐号设置 > 信息加密中配置的加密方法进行解密。
登录SFTP服务器，可以看到改密前后的密码备份文件。
下载备份文件并使用ZIP密码解压缩，可以看到修改前后的密码。
验证修改后密码的正确性。
1. 选择工作台 > 帐号改密 > 帐号资产 > 主机帐号。
2. 单击Windows01，然后单击user01对应的编辑。
3. 选择密码管理，单击登录测试。
  如果提示登录成功，表示user01的新密码已在运维审计系统上更新，当前密码的状态为正常。

4.5 举例：Windows域用户改密

如图4.2 Windows域用户改密组网图所示，运维人员通过运维审计系统管理目标资产。

图4.2 Windows域用户改密组网图

现要求通过运维审计系统为域用户改密，已知数据如下表所示。

系统	数据	说明
运维审计系统	用户帐号：admin 用户工作邮箱：administrator@example.com 用户ZIP文件密码：PassWord01	运维审计系统上接收改密通知和密码备份文件的用户，本例中为admin。实际使用中请根据需要配置成其他用户。
AD域控制器	域名：example.com IP地址：10.10.16.12 特权帐号：名称：administrator bindDN：CN=Administrator,CN=Users,DC=example,DC=com 密码：123456 用户objectClass：person 待改密帐号：名称：user01 baseDN：CN=Users,DC=example,DC=com 密码：123456	无
SFTP服务器	IP地址：10.10.16.26 端口：22 用户名：root 密码：123456	存放密码备份文件的文件服务器。运维审计系统支持将密码备份文件发送到用户的邮箱或者上传到文件服务器，本例中为上传到文件服务器。

运维审计系统为Windows域用户改密支持两种方式：

RPC
Agent

改密时优先用Agent方式，Agent改密失败后再使用RPC方式。推荐使用Agent方式。

表4.6 不同改密方式对Windows和运维审计系统的要求
方式	Windows域控制器	运维审计系统
RPC	Windows上已打开TCP的135、139和445端口，且Windows和运维审计系统之间的防火墙允许运维审计系统访问Windows的这些端口。	待改密帐号的密码已在运维审计系统上托管。
Agent	域控服务器上已安装Agent，且Agent上已配置运维审计系统的IP地址和端口（缺省端口是TCP 3301），域控服务器和运维审计系统之间的防火墙允许域控服务器访问运维审计系统的TCP 3301端口。 Note: Agent的版本要和运维审计系统的版本配套。Agent下载地址：在运维审计系统的Web界面上单击admin，选择帮助，在其他应用 > 下载中下载Windows的Agent安装软件。	无

新建Windows域。
1. 选择资产 > 配置 > Windows域。
2. 单击新建域，设置各参数，完成后单击确定。
3. 单击特权帐号对应的。
4. 设置特权帐号各参数，完成后单击确定。
  Note: 设置完各参数、单击确定前，可以单击测试来测试配置是否正确。如果提示连接测试成功，表示配置正确；如果不是，请根据提示信息修改配置。
5. 单击帐号过滤条件对应的取值，在弹出的对话框中单击baseDN对应的，选择不同的baseDN，并设置过滤条件，完成后单击确定。
  Note:
  - Windows域用户的缺省过滤条件为(&(objectCategory=person)(objectClass=user))，请根据实际情况修改。
  - 单击确定前，可以单击测试来测试配置是否正确。如果帐号列表中出现帐号名称和bindDN，表示配置正确；如果出现无数据，请修改配置。
同步Windows域用户并托管待改密帐号的密码。
1. 选择工作台 > 帐号改密 > 帐号资产 > 域帐号。
2. 单击域名对应的，将Windows域用户同步到运维审计系统。
3. 选择CN=Users，然后单击user01对应的编辑。
  Note: 在此逐一选择待改密的帐号，本例中为CN=Users中的user01。
4. 选择帐号编辑，设置各参数，完成后单击确定。
  - 是否可改密：设置为可改密
  - 登录密码 / 确认密码：user01的密码，如果使用Agent方式改密，则不需要托管密码
5. Optional: 选择密码管理，单击登录测试来测试配置是否正确。
  如果提示登录成功，表示配置正确；如果不是，请修改配置。
配置密码备份相关参数。
1. 选择用户 > 用户管理 > 用户列表，单击admin对应的编辑，设置工作邮箱，完成后单击保存。
2. 单击admin，选择帐号设置，单击信息加密，选择ZIP文件密码，设置各参数，完成后单击确定。
3. 单击admin，选择系统设置 > 系统 > 基本设置，单击文件服务，设置各参数，完成后单击确定。
  Note: 单击测试来测试配置是否正确。如果提示测试成功，表示配置正确；如果不是，请修改配置。
配置密码规则。
1. 选择工作台 > 帐号改密 > 系统设置 > 密码规则。
2. 在密码规则中单击新建密码规则，设置各参数，完成后单击确定。
  - 密码策略：生成密码的规则，本例中采取随机生成不同密码规则并使用缺省生成规则，您可以根据需要选择其他的密码策略。
  - 备份方式：选择文件服务器一
  - 添加通知用户：选择admin
配置改密计划。
1. 选择工作台 > 帐号改密 > 帐号维护 > 改密计划。
2. 单击新建改密计划，设置各参数，完成后单击下一步。
  - 通知方式：选择站内通知
  - 通知人：选择admin
3. 设置密码规则，完成后单击下一步。
  - 密码规则：选择模板选择
  - 模板选择：选择example01
4. 单击域帐号对应的已关联，选择user01，单击确定，完成后单击保存。

