最近更新时间:2021-08-20
Web界面是堡垒机系统最主要的访问入口。用户可以通过Web界面完成操作员的所有日常操作。本文档主要介绍用户在Web界面上的操作,步骤如下:
请参考“表1 身份认证方式”准备登录所需的密码。
通过Web界面登录堡垒机系统的环境要求请参考下表。
项目 | 要求 |
操作系统 | Windows XP SP3及以上版本 |
浏览器 | Microsoft Internet Explorer 11.0及以上版本 Mozilla Firefox 50及以上版本 Google Chrome 49及以上版本 |
显示器分辨率 | 建议最小为1280*1080(系统的缩放设置为100%时)。 说明:如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。 |
说明:
如果需要在IE早期版本(6/7/8/9)中使用,请使用其他浏览器登录Web界面后在帮助 > 浏览器支持 > IE 6/7/8/9中下载IE浏览器插件,或直接向管理员获取该插件。
本节以IE11浏览器为例,指导完成登录到堡垒机系统的Web界面。
在浏览器中输入堡垒机系统的IP地址(https://堡垒机系统的IP地址),进入堡垒机系统的Web登录页面。
如果登录时出现以下提示,请选择继续前往(例如IE浏览器请单击“详细信息 > 转到此网页(不推荐)”)。管理员如为堡垒机系统配置了安全证书,用户也可以安装安全证书并刷新网页。
输入账号和密码,单击“登录”。
密码的输入方式请参考“表1 身份认证方式”。
登录成功后,进入堡垒机系统的Web界面主页面。
在任一界面单击左上角的紫光云图标,可以回到首页。
在任一界面单击上方的“工作台”,可以切换到不同的服务项。
单击右上角的用户账号名称(例如操作员),可以打开“账号设置”、“访问记录”和“帮助”菜单,或退出登录。
在使用堡垒机系统访问资产时,除了通过Web方式建立图形会话,其他场景下堡垒机系统都会通过AccessClient打开客户端并建立会话。
如本地PC未安装AccessClient,进入“访问资产”菜单后,浏览器上方也会提示安装AccessClient,也可根据该提示单击“下载”并安装AccessClient。如已安装了AccessClient,仍然收到提示,请单击“已安装”进行忽略。
如本地PC已安装旧版本的AccessClient,需要升级AccessClient,升级AccessClient前需要先删除已安装的包。
本节指导完成在“帮助”中下载并安装AccessClient。
通过Web界面登录堡垒机系统。
单击右上角的账号名称,在下拉菜单中选择“帮助”。
在“AccessClient > 下载”页面,单击“下载”,将AccessClient下载到本地。
双击运行AccessClient,并单击“Install”进行安装。
堡垒机系统支持访问的资产包含主机、网络设备、数据库和应用系统资产。
通过Web界面访问主机/网络设备时,如通过mstsc方式(在修改图形会话配置中设置)访问Windows主机,需要在本地PC上安装RDP客户端;如建立字符会话,需要在本地PC上安装字符客户端,使用的字符客户端类型在修改字符会话配置中设置。
Web界面对RDP客户端和字符客户端的要求如下:
访问资产类型 | 要求 |
Windows(mstsc方式) | mstsc客户端(Windows默认安装)5.1及以上 |
Linux、HP Unix、IBM AIX、网络设备 | Putty0.58及以上 Xshell4.0及以上 说明:AccessClient自带Putty。 |
AS/400 | pcomm5.0(CN)、pcomm5.8(CN) |
用户在Web界面的访问资产界面中查找资产,有以下几种方式:
直接查找:在左侧导航栏中,选择动态视图中的具体节点并查看节点下的资产。
快速搜索:在动态视图选择节点后,如资产仍较多,在搜索框中输入资产名称/IP/简要说明/系统账号的全部或一部分进行模糊查找。
说明:
快速搜索支持正则匹配,且可以通过多关键字进行搜索,多关键字之间通过空格分隔。
资产名称的条件关系是与,即资产名称输入10 web,则筛选出资产名称同时包含“10”和“web”的资产。
IP地址的条件关系是或:资产的IP地址输入10.10.16.21 10.10.16.22,则筛选出资产的IP地址包含“10.10.16.21”或者“10.10.16.22”的资产。
