最近更新时间:2021-08-19
用户可以通过工单来申请资产的访问权限。
资产权限工单处理流程如下。
选择“工单 > 工单管理 > 新建工单”。
单击申请资产对应的,设置各参数。
参数 | 说明 |
工单标题 | 工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。 |
操作类型 | 用户要申请的操作类型,取值包括日常维护和定期巡检 |
申请理由 | 工单的申请理由。字符串格式,长度范围是0~512个字符。 |
开始时间/结束时间 | 权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为: 1. 开始时间:当前时间点。 2. 结束时间:当前时间点+1天。 开始时间和结束时间使用的是堡垒机系统的系统时间,而非本地PC的时间。 |
单击资产对应的,选中要添加权限的资产,然后在系统账号中选择账号,单击“添加”。
一次最多能够选择100个资产,如果要添加权限的资产数大于100,请分批添加。
一个资产一次只能选择一个账号,如果要申请一个资产的多个账号的权限,请重复执行本步骤。
配置访问协议。
缺省情况下,堡垒机系统选中的是全部协议。如果需要更精细化的管理,请选中指定协议,并配置允许的访问协议,协议包括SSH、Telnet、RDP、XDMCP、VNC和XFWD。
(可选)如果需要在高危命令的配置中,允许工单申请资产的使用人执行某些命令,请填写放行命令,多条命令之间用回车分隔。
放行命令可以直接填写完整的命令,例如crontab -l,也可以填写命令的正则表达式,例如rm -rf.*。此处放行的命令相当于在命令模板中配置对应的命令为允许,并将有着比高危命令配置更高的优先级。
单击使用人对应的,选中要添加权限的用户,单击“添加”。
单击“提交”。
说明:
如果暂时不提交,请单击“保存为草稿”,下次在草稿箱中打开工单继续填写、提交。
用户还可以单击“保存为模板”,将当前工单作为模板,后续直接使用模板创建工单,减少相同内容的填写工作量。
(可选)超级管理员如手动指定了审批人,申请人提交后需要在弹出窗口中手动勾选一个或多个审批人。这些审批人将会收到提醒,并由其中任意一个完成审批。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击“批准”后,堡垒机系统将用户和所选资产、账号关联。
执行结束后,堡垒机系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的账号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。
完成审批后,最后一层审批人可以对该工单执行撤销操作。撤销后,工单状态显示为已完成,使用人将无法访问该资产。