登录凭证管理 - 行云管家帮助

跳转至

行云管家帮助

部署指引
部署指引
- 方案1：单机部署
  方案1：单机部署
  - 安装指引
  - 升级指引
- 方案2：HA高可用
  方案2：HA高可用
  - HA方案部署
    HA方案部署
    
    HA方案简介
    
    HA共享存储方案
    
    HA-DRBD方案
    
    阿里云EIP-DRBD方案
  - HA方案升级
  - HA使用指引
- 方案3：免AK管理公有云资源
- 部署资源配置建议
  部署资源配置建议
  - 部署模型与配置建议
  - 部署环境资源需求指引
- 门户服务维护指引
  门户服务维护指引
  - 运维指引
    运维指引
    
    门户服务运维指引
    
    日常巡检指引
    
    门户MySQL指引
    
    门户MongoDB指引
    
    门户Redis指引
    
    门户InfluxDB指引
    
    门户Nginx指引
  - 备份还原
  - 变更补丁包
  - 普通用户运行中转服务
管理控制台
管理控制台
- 初始化管理控制台
- 配置第三方应用或网关
  配置第三方应用或网关
  - 配置AD域/LDAP
  - 配置OTP手机动态令牌
  - 配置短信网关
    配置短信网关
    
    短信网关配置简介
    
    阿里云短信网关
    
    腾讯云短信网关
    
    sendcloud短信网关
    
    短信网关接口规范
  - 配置邮件
  - 配置微信
  - 配置企业微信
  - 配置钉钉
  - 配置RADIUS
  - 配置单点登录
    配置单点登录
    
    配置ACC单点登录
    
    配置CAS单点登录
- 配置审计日志存储路径
- 配置及部署中转
  配置及部署中转
  - 中转部署
  - 会话中转设置
- 管理控制台功能简介
创建用户
创建用户
- 行云管家团队简介
- 创建及管理成员
导入主机设备
导入主机设备
- 导入主机(堡垒机许可)
  导入主机(堡垒机许可)
- 导入主机(云管许可)
  导入主机(云管许可)
  - 资源池
    资源池
    
    vCenter资源池
    
    vCenter虚拟机管理
    
    OpenStack资源池
    
    OpenStack虚拟机管理
授权管理
主机会话访问
主机会话访问
- 访问主机会话
  访问主机会话
  - 访问主机
- 会话功能使用指引
  会话功能使用指引
  - 会话字符复制粘贴
    会话字符复制粘贴
    
    复制粘贴
  - 会话守护
  - 会话协同分享
  - 会话相关设置
    会话相关设置
    
    会话分辨率
    
    会话标题
    
    Windows并发及参数设置
    
    会话协议
主机文件传输
主机文件传输
- 会话文件传输
主机相关管理
主机相关管理
- 主机管理页面使用指引
- 主机监控
- 主机安全体检
  主机安全体检
  - 主机体检报告
  - 查看体检报告
- 主机标签
- Proxy&Agent
  Proxy&Agent
  - 网络查看
  - Proxy
  - Agent
审计日志
审计日志
运维策略
运维策略
- 主机运维策略
  主机运维策略
- 限制只能通过行云管家访问主机
  限制只能通过行云管家访问主机
  - 防火墙配置参考
  - 云安全组配置参考
- 登录凭证管理登录凭证管理
  目录
- SSH密钥对管理
工单中心
工单中心
- 创建工单流程
- 使用工单流程
自动化运维
自动化运维
应用中心
应用中心
- 应用宿主机安装指引
  应用宿主机安装指引
- 应用发布指引
数据库管理
数据库管理
云管功能
云管功能
- 主机模板
  主机模板
  - 主机模板
  - 创建主机
- 磁盘快照
  磁盘快照
- 对象存储
  对象存储
- CDN
  CDN
- 成本中心
  成本中心
公有云厂商
公有云厂商
- 阿里云
  阿里云
- 腾讯云
  腾讯云
- UCloud
  UCloud
- 百度云
  百度云
- 亚马逊AWS
  亚马逊AWS
  - AWS访问密钥
  - AWS主机监控
- 微软Azure
  微软Azure
  - Azure访问凭证
  - Azure主机监控
- 华为云
  华为云
  - 华为云访问密钥
  - 华为云主机监控
- 京东云
  京东云
  - 京东云Access Key
  - 京东云管理终端
- 谷歌云
  谷歌云
  - 谷歌云服务账号密钥
- 青云
  青云
- 金山云
  金山云
  - 金山云Access Key
其它
其它
FAQ
FAQ
- FAQ索引
- 主机使用
  主机使用
- 数据库
  数据库
  - 数据库问题
  - 数据库相关科普
- 应用中心
  应用中心
- 体检中心
  体检中心
  - 体检中心问题
- 自动化运维
  自动化运维
- 运维策略
  运维策略
  - 运维策略问题
  - 登录凭证问题
- Proxy&Agent
  Proxy&Agent
- 私有部署
  私有部署
  - 私有部署安装问题
  - 管理控制台使用问题
  - 门户服务器使用问题
    门户服务器使用问题
    