Windows域用户改密配置完成后，运维审计系统会按照计划中的时间执行改密，您也可以手工立即执行改密计划。

单击schedule_01对应的立即执行，当提示立即执行改密计划时单击确定。
当改密计划正在执行时，可以单击操作列表下的终止执行，取消继续执行改密计划。
Note: 终止执行操作将终止未进行的改密，当前正在执行改密的帐号还是会继续改密。

执行结束后，上次改密结果中会显示执行结果。未执行改密的帐号数量也会记录在上次改密结果列表中。

Note: 可以单击密码备份下载，将当前改密计划对应的帐号的密码下载到本地。下载后需要根据在帐号设置 > 信息加密中配置的加密方法进行解密。
登录SFTP服务器，可以看到改密前后的密码备份文件。
下载备份文件并使用ZIP密码解压缩，可以看到修改前后的密码。
验证修改后密码的正确性。
1. 选择工作台 > 帐号改密 > 帐号资产 > 域帐号。
2. 在Windows域example.com中选择CN=Users，然后单击user01对应的编辑。
3. 选择密码管理，单击登录测试。
  如果提示登录成功，表示user01的新密码已在运维审计系统上更新，当前密码的状态为正常。

5 系统

5.1 举例：阿里云短信网关对接配置

运维审计系统的下列功能支持发送短信：

会话复核：发送短信通知给复核人。短信内容是字符串，主要内容为：哪个操作员使用哪个帐号启动哪个资产的会话，需要您进行复核。
命令复核：发送短信通知给复核人。短信内容是字符串，主要内容为：哪个操作员使用哪个帐号在哪个资产上执行哪个命令，需要您进行复核。
系统告警：发送短信通知给系统告警通知人。短信内容是字符串，示例：磁盘占用率超过80%。
短信认证：发送验证码给用户。短信内容为一串数字，示例：435687。

运维审计系统支持与以下短信网关对接：

HTTP短信网关
阿里云短信网关
腾讯云短信网关
移动云梦短信网关

运维审计系统只能同时启用一个短信网关，本文介绍运维审计系统与阿里云短信网关对接时，如何在阿里云上配置短信服务以及如何在运维审计系统配置阿里云短信网关对接参数。

配置阿里云短信服务

Note:

关于阿里云短信服务的使用限制，请参见限制说明。
如果需要了解阿里云短信服务的详细配置指导，请参见阿里云短信服务文档。

如果还没有入驻阿里云，请先完成注册和实名认证。
如果还没有开通短信服务，请先开通短信服务。
进入短信服务控制台。
创建签名和模版。
短信服务发送的短信中包括短信签名和短信模版。短信签名是短信发送者的署名，表示发送方的身份；短信模版是发送的短信内容。

使用短信签名和短信模版前必须提交短信服务审核，审核通过的签名和模版才能使用在短信中。

Note: 短信服务产品类型包括国内消息和国际/港澳台消息，以下操作以国内消息为例进行介绍。
1. 查看或者创建签名。
  如果已创建好签名，请在国内消息，选择签名管理，查看签名。
  
  如果还没有创建签名，单击添加签名，按照提示设置各参数。
2. 创建模板。
  如果已创建好模版，请在国内消息，选择模版管理，查看模版CODE。
  
  单击模版对应的详情，查看定义的变量。下图中的变量为“code”。
  
  如果还没有创建模版，单击添加模版，按照提示设置各参数。
  - 模版类型：如果只使用运维审计系统的短信认证功能，模版类型可以选择验证码或者短信通知；如果要发送会话复核、命令复核、系统告警短信，模版类型必须选择为短信通知。
  - 模板内容：支持变量。
    Note:
    运维审计系统同一时间只能配置一个模版，如果需要同时发送短信认证消息和会话复核、命令复核等消息，设置模版内容时注意通用性。
    
    运维审计系统中短信内容只定义了一个变量content，阿里云上配置模版内容时也只需要定义一个变量与content对应即可。
查看或者创建AccessKey并添加权限。
1. 如果还没有开通RAM服务，请先开通访问控制（RAM）服务。
2. 进入RAM访问控制台。
3. 在左侧导航栏的人员管理菜单下，单击用户，再单击新建用户，设置各参数，完成后单击确定。
  - 登录名称：user001
  - 显示名称：用户001
  - 访问方式：编程访问
4. 创建完成后自动生成AccessKey，请单击复制保存用户信息。
5. 勾选该用户，单击添加权限，选择AliyunDysmsFullAccess或AliyunDysmsReadOnlyAccess，完成后单击确定。
6. 单击完成。

