授权管理
主机凭证授权

一、主机登录凭证简介

在IT资源日常运维过程中,往往要将主机的登录凭证交给运维人员,这种“交出凭证”的方式导致了登录凭证的广泛传播,随着登录凭证的广泛传播,IT资源的安全风险急剧增加;另外,在主机数量众多时,需要管理较多的主机登录凭证,这时对主机登录凭证的管理会变得复杂困难,并且导致运维效率低下。

通过对主机登录凭证进行统一管理,并且在行云管家系统内将主机登录凭证与纳管IT资源进行关联,避免主机登录凭证传播与泄露,保障安全;同时,在行云管家中实现主机登录凭证的定期、自动更新,无需人工干预,即使存在主机登录凭证泄露的情况,依然能够保障安全。

行云管家在“资源运维/运维控制/主机凭证管理”中进行主机登录凭证管理:

1.1、添加单个主机凭证

(1)“主机凭证管理”页面添加主机凭证,如图

(2)“主机详情”页面添加主机凭证,如图

1.2、批量为主机添加同一凭证

在“主机凭证管理”页面,进入批量管理,勾选要添加主机凭证的主机,然后在“凭证管理”点击“新增主机凭证”。

如图样例,进入批量管理后,我这里勾选了“阿里云Linux”和“188.188.77.136”这两台主机,然后点击“凭证管理”里的“新增主机凭证”。此时在弹出的凭证信息里填写加bill用户和密码,再点击“授权对象”授权给对应的成员或角色。这样就完成多台主机同一凭证的添加了,如图两台主机里的bill凭证就是新添加的;

1.3、通过模板批量添加主机凭证

“主机凭证管理”页面通过“导入凭证”里的模板方式导入,如图

二、主机凭证授权

添加完主机凭证后,我们可以把单台主机的主机凭证授权给用户,也可以把已录入好的主机凭证通过主机凭证方案功能批量授权给用户;

2.1、授权单台主机凭证给用户

在添加好的主机凭证中,我们可以如图点击“编辑”,并在“授权对象”里的“凭证授权对象”中把该凭证授权给要授权的对象;

注意:图中的“方案授权对象”在没有进行方案授权前是看不到的;

2.2、授权多台主机凭证给用户

批量为多台主机在添加同一凭证时同时把凭证授权给同一授权对象;

如图样例,在“主机凭证管理”页面,进入批量管理后,我这里勾选了“阿里云Linux”和“188.188.77.136”这两台主机,然后点击“凭证管理”里的“新增主机凭证”。此时在弹出的凭证信息里填写加bill用户和密码,再点击“授权对象”授权给对应的成员或角色。这样就完成多台主机同一凭证的添加了,如图两台主机里的bill凭证就是新添加的;

2.3、授权主机凭证方案给授权对象

在行云管家中,可以把主机凭证批量放到同一个“主机凭证授权方案”里然后授权给授权对象;

如图,在“凭证授权方案”中创建方案,然后在“关联凭证”里关联已创建好的要批量授权的主机凭证,并在图里的“授权对象”中添加要授权的用户或角色、部门;

三、主机凭证管理

3.1、拨测凭证

可以通过定期拨测功能来检测已有密码的主机凭证是否有效,或手动点击如图最下方对的拨测凭证。

3.2、导出凭证

如图在批量管理里,点击“凭证管理”,可以导出所选/全部凭证,系统将把所勾选的主机凭证密码信息导出为.xls文件,同时您也可以对该.xls文件设置密码;

  • 注意:6.4版本中为主机凭证导出加入了双因子认证功能,确保导出过程和导出数据的安全性。用户必须在个人资料里绑定有OTP、手机号码、邮箱、第三方应用等其中一种认证方式;

3.3、批量修改密码/密钥

如图在批量管理里可以对已有的主机凭证进行密码/密钥修改,点击录入密码/密钥即可。批量录入密码时,若已有密码会直接覆盖;