简要说明不支持多关键字搜索。
域名不支持多关键字检索。
高级筛选:在动态视图选择节点后,如资产仍较多,单击下拉框选择“高级筛选”,设置筛选条件后单击“筛选”。
说明:
高级筛选支持正则匹配,且可以通过多关键字进行搜索,多关键字之间通过空格分隔。
资产名称的条件关系是与。
IP地址不支持多关键字搜索。
简要说明的条件关系是与。
域名不支持多关键字检索。
在最近访问中查找:单击访问资产后,选择最近访问页签。
收藏并查找:对资产单击
收藏后,单击“访问资产”并选择“最近访问”页签,查看收藏。
查找到资产并启动访问后,堡垒机系统将启动对应的客户端并建立字符或图形会话。
本节以Windows主机为例,指导完成资产访问。但将对所有资产涉及的参数进行说明。
通过Web界面登录堡垒机系统。
单击“工作台 > 访问资产”,并找到待访问的资产。
单击“访问”并设置启动参数。
表1 配置会话参数
参数 | 说明 |
系统账号 | 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的账号。有以下几种类型: 1. self:同用户账号。使用和当前登录堡垒机系统的账号同名的账号登录资产,请操作员自行确保该账号在待访问资产上存在。 2. any:登录时提供。堡垒机系统仅连接到资产的登录界面,不自动输入账号名称和密码,由访问者手动填写。 3. 堡垒机系统上已添加的资产账号名称,例如root,堡垒机系统使用该账号登录到资产设备。 说明: 账号名称之前有*,表示该账号的密码已在堡垒机系统上托管,堡垒机系统连接该资产时将直接代填密码并登录。 当选择的账号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的账号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名账号。 |
客户端 | 仅当访问的资产是数据库、应用系统时需要配置。 用于选择使用哪种客户端打开对应的资产。 |
屏幕大小 | 仅当满足以下条件时显示该参数: 1. 账号设置中RDP会话使用mstsc方式启动。 2. 待访问的资产为Windows主机或应用系统。 3. 访问应用系统时,管理员设置了不使用RemoteAPP。 用于选择打开的远程会话的屏幕的分辨率。 |
磁盘映射 | 仅当满足以下条件时显示该参数: 1. 账号设置中RDP会话使用mstsc方式启动。 2. 待访问的资产为Windows主机或应用系统。 用于标识是否启用磁盘映射并选择磁盘映射的磁盘驱动器。 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。
|
启用Console连接 | 仅当管理员设置了显示该参数时才会显示。 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个session id为0的控制台会话,或使用/admin参数登录Windows Server 2008/2012/2016,打开一个session id为0的管理员模式的会话。 |
确认配置无误后,单击“启动”建立远程会话并打开。
当使用Telnet/SSH/SFTP访问资产时,堡垒机系统如找不到对应类型的客户端,将弹出窗口,请在该窗口中选择本地PC上安装的Telnet/SSH/SFTP客户端并启动会话。客户端类型请参考修改字符会话配置进行设置。
当使用VNC连接或使用其他Web方式的访问时,将会打开新的网页窗口。请允许该弹出窗口,以下为Chrome浏览器中的操作:
使用VNC连接,启动后需要继续输入在待访问资产的VNC server上设置的VNC远程连接的密码。如配置资产时已托管了VNC密码,直接勾选使用已设置密码,并单击“启动”。
使用XFWD连接,如初始登录到xterm字符终端,请输入待启动的图形/字符工具的路径,如/usr/bin/xfce4-session或/usr/bin/xfce4-terminal,打开图形或字符会话。
如管理员设置了启动会话时必填或可填备注,请输入备注后并单击“启动”。备注是一个1~100长度的字符串。
该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核。
建立会话后,可将会话共享给其他用户。
