一.阿裡雲或其它系統Centos系統安裝
在阿裡雲上建立CentOS 7.1版本的虛機。
如果是在自己服務器上裝的centos 7.1版本,只需要用最小安裝即可(不要選擇其它安裝包)
二.堡壘機安裝包使用:
堡壘機安裝包要安裝很多堡壘機需要的rpm包,因此,在安裝堡壘機軟件前,需要保證與公網連接,並且設置好DNS。
登錄到堡壘機後台,運行命令:
mkdir -p /tmp/test/soft
將centos7.tar.gz 上傳到系統/tmp/test/soft目錄
cd /tmp/test/soft
tar xpvf centos7.tar.gz
運行以下命令進行rpm包下載
bash yum.sh
安裝完畢以後:
如果虛機內存>=4G運行以下命令進行堡壘機軟件安裝
bash install.sh
如果虛機內存<4G運行如下命令進行堡壘機軟件安裝
bash mem2g.sh
三.堡壘機設置過程
1.1 生成許可:
1.安裝過後,登錄方式為https://ip 前台口令為admin/12345678
登錄後到菜單的其它裡licenses項點擊生成,將生成串發給廠商生成licenses
2. 收到廠商發回的許可後,在其它-licenses菜單裡點擊上傳,將licenses.key上傳(注意,文件名不能修改,否則無法導入)
1.2 目錄創建:
堡壘機的目錄樹,可以理解為設備組或用戶組,麒麟堡壘機是標准的LDAP結構,因此目錄樹的任何一個節點,即可以放置用戶,也可以放置設備,如果用戶希望設備和用戶放在不同的組中,可以創建二個不同的目錄節點進行管理。
堡壘機的目錄樹為LDAP結構,不限層次,在任何一個節點都可以放置設備和用戶。
注:在創建目錄樹一般按公司的部分組織機構進行創建
單擊導航樹中【資源管理】中的【資產管理】,選擇“目錄管理”頁簽,單擊“增加新節點”;根據所要創建的組類型選擇“所屬目錄”與“屬性”,所屬目錄為新建的節點掛在哪個節點下面。
圖 1
1.3 堡壘機用戶導入及用戶配置
堡壘機帳號一般如果帳號少,可以直接在界面上創建,如果帳號多於10個,可以使用EXCEL導入功能進行批量導入。
帳號導出模版可以登錄到堡壘機在 資源管理-資產管理-用戶管理的導出中導出,導出後,按最上面一行進行添加。
導入表格填寫,將附件一.運維人員導入表格按如下要求進行填寫
用戶名:運維人員登錄堡壘機時的名稱,要求唯一(必須填寫)
密碼: 運維人員登錄堡壘機時的密碼 (必須填寫)
真實姓名:運維人員的真實姓名 (必須填寫)
電子郵箱:運維人員的電子郵箱地址(選擇填寫)
用戶權限:統一配置為 普通用戶 (必須填寫)
組名:目錄結構中的資源組名稱,如果出現同樣名稱的資源組,則導入時需要用組名(id)方式,比如出現重名的first組,如果你想在界面中這個組加入,則組名為first(221)
手機號碼:運維人員的手機號碼(選擇填寫)
工作單位:運維人員的工作單位(選擇填寫)
工作部門:運維人員的工作部門(選擇填寫)
USBKEY:為動態口令的令牌ID,如果用戶需要動態令牌,則在動態令牌列表文件中選擇一個未使用的動態令牌給用戶
後面的其它選項:一般不需要填寫,所有的用戶按模版復制即可
用戶導入表確認無誤後,使用admin用戶登錄前台,在 資源管理-資產管理-用戶管理菜單,點擊右下方的導入按鈕
在導入界面中,將加密的勾勾上,點擊浏覽按鈕,選擇找到需要導入的用戶表後,點擊提交按鈕,即可以將所有的用戶導入到堡壘機中
點入確定後,會給用戶提示,表中哪些用戶沒有導入成功及未成功的理由
用戶導入後,如果有個另的用戶需要修改或添加,可以在用戶管理菜單進行操作
單擊導航樹中【資源管理】中的【資產管理】,選擇“用戶管理”頁簽,單擊“添加用戶”,填寫用戶的基本信息、權限信息及其他信息;
圖 3
圖 4
1.4 設備帳號導入
主機設備帳號導入前提與堡壘機帳號導入前提一致,必須先做好目錄樹。
設備帳號如果多於5台,建議用EXCEL導入的方式來進行導入添加,模版可以在資源管理-資產管理-設備管理的導出菜單中導出
按模版中頭一行創建所有的導入設備帳號,設備帳號導入時,會自動創建主機
主機名:主機的名稱
IP主機的IP地址
服務器組:服務器所屬組的ID號,因為目錄中允許同名稱的組,因此,服務器組用ID號替代,可以在資產管理-資源管理-目錄節點中查看ID號,如下圖:
系統類型:主機的操作系統類型,必須在第一章中添加的或系統自帶的中選擇添加