配置运维审计系统与阿里云短信网关对接参数

使用超级管理员（例如admin）登录运维审计系统的Web界面。
单击右上角用户帐号，选择系统设置。
如果还没有配置网关或者DNS，请选择系统 > 基本设置 > 网络配置，单击配置，配置网关和DNS，完成后单击确定。
Note: 运维审计系统必须能ping通location-readonly.aliyuncs.com，才能正常发送短信，因此需要正确配置网关和DNS。
选择系统 > 基本设置 > 短信配置。
单击阿里云短信网关对应的启用，设置各参数，完成后单击确定。
- 签名：阿里云短信签名的名称。
- 密钥ID：阿里云RAM用户的AccessKey ID。
- 密钥：阿里云RAM用户的AccessKey Secret。
- 模板ID：阿里云短信模版的模版CODE。
- 模板参数：格式为arg=value，其中arg为阿里云短信模版中定义的变量，本例中为code；value为运维审计系统发送的短信内容的变量content。模板参数配置为code=<%content%>。
Optional: 单击测试，设置手机号码和测试内容，然后单击确定。如果能接收到短信，说明配置正确；如果不能，请排查解决。
Note: 默认的测试内容是字符串，如果阿里云上短信模版的类型为验证码，只能接收数字，请将测试内容修改为数字，例如“435687”。

手机上收到的短信如下图所示。

5.2 举例：腾讯云短信网关对接配置

运维审计系统的下列功能支持发送短信：

会话复核：发送短信通知给复核人。短信内容是字符串，主要内容为：哪个操作员使用哪个帐号启动哪个资产的会话，需要您进行复核。
命令复核：发送短信通知给复核人。短信内容是字符串，主要内容为：哪个操作员使用哪个帐号在哪个资产上执行哪个命令，需要您进行复核。
系统告警：发送短信通知给系统告警通知人。短信内容是字符串，示例：磁盘占用率超过80%。
短信认证：发送验证码给用户。短信内容为一串数字，示例：435687。

运维审计系统支持与以下短信网关对接：

HTTP短信网关
阿里云短信网关
腾讯云短信网关
移动云梦短信网关

运维审计系统只能同时启用一个短信网关，本文介绍运维审计系统与腾讯云短信网关对接时，如何在腾讯云上配置短信服务以及如何在运维审计系统配置腾讯云短信网关对接参数。

配置腾讯云短信

Note: 如果需要了解腾讯云短信的详细配置指导，请参见腾讯云短信文档。

如果还没有腾讯云帐号，请先完成注册和实名认证。
如果还没有开通短信服务，请登录短信控制台，勾选我已阅读并同意腾讯云短信服务协议，单击开始接入开通短信服务。
查看或者创建应用。
如果已创建好应用，请在应用列表中查看应用。下图中的开发测试即为一个应用的名称。

单击应用名称，查看SDK AppID和AppKey，其中AppKey需要单击显示才能看到具体的内容。

如果还没有创建应用，单击添加应用，按照提示设置各参数。
配置短信内容。
一个完整的短信由短信签名和短信正文内容组成，可以根据业务需求分别设置不同的模板，然后组合成最终短信内容：【短信签名】短信正文内容。短信签名和正文模板提交后，需要审核通过后才能使用。

Note: 关于腾讯云短信签名和正文模板的审核标准，请参见审核标准。

Note: 短信服务产品类型包括国内消息和国际/港澳台消息，以下操作以国内消息为例进行介绍。
1. 在应用列表页面，单击目标应用名称开发测试进入应用详情页。
2. 查看或者创建签名。
  如果已创建好签名，请在国内短信 > 短信内容配置 > 短信签名中查看签名。
  
  如果还没有创建签名，单击创建签名，按照提示设置各参数。
3. 创建模板。
  如果已创建好正文模板，请在国内短信 > 短信内容配置 > 短信正文中查看正文模板。
  
  如果还没有创建模板，单击创建正文模板，按照提示设置各参数。
  - 短信类型：选择普通短信。
  - 短信内容：支持变量，变量名按顺序依次为{1}、{2}、{3}……
    Note:
    运维审计系统同一时间只能配置一个模板，如果需要同时发送短信认证消息和会话复核、命令复核等消息，设置模板内容时注意通用性。
    
    运维审计系统中短信内容只定义了一个变量content，腾讯云上配置模板内容时也只需要使用一个变量与content对应即可，即{1}。

配置运维审计系统与腾讯云短信网关对接参数

使用超级管理员（例如admin）登录运维审计系统的Web界面。
单击右上角用户帐号，选择系统设置。
如果还没有配置网关或者DNS，请选择系统 > 基本设置 > 网络配置，单击配置，配置网关和DNS，完成后单击确定。
选择系统 > 基本设置 > 短信配置。
单击腾讯云短信网关对应的启用，设置各参数，完成后单击确定。
- 签名：腾讯云短信签名的内容。
- AppID：腾讯云应用的SDK AppID。
- AppKey：腾讯云应用的App Key。
- 模板ID：腾讯云短信正文模板的ID。
- 模板参数：设置为<%content%>。
Optional: 单击测试，设置手机号码和测试内容，然后单击确定。如果能接收到短信，说明配置正确；如果不能，请排查解决。

