背景:堡垒机说明文档常以功能点为线索介绍,部份用户在实际配置中并不清楚各功能点间的关系,本文将介绍如何实现堡垒机的基本业务功能。
一、名词介绍
1、堡垒机:是集用户(Account)管理、授权(Authorization)管理、认证(Authentication)管理和综合审计(Audit)于一体的集中运维管理系统。俗称运维跳板机,主要用于对服务器运维人员进行操作审计和控制,达到降低运维风险的目的。
2、资源机:指需要纳入堡垒机管理范围的服务器,如:CVM、数据库、网络设备等。
3、资源账号:指登录资源机使用的账号,如:root、adminstrator等
4、用户:指堡垒机内建立给的运维人员账号,服务器运维人员使用该账号登录堡垒机,访问授权的资源机。
5、角色:用于堡垒机管理功能的授权,如:配置一个角色同时具有审计和运维权限
6、工作组:是堡垒机的最小授权单位,可以将资源机、用户和策略关联在一起。
二、堡垒机配置
我们使用admin账号登录堡垒机后,首先需要在左侧(下图红框区域)新建组织结构,如下图所示:,若您需要综合的汇总用户管理、资源管理、计划管理及角色管理,或业务及组织结构需要多层级的创建子集时,可以新增综合组。综合组操作指引:https://cloud.tencent.com/document/product/1025/32049
堡垒机主界面1、新建工作组
我们可以在组织结构根目录或者在综合组下新建工作组,这边在综合组下新建一个名为工作组-开发 的工作组,您可以使用项目名称或职能来命名,如:XX项目、运维部等。
新建工作组-图1操作方法:鼠标点击图1左侧菜单综合组,使综合组字体为蓝色选中状态,然后点击上方的【 】号,名称写“工作组-开发”,类型选择工作组,点击【确定】,如下图所示:。即可看到左侧菜单中出现了刚新建的工作组
新建工作组-图2工作组操作文档:https://cloud.tencent.com/document/product/1025/43729
2、新建资源
选中综合组,点击上方【资源管理】,点击【新建】,如下图所示:,(这里您也可以用数据同步的功能来添加同账号下的 CVM 资源,数据同步操作文档:https://cloud.tencent.com/document/product/1025/44529)
新建资源-图1选择资源类型,资源版本,资源名称,管理IP(这里视堡垒机与您资源的网络情况可以输入资源机的内网或外网IP),点击【保存】,如下图所示:
新建Linux资源
新建资源-Linux-图1点击【管理配置】,输入连接的账号和密码,选择连接协议,点击【保存并获取账号】,如下图所示。系统将使用配置的账号到资源机上拉取资源机上的账号列表。(注:如果您的资源机使用的端口非默认端口,请在访问协议中进行相应修改)
新建资源-Linux-图2新建windows资源
新建windows资源时,要特别注意NLA选项,该选项的勾选状态需要与资源机上的状态保持一致,否则会导致web工具登录失败的情况。
新建资源-windows-图1windows资源机上的网络级别身份验证也需要开启
新建资源-windows-图2点击【管理配置】,输入连接的账号和密码,选择连接协议,点击【保存并获取账号】,如下图所示。系统将使用配置的账号到资源机上拉取资源机上的账号列表。
新建资源-windows-图33、新建用户
接下来我们在综合组下,新建一个运维用户,选中缩合组,点击导航栏上【用户管理】,点击【新建】,如下图所示:
新建用户-图1输入用户ID、用户名称、口令,勾选运维用户,输入移动电话和邮箱地址,点击【保存】,即可,如下图所示:
新建用户-图2用户编辑功能请参看:https://cloud.tencent.com/document/product/1025/32076
4、新建资源账号策略
点击组织架构最上层目录 “测试公司”,在上方导航栏中点击【策略管理】,点击下方的【资源账号策略】,如下图所示:
新建资源账号策略-图1点击【新建】,如下图所示:
新建资源账号策略-图2输入策略名称,关联账号中输入需要代填密码的账号名称(如:root、administrator),点击【点击添加关联信息】,点击【存存】,如下图所示:,这边输入的账号
新建资源账号策略-图3若Linux系统使用密钥登录,在输入关联账号后,关联秘密处选择需要关联的密钥,然后点击【点击添加关联信息】,点击【保存】,如下图所示:
新建资源账号策略-图4注:关联密钥默认是空的,您可以在右上角的【系统管理】-》【安全配置】-》【全局秘钥配置】中进行配置,如下图所示:
新建资源账号策略-图55、工作组绑定资源、用户和策略
经过以上4步的基本配置,接下来我们可以给运维用户进行相应的授权了。
5.1绑定用户
点击左侧组织架构中的工作组-开发,点击【绑定用户】,点击【绑定】,如下图所示:
工作组-绑定用户-图1勾先需要绑定的用户,点击【确定&关闭】,如下图所示:(注意:已绑定的账号不能重复绑定,否则会报错)
工作组-绑定用户-图25.2 绑定资源
点击【绑定资源】,点击【绑定】,如下图所示:
工作组-绑定资源-图1勾选需要绑定到工作组中的资源,点击【确定&关闭】,如下图所示:(这里要注意已经绑定该工作组的资源,系统不会自动过滤,同一个资源在绑定同一个工作组时只可以添加一次,重复绑定会报错)
工作组-绑定资源-图25.3 绑定资源账号策略
点击【绑定策略】,在资源账号策略中选择我们刚刚建好的免密码登录策略,点击【保存】,如下图所示:,其他审计策略为空时默认审计所有行为。
工作组-绑定资源账号策略-图1至此我们的运维用户授权配置完成了,可以使用运维账号登录堡垒机测试看下。
三、测试验证
打开堡垒机登录页面,使用刚刚建的运维用户登录堡垒机,如下图所示:
测试-登录-图1点击左上角的电脑图标,下载并安装单点登录工具(标准版),如下图所示:
测试-下载单点登录工具-图2关闭浏览器,安装单点登录工具后,重新打开浏览器,登录运维账号,点击【导航栏运维】,【授权列表】,【登录】,如下图所示:
测试-登录资源-图3在配置登录页面,选择相应的协议,windows系统选择RDP,账号这边因为我们前面绑定了资源账号策略,这边会显示我们绑定的资源账号和密码(密码显示为......),选择登录的工具,这边使用web,点击【登录】即可,如下图所示:
测试-登录配置-图4四、堡垒机其他配置参考链接
密钥登录配置
https://cloud.tencent.com/developer/article/1749716
https://cloud.tencent.com/developer/article/1749723
短信验证登录配置
https://cloud.tencent.com/developer/article/1764555