系統用戶:系統用戶名,如果不想托管,則這項不填
當前密碼:系統播放的密碼,如果不想托管,則這項可以不填
登錄協議:目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在這些登錄方式中選擇相應的
端口: 登錄協議連接的目標端口
過期時間:這個系統帳號的過期時間,如果超過過期時間,則不在允許登錄
自動修改密碼:是否對這個帳號進行自動修改密碼(默認為否)
主帳號:自動修改密碼時只使用一個帳號登錄修改主機上所有的用戶密碼,如果是主帳號,則填是,主帳號一般為root權限或可以sudo 為root
自動登錄:默認填是
堡壘機用戶:民生項目中均填否
Sftp用戶 :如果是SSH服務,則設置這個SSH用戶是否可以使用SFTP服務,是為允許,否為不允許
公私鑰用戶:如果是SSH服務,設置這個SSH用戶認證是不是使用公私鑰方式,是或否
在資源管理-資產管理-設備管理中,點擊導入按鈕
勾上加密按鈕,並點擊浏覽按鈕找到主機設備列表的表格後,點擊提交按鈕,會將所有的設備帳號導入
單台設備的添加、修改可以在設備管理菜單完成
單擊導航樹中【資源管理】中的【資產管理】,選擇“設備管理”頁簽,單擊“添加”,填寫基本信息;
圖 5
單擊導航樹中【資源管理】中的【資產管理】,選擇“設備管理”頁簽,指定設備的操作欄中單擊“用戶”,
圖 6
單擊“添加新用戶”;
圖 7
根據實際情況填寫下圖信息;
1.5 系統帳號賦權
堡壘機帳號(主帳號)、主機系統帳號(從帳號)導入完成後,需要進行賦權操作,賦權後堡壘機帳號(主帳號)登錄到堡壘機才能跳轉到相應的設備。
前期設備授權關系調研表中包含所有的權限關系,按表進行設置。
賦權操作如果一個堡壘機帳號(主帳號)有大量從帳號的權限,則賦權是在系統用戶組菜單完成的,如果為堡壘機帳號(主帳號)臨時添加一個從帳號的賦權,則也可以在主機設備帳號菜單中完成。
賦權操作最好按用戶組的方式進行賦,即將權限相同的用戶放在同一個用戶組中,然後為這個用戶組創建一個系統用戶組,將這些用戶擁有權限的主機設備帳號都加到這個組中,然後將這個系統用戶組綁定給這個用戶組,如果每個用戶的權限都不一樣,也可以為單獨的用戶劃分系統用戶組後進行授權。
單擊導航樹中【資源管理】中的【授權權限】,選擇“系統用戶組”頁簽,單擊“添加新組”;填寫“系統用戶組”名,選中“未選設備”中系統用戶添加到“已選設備”,確定已經選中想要賦權的堡壘機用戶組的所有系統帳號後,點擊保存;
單擊導航樹中【資源管理】中的【授權權限】,選擇“系統用戶組”頁簽,單擊“操作”欄中“授權”,勾選“授權組”或“授權用戶”,配置完成單擊“保存修改”;
授權後,組中的用戶或被授權的用戶,就擁有了這個系統用戶組中所有的主機系統帳號權限,部分如下:
http://d89t2i.zizhuai.xyz/
http://iq1cze.zuban.xyz/
http://a3duxp.zuben.xyz/
http://s0s9x6.zucan.xyz/
http://i56x18.zucao.xyz/
http://s9x5v0.zucen.xyz/
http://usyhv8.zuchi.xyz/
http://e77051.zudan.xyz/
http://mnbhi5.zudei.xyz/
http://ih60bg.zuden.xyz/
http://th2n24.zudia.xyz/
http://sgfpz7.zufan.xyz/
http://np227j.zugai.xyz/
http://rnmyxq.zugan.xyz/
http://t9wkn2.zugao.xyz/
http://bn420j.zugei.xyz/
http://sx4f3s.zugen.xyz/
http://j33yt8.zuhei.xyz/
http://cif327.zuhen.xyz/
http://a549r1.zukai.xyz/
http://g8279n.zukao.xyz/
http://o5l6co.zukei.xyz/
http://fd9udc.zulai.xyz/
http://mk6x20.zulao.xyz/
http://w82791.zulei.xyz/
http://inbz5w.zulia.xyz/
http://rygs30.zumen.xyz/
http://uc727x.zunei.xyz/