手机上收到的短信如下图所示。

5.3 举例：移动云梦短信网关对接配置

运维审计系统支持与移动云梦短信网关平台对接，允许用户通过包含短信认证的方式进行登录并执行运维操作。

在对接云梦短信网关平台前，请先确保完成以下操作：

已在移动云梦短信网关平台中创建接口帐号，并获取了签名信息。
已设置了短信模板并审核通过。
运维审计系统与移动云梦短信网关平台网络可达。

关于移动云平短信网关平台的相关操作，请在其官网http://mas.10086.cn/中下载并查阅《用户操作手册》和《短信接口文档》。

运维审计系统只能同时启用一个短信网关，本文将详细介绍运维审计系统与移动云梦短信网关对接时，如何在运维审计系统配置对接参数。

使用超级管理员（例如admin）登录运维审计系统的Web界面。
选择系统设置 > 系统 > 基本设置 > 短信配置。

单击移动云梦短信网关对应的启用，设置各参数，完成后单击确定。

参数	取值	说明
短信类型	模板短信	-
URL	http://1...5:1992/sms/tempsubmit	移动云梦短信网关的URL，必须为标准的HTTP或者HTTPS地址。
API参数	ecName=*, apId=zwy, secretKey=zwy, sign=Hr, templateId=d6e355a***, addSerial=	对接移动云梦短信网关平台时，需要依次设置以下参数： ecName：企业名称。 apId：接口帐号用户名。 secretKey：接口帐号对应的密码。 sign：签名编码，在云MAS平台的管理 > 接口管理 > 短信接入用户管理处获取。 templateId：模板ID，在云MAS平台的短信 > 模板短信 > 模板管理中创建模板。创建后需要提交审核，审核通过将获得模板ID。 addSerial：扩展码，依据开户时申请的服务代码匹配类型而定，如为精确匹配，此项填写空字符串；如为模糊匹配，此项可填写空字符串或自定义的扩展码。
字符编码	GBK	对接移动云梦短信网关平台时，任选一个即可。
发送方式	POST	对接移动云梦短信网关平台时，任选一个即可。

Optional: 单击测试，设置手机号码和测试内容，然后单击确定。如果能接收到短信，说明配置正确；如果不能，请排查解决。
Note: 默认的测试内容是字符串，由于移动云梦短信网关中短信模版的类型为验证码，只能接收数字，因此需要将测试内容修改为长度为1~20的数字，例如“123456”。

手机上收到的短信如下图所示。

6 国密

6.1 举例：配置国密认证和验签

通过配置国密USB Key认证和国密签名验签服务器，可实现国密算法签名/验签、国密USB Key认证和抗抵赖性功能。

前提条件

已经获取国密USB Key及配套的用户证书和PIN码（通常为12345678）。如何获取用户证书，请参考附录：检查USB Key可用性并导出证书。

数据规划请参见下表。

项目	数据	说明
签名验签服务器	IP地址/端口：10.2.35.5/2020 索引值：1 权限码：123456 签名验签证书：sm.crt 校验ca根证书	开启校验ca根证书后，需要在签名验签服务器中导入国密USB Key的CA证书。签名验签服务器的参数和操作，请联系签名验签服务器的管理员。
USB Key认证用户	帐号：cfg 姓名：配置管理员身份验证：USBKey USBKey证书：sign.crt PIN码：12345678	sign.crt即从国密USB Key中导出的签名证书。

在Console控制台中开启国密功能。

登录Console控制台。

在Enter selection中输入命令GMCONFIG后按回车。

Main Menu:
    1. Date and Time
    2. Network Configuration
    3. H3C Tools
    R. Reset admin
    S. SSHD Management
    N. Nginx Management
    A. ACL Management
    U. User Connection
    T. System Tools
Enter selection: GMCONFIG

执行ENABLE THE GM CONFIG开启国密功能。

GM CONFIG Management: 
    E. ENABLE THE GM CONFIG 
    D. DISABLE THE GM CONFIG 
    0. Return
Enter selection: e
It will restart tomcat service after open gmConfig, Are you sure [y/n] y
change gmConfig from close to open
Process is end