    门户服务器常见问题
    
    门户服务器时间修改建议
  - HA高可用方案
    HA高可用方案
    
    HA常见问题
    
    HA-DRBD同步数据
    
    VMware配置共享磁盘
    
    HA扩展磁盘分区方案
- 云管平台功能
  云管平台功能
  - 磁盘快照问题
- 最佳实践
  最佳实践
  - 实际使用实践
    实际使用实践
    
    主机分组授权
    
    多云纳管
  - 门户安全
    门户安全
    
    门户安全问题
    
    行云管家安全性阐述
    
    行云管家多租户概述
  - Windows相关
    Windows相关
    
    Windows使用指引
    
    Win2008防火墙禁止可疑IP
    
    Win2008防火墙配置入站规则
    
    WinRM服务应用及配置说明
  - Linux相关
    Linux相关
    
    Linux使用指引
    
    Linux系统服务升级
    
    Linux安装指引
    
    Linux临时目录安全优化
  - 其他专业技术指引
    其他专业技术指引
    
    VNC相关指引
    
    SNMP相关指引
    
    OGNL相关指引
    
    LibVirt相关指引
    
    Tomcat安装
    
    Tomcat禁用root用户运行
- 其他问题
  其他问题

登录凭证管理

一、登录凭证管理

在IT资源日常运维过程中，往往要将登录凭证交给运维人员，这种“交出凭证”的方式导致了登录凭证的广泛传播，随着登录凭证的广泛传播，IT资源的安全风险急剧增加；另外，在主机数量众多时，需要管理较多的登录凭证，这时对登录凭证的管理会变得复杂困难，并且导致运维效率低下。

通过对登录凭证进行统一管理，并且在行云管家系统内将登录凭证与纳管IT资源进行关联，避免登录凭证传播与泄露，保障安全；同时，在行云管家中实现登录凭证的定期、自动更新，无需人工干预，即使存在登录凭证泄露的情况，依然能够保障安全。

行云管家在“运维策略”中进行登录凭证管理：

二、密码凭证

在使用RDP、SSH和VNC协议登录远程主机时，往往可以使用密码作为登录凭证进行登录。

2.1、创建密码凭证

1、点击“创建新的主机登录凭证”，弹出创建凭证向导

2、输入凭证名称，选择访问协议（RDP、SSH及VNC协议均可以以密码凭证进行登录访问），输入登录账号，凭证类型选择为“密码”，并点击“下一步”

3、点击“添加主机”，选择要使用本凭证的主机，使之与凭证进行关联（也可以暂时不添加主机，后续对凭证进行管理时再行添加），并点击“下一步”

4、选择凭证的授权对象，确定允许哪些用户使用本凭证，并点击“下一步”

