配置安全策略

一、登录行云管家管理控制台

通过在谷歌或火狐浏览器地址栏输入“http://IP地址/console”即可登录行云管家管理控制台，管理控制台超级管理员账号是superadmin；

在行云管家管理控制台中，配置系统的各项安全策略，保障当前部署的行云管家私有部署安全运行；

注意，这里是登录门户网址的安全策略，不是登录管理控制台的安全策略；

（此设置对通过外部认证服务器（LDAP）导入的用户无效）：

用户在登录行云管家时，可以设置是否对用户进行二次身份验证，二次身份认证可以选择“短信认证”、“邮箱认证”、“OTP”、“第三方应用”、“RADIUS”等作为认证方式。且可以设置“是否允许通过第三方应用扫码登录门户”（前提是在管理控制台里配置了对应的第三方应用）以及设置“登录门户后的超时时长”；

设置门户安全策略白名单，将只允许白名单中的IP登录门户，此项设置适合在明确访问来源的情况下设置，同时避免互联网环境下的异地登录；

设置门户安全策略为黑名单，可以开启防暴力破解机制，连续尝试密码失败的IP将被加入IP黑名单，黑名单中的IP将不允许登录门户；

设置完后点击“确定”，在这里我们可以看到“门户IP黑名单”（在没有开启黑白名单时是看不到的），点击“设置”；

此时可以手动添加IP至黑名单，并设置“有效期”；

当用户登录门户的公网IP不属于TA经常登录的城市时，将通过成员已经配置好的微信、短信、邮件进行消息提醒；

（如果系统未配置有效的消息推送方式，异地登录提醒无法生效）

注意，这里是登录管理控制台网址的安全策略，不是登录门户网址的安全策略；

用户在登录管理控制台时，将对用户进行二次身份验证。另外还可以设置“登录管理控制台后的超时时长”；

扩展阅读：开启管理控制台二次认证后，因手机丢失等原因无法通过二次认证进入管理控制台，该如何关闭

在白名单策略下，将只允许白名单中的IP登录管理控制台，此项设置适合在明确访问来源的情况下设置，同时避免互联网环境下的异地登录；

设置管理控制台安全策略为黑名单，可以开启防暴力破解机制，连续尝试密码失败的IP将被加入IP黑名单，黑名单中的IP将不允许登录管理控制台；

设置完后点击“确定”，在这里我们可以看到“管理控制台IP黑名单”（在没有开启黑白名单时是看不到的），点击“设置”；

此时可以手动添加IP至黑名单，并设置“有效期”；