最近更新时间:2021-08-18
通过变更单、动态权限配置基础权限,通过规则模板配置扩展权限。
管理员为某用户访问指定资产配置了权限后,该用户才能在访问资产界面看到这些资产,并对这些资产进行访问。当为某用户设置了访问指定资产组的权限时,如果该资产组中的资产同时属于别的资产组,则这些资产组也将会在访问资产界面显示。但是在这些资产组节点下将只会看到实际拥有访问权限的资产。
在堡垒机有两种配置权限的方法:
变更单:可以通过提交电子变更单的方式,将变更单上的权限应用于堡垒机系统上。此方式支持指定权限的到期时间。
动态权限:在堡垒机系统上直接选择用户、资产、访问账号,形成访问权限。此方法配置快速便捷。
动态权限可以让管理员快速、灵活地配置权限。管理员通过指定动态权限的基础四要素(用户、资产、协议、账号),可以快速地完成权限配置。如果存在多条动态权限,各条权限之间是并集关系。即满足任一条权限,用户即可访问。
选择“权限 > 权限配置 > 动态权限”。
单击“新增动态权限”,设置各参数,完成后单击“保存”。
参数 | 说明 |
名称 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | 动态权限引用的规则模板,缺省为Default。 |
部门 | 动态权限所属的部门,缺省为ROOT(区分大小写)。 |
用户 | 设置能够访问目标资产的用户。 • 全部用户 • 用户/用户组:单击 • 指定规则:单击 |
资产 | 设置待访问的目标资产。 • 全部资产 • 资产/资产组:单击 • 指定规则:单击 |
协议 | 访问目标资产使用的协议。 • 全部协议 • 指定协议:包括ssh、telnet、rdp、xdmcp、vnc、xfwd和sftp 说明: sftp仅控制SFTP会话的权限,不影响用户的文件传输(网盘)权限。配置了sftp权限时,规则模板中的文件传输权限也必须至少勾选“上传”或“下载”中的一个,才支持启动SFTP会话。 |
账号 | 访问目标资产使用的账号。 • 全部账号 • 指定账号:输入访问目标资产使用账号,多个账号之间用英文逗号","分隔。 说明: 指定账号时,必须保证权限规则涉及的资产上已创建了对应的系统账号,否则权限将无法生效,查看权限时也看不到对应的数据。 • 指定规则:单击 ○ 指定账号:配置匹配账号的筛选规则。 ○ 账号类型:配置匹配账号类型的筛选规则。账号类型包括特权账号和普通账号。 |
单击“保存”。
选择用户或者用户组。
添加用户筛选规则。支持匹配的用户属性包括:用户账号、用户 名、工作邮箱、备注、角色、认证方式、用户组和所有自定义用户属性。
选择资产或者资产组。
添加资产筛选规则。支持匹配的资产属性包括:资产名、IP、简 要说明、责任人、资产组、资产类型和所有自定义资产属性。
设置账号筛选规则。