登录Web，选择系统设置 > 系统 > 基本设置 > 国密配置，配置签名验签服务器，完成后单击确定。

Note: 完成后请单击测试，测试通过后再进行后续的配置。
选择系统设置 > 用户 > 登录认证 > USBKey认证，开启国密令牌功能，完成后单击确定。
选择用户 > 用户管理 > 用户列表，单击新建用户，完成用户配置后单击创建。
单击请上传，上传USBKey证书。
验证国密USB Key认证。
已准备一台有USB 2.0及以上接口的Windows 10操作系统的PC，并已安装支持USB Key认证的浏览器（任意一款即可）：
- Firefox 88
- Chrome 83
- 密信浏览器V1.0.0.6
- 红莲花浏览器5.2.0.7
Note: 不支持使用MacOS进行国密认证。
1. 单击右上角的用户姓名（例如admin），选择帮助 > USBKey认证插件 > 下载，并单击下载将认证插件下载到本地。
2. 在用户PC上安装ET199Plugin.exe（直接默认安装即可）。
3. 将国密USB Key设备插入本地PC的USB接口中。
4. 使用支持USB Key控件浏览器登录Web界面，检查能否通过PIN码正常登录。
  如果采用USB Key认证，不输入密码直接单击登录，然后输入PIN码后即可正常登录；如果采用包含USB Key认证的双因子认证，请输入第一重认证密码后再单击登录。
验证数据抗抵赖性：当国密USB Key管理员登录后，执行关键操作（例如删除用户），需要再次输入PIN码后才会生效。
验证验签功能：执行关键操作后，单击以下页面中的验证按钮。
- 工作台 > 审计 > 事件审计 > 登录日志
- 工作台 > 审计 > 事件审计 > 配置日志
- 权限台 > 权限配置 > 动态权限
以动态权限为例。

如果数据没有篡改，会提示“完整验证通过”；否则提示“完整验证不通过”。

6.2 举例：配置国密HTTPS隧道

配置后，运维审计系统（需要插入国密USB Key）和国密浏览器（密信浏览器、红莲花安全浏览器和360企业安全浏览器）建立采用国密算法的HTTPS隧道，用于安全数据传输通道。

前提条件

将国密USB Key插入到运维审计系统的USB口。
获取国密USB Key的PIN码（通常为12345678）。
国密浏览器已经开启国密HTTPS功能（通常在浏览器的设置界面中配置），具体操作请参见浏览器配套的使用说明书。

开启国密HTTPS功能后，只能通过国密浏览器访问运维审计系统的Web界面。

登录Console控制台
执行命令gmtls，进入HTTPS配置界面。
输入E（开启HTTPS国密隧道）并按回车。当出现“GM Https test pass”，表示开启成功。
- Please input pin code：输入PIN码。
- 1. Cont1：输入PIN码后，系统会列出USB Key中的容器名。当前默认为单容器，所以只有1组数据。
- Please choose one container：输入容器编号。
用户通过国密浏览器访问运维审计系统的Web，单击地址栏（下图红框）查看HTTPS是否是国密算法。

正常情况下，应该显示为国密算法SM2。

6.3 附录：检查USB Key可用性并导出证书

前提条件

获取KeyCheck工具keycheck.zip。
获取国密USB Key和对应的PIN码。当前设备常见的PIN码是12345678。
已经在本地PC的USB中插入国密USB Key。

KeyCheck工具支持从国密USB Key中导出签名文件（用户证书），同时也支持对USB Key进行可用性检查。如果USB Key通过了认证功能和国密HTTPS功能，表示该USB Key可正常使用；否则工具会给出检查失败原因，请根据实际提示处理。

KeyCheck工具有2种运行模式：

命令行模式：通过执行命令（指定参数）进行配置。
交互模式：根据工具提供的交互界面，依次输入各参数进行配置。

Note:

命令行模式使用方便、快捷，推荐使用。如果操作前不知道容器名称，请使用交互模式。交互模式中，PIN码登录后，系统会自动显示出USB Key中的容器名称。
KeyCheck工具会导出加密证书（默认为enc.crt）和签名证书（默认为sign.crt）。目前在配置国密USB Key认证中需要上传签名证书；加密证书目前暂无实际应用。

解压keycheck.zip文件后，在PC的命令行界面中执行命令keycheck.exe -h，查看keycheck命令的所有参数以及功能。

D:\keycheck>keycheck.exe -h
Usage of keycheck.exe:
  -cont string        //配置容器名，默认为Cont1
        Container name to open (default "Cont1")
  -enc string         //生成加密证书，默认为enc.crt（和keycheck.exe同目录）
        Encrypt certificate name to export (default "./enc.crt")
  -encode string      //配置语言模式，默认中文
        language encode, zh or en (default "zh")
  -example            //查看使用样例
        Show examples
  -i    Enable interactive mode          //交互模式运行
  -log string         //生成日志文件，默认值keycheck.log（和keycheck.exe同目录）
        Log file path (default "./keycheck.log")        //如果输入-log ""，表示不生成日志文件，直接在界面显示日志
  -pin string         //配置PIN码，默认为12345678
        Login pin code (default "12345678")
  -sign string        //生成签名证书，默认为sign.crt（和keycheck.exe同目录）
        Signature certificate name to export (default "./sign.crt")
  -v    Show version           //查看工具版本

Note:

如果参数使用默认值，可以省略。例如命令keycheck.exe -pin "12345678" -cont "Cont1" -enc "crt.crt"等价于keycheck.exe -enc "crt.crt"。
执行命令时，多个参数之间互换前后位置，不影响命令执行的结果。例如命令keycheck.exe -pin "12345678" -cont "Cont1"等价于keycheck.exe -cont "Cont1" -pin "12345678"。