  • 注意:批量修改密码时,请不要勾选密钥类型的主机凭证,反之,批量修改密钥时,请不要勾选密码类型的主机凭证;

3.4、批量指定/取消特权账号

如图在批量管理里可以批量指定/取消特权账号。特权账号用于执行修改主机密码等需要管理员权限的操作,若已是特权账号,再次指定时不会改变凭证状态;

四、主机凭证协议

4.1、RDP协议主机凭证

  • (a)端口:请填写目标主机RDP协议对应端口,一般默认端口为3389;

  • (b)用户名:请填写主机凭证对应的用户名;

  • (c)密码:请填写主机凭证用户名对应的密码;

  • (d)特权账号:如果勾选了特权账号,该账号将用于执行修改主机密码等需要管理员权限的操作;

4.2、SSH协议主机凭证

  • (a)端口:请填写目标主机SSH协议对应端口,一般默认端口为22;

  • (b)用户名:请填写主机凭证对应的用户名;

  • (c)密码/密钥:请填写主机凭证用户名对应的密码,或上传您为该主机生成的密钥或密钥对;

  • (d)切换用户:设置后,用户登录主机后,可以自动切换至设置的用户;

  • (e)字符集:可选择UTF-8、GBK以及ISO8859-1,一般默认为UTF-8,请选择和该主机对应的字符集;

  • (f)TCP保活:使用SSH协议访问会话时,为了避免路由器,防火墙对空闲会话进行超时处理,我们可以设置参数保持会话连接状态;

可以设置网络空闲时不发送任何指令、网络空闲时发送字符串、网络空闲时发送noop指令、网络空闲时发送keepalive指令;

  • (g)特权账号:如果勾选了特权账号,该账号将用于执行修改主机密码等需要管理员权限的操作;

4.3、VNC协议主机凭证

  • (a)端口:请填写目标主机VNC服务端对应端口,一般默认端口是从5900开始;

  • (b)名称:一般VNC服务端默认是System,如没有设置过请不要修改;

  • (c)密码:请输入目标VNC的密码(注意不是目标主机的登录密码);

  • (d)字符集:可选择UTF-8、GBK以及ISO8859-1,一般默认为UTF-8,请选择和该主机对应的字符集;

注意:请确认VNC服务端支持UTF-8、GBK编码,否则粘贴本地剪贴板内的中文内容时将出现乱码。另外ISO-8859-1编码不支持中文,向主机内粘贴本地剪贴板内的中文内容时将出现乱码。

4.4、TELNET协议主机凭证

  • (a)端口:请填写目标主机TELNET协议对应端口,一般默认端口为23;

  • (b)用户名:请填写主机凭证对应的用户名,一般默认是admin

  • (c)密码:请填写主机凭证用户名对应的密码;

自定义登录参数设置请参考TELNET自定义登录参数设置

  • (d)字符集:可选择UTF-8、GBK以及ISO8859-1,一般默认为UTF-8,请选择和该主机对应的字符集;

  • (e)特权账号:如果勾选了特权账号,该账号将用于执行修改主机密码等需要管理员权限的操作;

4.5、FTP协议主机凭证

  • (a)端口:请填写目标主机FTP协议对应端口,一般默认端口为21;

  • (b)用户名:请填写主机凭证对应的用户名,一般默认是admin

  • (c)密码:请填写主机凭证用户名对应的密码,如果是SSL加密请勾选;

  • (d)字符集:可选择UTF-8、GBK以及ISO8859-1,一般默认为UTF-8,请选择和该主机对应的字符集;

五、主机凭证预设命令

主机凭证预设命令支持SSH协议和Telnet协议,用户可以在这里通过编辑预设命令来达到打开会话时自动执行用户预设的命令;

  • 输入(Send):用于向进程发送字符串,当填写内容为\n时表示确认

  • 期待(Expect):从进程接收字符串

  • 等待(Sleep):延迟

  • 退出(exit):Exit

5.1、如何使用预设命令自动登录数据库?

可以通过如图编辑预设命令来达到打开会话时自动登录数据库;