5、凭证创建完成，点击“关闭”结束向导

6、返回凭证列表页面，即可查看到新创建的凭证

2.2、添加关联主机并设置登录密码

1、点击要进行主机关联操作的凭证，进入凭证详情页面

2、点击“添加主机”，弹出主机选择对话框

3、勾选要与凭证关联的主机，点击“添加”，即可添加主机

4、点击关联主机列表中主机对应的“登录密码”列，弹出主机登录密码设置框

5、设置主机的远程连接端口号及登录密码，并点击“确定”，即可设置主机的登录密码，并保存于凭证中

2.3、设置密码修改策略

通过设置密码修改策略，可以实现定期批量改密等功能，通过定期改密，排除密码泄露带来的安全隐患。

对主机进行定期自动改密，要求主机安装并正常运行了行云管家Agent。（参见：Agent）

注意：批量改密功能不支持对Windows的域用户进行改密；

1、点击“密码修改策略”框中的“立即设置”，将弹出密码修改策略对话框

2、在“编辑策略”中，指定主机密码策略，开启“自动执行”，并设置自动执行周期

3、在“邮件推送”中，可以把改密记录excel文件通过邮件方式推送给用户，可以开启excel加密后发送给用户，并且密码内容除了可以完整发送给某团队成员，还能以“分段方式”发送，将改密记录中每台主机的密码拆分成两份，并将拆分后的文件发送给不同的团队成员，确保密码的安全。点击“确定”，即可完成设置；

三、密钥凭证

访问Linux主机通常使用SSH协议，而SSH协议支持密码和密钥两种身份认证机制，基于安全性考虑，通常建议使用密钥进行登录认证。

3.1、创建密钥凭证

1、点击“创建新的主机登录凭证”，弹出创建凭证向导

2、输入凭证名称，选择访问协议为“SSH访问协议”，输入登录账号，凭证类型选择为“密钥”，并点击“下一步”

3、点击“添加主机”，选择要使用本凭证的主机，使之与凭证进行关联（也可以暂时不添加主机，后续对凭证进行管理时再行添加），并点击“下一步”

4、选择凭证的授权对象，确定允许哪些用户使用本凭证，并点击“下一步”

5、凭证创建完成，点击“关闭”结束向导

6、返回凭证列表页面，即可查看到新创建的凭证

3.2、添加关联主机并设置登录密钥

1、点击要进行主机关联操作的凭证，进入凭证详情页面

2、点击“添加主机”，弹出主机选择对话框

3、勾选要与凭证关联的主机，点击“添加”，即可添加主机

4、点击关联主机列表中主机对应的“登录密钥”列，弹出主机登录密钥设置框

5、设置主机的远程连接端口号，指定登录密钥（可以上传使用您本地的密钥对私钥或使用行云管家中管理的密钥对）及密钥字符集，并点击“确定”，即可设置主机的登录密钥，并保存于凭证中（SSH密钥对管理）

3.3、设置密钥下发策略

通过设置密钥下发策略，进行密钥下发，实现SSH密钥的批量管理及下发。

1、点击“密钥下发策略”框中的“立即设置”，将弹出密钥下发策略对话框

2、在“编辑策略”中，开启“密钥下发”

3、在“邮件推送”中，指定密钥下发后发送邮件通知用户，点击“确定”，即可设置密钥下发策略

3.4、下发密钥

通过向主机下发密钥，可以实现批量修改主机密钥操作。

向主机下发密钥，要求主机安装并正常运行了行云管家Agent。（Agent请用root来安装，否则可能导致无法下发密钥）

1、点击“密钥下发策略”框中的“下发密钥”，将弹出密钥下发向导

2、指定密钥类型为“上传本地密钥”或“使用行云管家密钥对”，并指定密钥对，设置修改方式为“追加方式”或“覆盖方式”，设置是否禁用密码登录方式，点击“下一步” （SSH密钥对管理）

3、勾选要下发密钥的主机，点击“下一步”，开始向主机下发密钥

4、密钥下发完成，点击“关闭”，完成密钥下发操作

5、在“改密记录”中可以查看到密钥下发记录，同时，密钥下发策略中指定的通知邮箱将会收的密钥下发通知

设置登录凭证后，即可使用登录凭证来访问与登录凭证关联的主机。使用登录凭证访问主机