6.3.1 普通命令模式运行

解压keycheck.zip文件，在PC的命令行界面中执行命令keycheck.exe。keycheck.exe命令执行后，系统会自动完成PIN码登录、导出指定容器的签名/加密证书、检测认证功能/国密HTTPS功能等一系列操作。

D:\keycheck>keycheck.exe -pin "12345678" -cont "Cont1" -sign "sign.crt" -enc "crt.crt" -log "./log.log"
开始检查认证功能...
Hash: 9f611476772e***b2e641b3662
Signature: a9694e5267fe16***1e99b61e
签名检测通过
认证功能检测通过
开始检查 Https 功能...
Hash: 9f611476772e***b2e641b3662
Signature: a700ce57ce***aed2da3
签名检测通过
加密检测通过
国密 HTTPS 功能检测通过

命令执行后，请在keycheck.exe的所在目录中获取生成的证书/日志文件。目前，在配置国密USB Key认证中需要上传签名证书，加密证书暂无实际应用。

6.3.2 交互模式运行

解压keycheck.zip文件，在PC的命令行界面中执行命令keycheck.exe -i。
```
D:\keycheck>keycheck.exe -i -log "./log.log"
```

PIN码登录。

登录状态：未登录
容器列表（未列出）：无
当前选择容器：
签名密钥序号：未导出
加密密钥序号：未导出

1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
1                            //PIN码登录
-------------------------------------------------
请输入 Pin 码：
12345678              //输入PIN码
-------------------------------------------------

登录状态：已登录
容器列表（未列出）：无
当前选择容器：
签名密钥序号：未导出
加密密钥序号：未导出

查看证书容器名称。

1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
2                    //枚举证书容器列表
-------------------------------------------------

登录状态：已登录
容器列表（已列出）：[Cont1]
当前选择容器：
签名密钥序号：未导出
加密密钥序号：未导出

导出指定容器的签名证书。

1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
3                           //导出证书
-------------------------------------------------
0. Cont1
请选择证书容器：
0                          //选择容器编号
-------------------------------------------------
1.导出签名证书
2.导出加密证书
0.返回上层
1                          //导出签名证书
-------------------------------------------------
请输入要导出的证书文件名（证书会生成在工具所在目录）：
sign.crt                //输入签名证书文件名

导出指定容器的加密证书。

1.导出签名证书
2.导出加密证书
0.返回上层
2                          //导出加密证书
-------------------------------------------------
请输入要导出的证书文件名（证书会生成在工具所在目录）：
crt.crt                  //输入加密证书文件名
-------------------------------------------------
1.导出签名证书
2.导出加密证书
0.返回上层
0                          //返回到主菜单
-------------------------------------------------

登录状态：已登录
容器列表（已列出）：[Cont1]
当前选择容器：Cont1
签名密钥序号：1
加密密钥序号：2

验证用户认证功能。

1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
4                        //验证用户认证功能
-------------------------------------------------
开始检查认证功能...
Hash: 9f611476772e***b2e641b3662
Signature: a9694e5267fe16***1e99b61e
签名检测通过
认证功能检测通过         //验证通过

登录状态：已登录
容器列表（已列出）：[Cont1]
当前选择容器：Cont1
签名密钥序号：1
加密密钥序号：2

验证国密HTTPS功能。

1.Pin码登录
2.枚举证书容器列表
3.导出证书
4.验证用户认证功能
5.验证国密 HTTPS 功能
5                      //验证国密HTTPS功能
-------------------------------------------------
开始检查 Https 功能...
Hash: 9f611476772e***b2e641b3662
Signature: a700ce57ce***aed2da3
签名检测通过
加密检测通过
国密 HTTPS 功能检测通过

命令执行后，请在keycheck.exe的所在目录中获取生成的证书/日志文件。目前，在配置国密USB Key认证中需要上传签名证书，加密证书暂无实际应用。

7 其他

7.1 举例：告警事件

通过配置告警事件，可以实现身份认证成功/失败、访问特定资产、执行高危命令、会话复核以及进行字符会话时发送Syslog或邮件告警。

已完成对访问特定资产、执行高危命令、会话复核告警级别的配置。
已配置邮件服务器。

现要求超级管理员为操作员配置一条访问Linux主机资产的动态权限，操作员通过特权帐号访问该Linux主机资产、进行高危命令、会话复核、字符审计日志以及错误登录时发送告警信息。具体参数信息如下表所示。

