步骤一:登录云堡垒机系统-凯发k8国际娱乐官网入口
背景介绍
云堡垒机支持web浏览器、ssh客户端和mstsc客户端三种登录方式。
- web浏览器登录:支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用web浏览器登录进行系统管理和授权审计。
- ssh客户端登录:在不改变用户原来使用ssh客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用ssh客户端直接登录运维资源。
- mstsc客户端登录:在不改变用户原来使用mstsc客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用mstsc客户端直接登录运维资源。
前提条件
- 已购买cbh实例,若从公网登录需要实例已绑定可用的eip,具体的操作方法请参见购买云堡垒机。
- 实例的运行状态为“运行”,cbh系统在使用授权期内。
- 已获取登录cbh系统的登录地址,以及登录验证信息。
通过web浏览器登录云堡垒机
- 启动浏览器,在web地址栏中输入cbh系统登录地址,进入系统登录页面。
登录地址:https://云堡垒机实例eip或私网ip。例如,https://10.10.10.10。
- 未绑定eip时,可通过私网ip登录,需确保用户本地网络与云堡垒机私网网络通畅。
- 登录方式可选用iam或本地登录,iam登录堡垒机详情请参见:。
- 受浏览器兼容性限制,当浏览器版本与云堡垒机系统不匹配时,可能导致登录时获取不到验证信息,或登录后页面显示异常,建议使用推荐的浏览器及版本。推荐浏览器,请参见。
- 选择登录认证方式。
图1 云堡垒机系统登录界面
- 系统所有用户可选择配置“手机短信”、“手机令牌”、“usbkey”和“动态令牌”多因子认证,详情请参考。
- 配置多因子认证后,“密码登录”方式认证失效。
表1 web浏览器登录验证说明 登录方式
登录说明
登录方式配置说明
密码登录
输入云堡垒机系统的用户登录名和密码。
默认登录方式。
“ad域认证”、“radius认证”、“ldap认证”或“azure ad认证”用户登录密码为远程服务器用户密码,详情请参见远程认证配置。
手机短信
输入云堡垒机系统的用户登录名和密码,单击“获取验证码”,并输入短信验证码。
需要已经为用户帐号配置可用手机号码。
手机令牌
输入云堡垒机系统的用户登录名和密码,并输入手机令牌的动态验证码(每隔一段时间就会变化)。
说明:需确保用户登录系统时间与手机时间一致,精确到秒,否则会提示验证码错误。
需用户先绑定手机令牌,再由管理员配置多因子认证,否则用户无法登录系统,详情请参考。
usbkey
插入并选择已签发过的usbkey,并输入对应的pin码。
需已为用户签发usbkey,详情请参考。
动态令牌
输入云堡垒机系统的用户登录名和密码,并输入动态令牌的动态口令(每隔一段时间就会变化)。
需已为用户签发动态令牌,详情请参考。
- 单击“登录”,成功登录云堡垒机系统进行管理和运维操作。
- 系统管理员admin为cbh系统第一个可登录用户,拥有系统最高操作权限,且无法更改权限配置,请妥善保管帐号信息。
- 在首次登录系统成功后,请所有用户按照系统提示修改密码和绑定手机号码,否则无法进入系统运行页面。登录系统后,可在个人中心修改用户基本信息。
通过ssh客户端登录云堡垒机
用户获取资源运维权限后,可通过ssh客户端直接登录进行运维操作。
- 支持使用ssh客户端运维的资源,包括ssh、telnet和rlogin协议类型主机资源。
- 推荐使用客户端securecrt 8.0及以上版本、xshell 5及以上版本。
- 打开本地ssh客户端工具,选择 ,新建用户会话。
- 配置会话用户连接。
- 方式一
在新建会话弹出框,选择协议类型,输入系统登录ip地址、端口号(2222),单击“确认”。再输入系统用户登录名,单击“连接”,连接会话。
- 方式二
在新的空白会话窗口,执行登录命令:协议类型 用户登录名@系统登录ip 端口,例如执行ssh admin@10.10.10.10 2222。
- 方式三
在正在运行的linux主机会话窗口,执行登录命令:协议类型 用户登录名@系统登录ip -p 端口,例如执行ssh admin@10.10.10.10 -p 2222。
- 方式一
- 用户身份验证。
根据命令提示,在新建会话窗口,输入用户身份验证信息。
ssh客户端登录认证支持“密码登录”、“公钥登录”、“手机短信”、“手机令牌”和“动态令牌”方式。其中“手机短信”、“手机令牌”和“动态令牌”方式,需配置用户多因子认证,详情请参考。表2 ssh客户端登录验证说明 登录方式
登录说明
登录方式配置说明
密码登录
输入云堡垒机系统的用户密码。
默认登录方式。
“ad域认证”、“radius认证”、“ldap认证”或“azure ad认证”用户登录密码为远程服务器用户密码,详情请参见。
公钥登录
输入用于验证登录的私钥和私钥密码,登录验证成功后,再次登录时,该用户在ssh客户端可以免密登录。
用户需要先生成用于验证登录的公私钥对,并在云堡垒机系统内的“个人中心”处将ssh公钥添加到云堡垒机系统中,具体的操作请参见。
手机短信
“密码登录”或“公钥登录”验证成功后,选择“短信验证码”方式,输入手机短信验证码。
需已为用户帐号配置可用手机号码。
手机令牌
“密码登录”或“公钥登录”验证成功后,选择“手机令牌otp”方式,输入手机令牌验证码。
说明:需确保用户登录系统时间与手机时间一致,精确到秒,否则会提示验证码错误。
需用户先绑定手机令牌,再由管理员配置多因子认证,否则用户无法登录系统,详情请参考。
动态令牌
“密码登录”或“公钥登录”验证成功后,选择“动态令牌otp”方式,输入动态令牌验证码。
需已为用户签发动态令牌,详情请参考。
- 登录到云堡垒机系统,可查看系统简要信息,并运维已授权的资源。
除了使用云堡垒机用户密码直接登录外,还支持使用api方式登录云堡垒机指定的资源账户。
在登录的用户窗口, 输入用户登录名@资源账户名@主机ip地址:主机端口,例如admin@root@192.0.0.0:22。
通过mstsc客户端登录云堡垒机
用户获取资源运维权限后,可通过mstsc客户端直接登录进行运维操作。
- 打开本地远程桌面连接(mstsc)工具。
图2 打开远程桌面连接
- 在弹出的对话框中,“计算机”列,输入“堡垒机ip:53389”。
图3 配置计算机
- 单击“连接”,在登录页面完成登录。
- username:堡垒机用户登录名@windows主机资源账户名@windows主机资源ip:windows远程端口(默认3389),例如admin@administrator@192.168.1.1:3389。
“windows主机资源账户名”必须是已添加到堡垒机中的资源账户,且登录方式是”自动登录“,否则无法识别windows主机资源账户,且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户,请参考章节。
- password:输入当前堡垒机的用户密码。
- username:堡垒机用户登录名@windows主机资源账户名@windows主机资源ip:windows远程端口(默认3389),例如admin@administrator@192.168.1.1:3389。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