表7.1 告警事件参数信息规划
参数	取值	说明
syslog日志/通知邮件事件来源	身份验证资产访问命令防火墙会话复核字符审计日志（仅syslog日志）配置日志系统告警	身份认证：用户登录运维审计系统的事件，包括登录成功（级别为Informational）和登录失败（级别为Warning）。资产访问：发送资产访问的事件。命令防火墙：用户执行了高危命令中动作除了允许之外的命令，包括拒绝、终止会话、需复核、通知和全局禁止。对于需复核的命令，复核人执行了复核操作后才会发送日志。会话复核：用户执行了需要复核的会话。配置了复核的会话一启动，运维审计系统就会发送日志。字符审计日志：用户访问资产并建立字符会话，执行命令就会发送该告警日志。所有的日志将在该字符会话断开3秒后统一逐条发送。配置日志：发送系统或用户在运维审计系统上执行所有配置操作的事件。系统告警：当运维审计系统监测到自身的系统出现异常时，发送告警日志。勾选后，根据页面显示设置重复发送的时间间隔，该设置仅对系统告警生效。
syslog日志/通知邮件事件级别	INFORMATIONAL	只有和所选级别相同或更高的事件才会发送。如果选择NONE，表示不发送。事件级别由低到高依次为：NONE （不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。
远程主机	10.2.180.11	Syslog服务器的IP地址，默认端口号为514，自定义端口可在IP地址后加“:端口号”，例如“10.10.16.201:8022”。 Note: 远程主机最多可配置3个。当配置多个时，向所有的远程主机发送告警事件消息。
协议	UDP	运维审计系统向Syslog服务器发送告警信息使用的协议。
标识	Test	用于配置Syslog的identifier，可以是任意字符，长度不超过30。
邮件收件人	admin	配置触发告警事件的邮件收件人。

单击右上角的用户帐号（例如admin），选择系统帐号 > 系统 > 基本设置 > 告警事件。
在syslog日志事件来源中勾选身份验证、资产访问、命令防火墙、会话复核、字符审计日志配置日志和系统告警。
在syslog日志事件来源的只发送级别不低于X的事件消息中选择INFORMATIONAL。
填写syslog日志发送对象的主机地址和标识。
在通知邮件事件来源中勾选身份验证、资产访问、命令防火墙和会话复核。
在通知邮件事件来源中的只发送级别不低于X的事件消息中选择NOTICE。
设置通知邮件收件人信息。单击选择收件人，在弹出的对话框中选中admin，完成后单击确定。
确认参数设置无误后，单击确定。

告警事件发送结果如下：

资产访问：
会话复核：
命令防火墙：
身份验证（登录失败）：
字符审计日志：
配置日志：

Note: 为了避免syslog报文过长而被Syslog服务器拒收，所以当告警信息过长时，告警信息会被运维审计系统自动截断。如果出现收到的告警信息显示不完整的情况，可以在审计 > 事件日志 > 配置日志中查看详细信息。
系统告警：

7.2 举例：导出即时报表

本节将新建一个个即时报表，并使用预置的报表模板导出报表为例，详细介绍导出报表的具体方法。

已知数据信息如下表所示：

表7.2 新建报表数据信息
参数	取值	说明
报表名称	用户统计	报表名称。用于标识一个报表，全局唯一。长度为1~30字符串。
报表类型	即时报表	通过手动单击生成报表，立即生成一个报表。
自动生成	否	表示只能手动生成该报表。
报表模板	用户基本报表	用于定义报表的具体内容。
统计起始时间点	2019-08-09 00:00/2019-08-10 00:00	导出报表的时间范围。

新建报表

使用超级管理员、配置管理员或其他具有报表权限的用户登录Web界面，选择工作台，单击报表。
选择报表查看 > 报表，单击新建报表。
设置各参数信息，完成后单击保存。

生成报表

单击生成报表。
设置统计开始时间和结束时间，单击确定。

生成的报表如下：

导出报表

单击报表预览右上角的，在弹出的对话框中选择PDF，将生成的报表已PDF格式下载到本地PC。

7.3 举例：导出周期报表

本节将新建一个周期报表，并使用预置的报表模板导出报表为例，详细介绍导出报表的具体方法。

已知数据信息如下表所示：

表7.3 新建报表数据信息
参数	取值	说明
报表名称	用户统计	报表名称。用于标识一个报表，全局唯一。长度为1~30字符串。
报表类型	周期报表	表示按固定的统计周期进行统计，每一个统计周期内统计从开始到结束的信息，并在每一个生成周期时间点上生成上一个统计周期的报表。
自动生成	是	表示按固定的生成周期生成。
周期类别	按日	表示统计周期，也表示生成周期。即按什么频率统计报表信息并生成报表。
报表模板	用户基本报表	用于定义报表的具体内容。报表的简要说明请在报表配置 > 报表模板中查看。

表7.4 编辑报表数据信息
参数	取值	说明
统计日期	周一	当周期类别为按日时，勾选需要对每周的哪几天进行统计并生成；其他情况下配置每个统计周期开始的时间点。
邮件发送	否	选择生成报表后是否通过邮件通知指定收件人。需要保证系统服务中的邮件服务设置正确。

新建报表

使用超级管理员、配置管理员或其他具有报表权限的用户登录Web界面，选择工作台，单击报表。
选择报表查看 > 报表，单击新建报表。
设置各参数信息，完成后单击保存。

Note: 本例中新建报表里的统计、详情是报表模板里定义的内容模块，勾选该内容表示报表中将显示相关内容。选择不同的报表模板，则报表内容不相同。
单击用户报表对应的编辑。
选择高级属性，选择统计日期，单击保存。

生成报表

在报表自动生成之后，单击历史报表，可查看周期报表的生成时间和状态。

查看并导出报表

在历史报表中单击用户报表对应的查看，查看当前已生成的用户基本报表。
生成报表如下：
单击报表预览右上角的下载按钮，在弹出的对话框中，选择PDF，将生成的报表已PDF格式下载到本地PC。

7.4 举例：脚本任务（类Unix系统）

本节将以在一个Linux资产中执行bash脚本为例，介绍在类Unix系统中执行脚本任务的具体方法。

已知数据信息如下：

表7.5 自定义脚本文件信息
脚本名称	内容
bash.sh	自定义。例：#!/bin/sh echo hello world

表7.6 脚本任务信息
参数	取值	说明
任务名称	bash	脚本任务的名称。字符串格式，长度范围是1~30个字符。
目标资产	CentOS 7	目标资产访问必须添加SSH协议，以及使用特权帐号登录。
执行方式	自动执行	-
执行时间	2022-05-12 15:00	脚本任务第一次执行的时间，包括年/月/日/时/分。
执行间隔	执行一次	脚本任务的执行间隔，可选项包括：执行一次、按日、按月。

增加脚本任务

使用超级管理员、配置管理员、自动化管理员或其他具有自动化权限的用户登录Web界面。
选择工作台，单击自动化。
选择脚本任务 > 任务列表，单击增加脚本任务。
上传准备好的自定义脚本，并设置各参数信息，完成后单击保存。
单击立即执行。
单击确定。

查看执行结果

在任务详情中单击刷新结果，直到任务显示结束时间，即执行完毕。
Note: 当脚本任务执行完成时，右上角也会显示脚本任务通知。
单击详情，查看任务执行的结果。

如果脚本任务配置正确，可以看到脚本任务执行的详细结果。

7.5 举例：脚本任务（网络设备）

本节将以在一个网络设备资产中执行自定义脚本为例，介绍在类网络设备中执行脚本任务的具体方法。

已知数据信息如下：

表7.7 脚本任务信息
参数	取值	说明
任务名称	net	脚本任务的名称。字符串格式，长度范围是1~30个字符。
目标资产	H3C Comware1	目标资产访问必须添加Telnet协议，以及使用特权帐号登录。
文件来源	网络资产配置命令在下拉列表框中选择自定义	以自定义脚本为例。
配置命令	ping 10.1.2.14	可直接在配置命令窗口中编辑脚本文件。例：ping 10.1.2 14 display ip routing-table
执行方式	自动执行	-
执行时间	2022-05-12 15:30	脚本任务第一次执行的时间，包括年/月/日/时/分。
执行间隔	执行一次	脚本任务的执行间隔，可选项包括：执行一次、按日、按月。

增加脚本任务

使用超级管理员、配置管理员、自动化管理员或其他具有自动化权限的用户登录Web界面。
选择工作台，单击自动化。
选择脚本任务 > 任务列表，单击增加脚本任务。
设置各参数信息，完成后单击保存。
单击立即执行。
单击确定。

查看执行结果

在任务详情中单击刷新结果，直到任务显示结束时间，即执行完毕。
Note: 当脚本任务执行完成时，右上角也会显示脚本任务通知。
单击详情，查看任务执行的结果。

如果脚本任务配置正确，可以看到脚本任务执行的详细结果。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C SecPath A2000-G[AK][V][G510][Cloud]系列运维审计系统 典型配置(E6111 E6112 R6113)-6W114

目录

1 用户

1.1 举例：AD认证

1.2 举例：LDAP认证

1.3 举例：RADIUS认证

1.4 举例：手机令牌认证（双因子）

1.5 举例：短信认证（双因子）

1.6 举例：USB Key认证

1.6.1 安装USB Key控件

1.6.2 配置USB Key

1.6.3 使用USB Key完成登录认证

1.7 举例：动态令牌认证

1.8 举例：LDAP导入

1.9 举例：X.509证书认证

2 资产

2.1 举例：Windows域资产管理和访问

2.2 举例：Oracle数据库管理和访问

2.3 举例：MSSQL数据库管理和访问（本地帐号）

2.4 举例：MSSQL数据库管理和访问（域帐号）

2.5 举例：IBM DB2数据库管理和访问

2.6 举例：B/S资产管理和访问

2.7 举例：C/S资产管理和访问

2.8 举例：等价资产

2.9 举例：等价帐号

2.10 举例：H3C Comware资产管理和访问

3 权限

3.1 举例：动态权限

3.2 举例：变更单

3.3 举例：会话复核

3.4 举例：高危命令复核

3.5 举例：权限工单

4 帐号

H3C SecPath A2000-G[AK][V][G510][Cloud]系列运维审计系统典型配置(E6111 E6112 R6113)-6W114