堡垒机-麒麟开源堡垒机系统安装

linziyuan

1.1 系统安装

1. 安装条件，系统有必要至少有两块网卡，系统硬件为：Intel 64位CPU、4G内存（虚机与实体机都可以）

2. 接入光驱进行启动，

到了开机界面直接在install blj处按回车即可以进行安装系统会自动完成安装。

假设运用笔记本进行虚机安装，先选择install Pcvm，办法使用500M SWAP, 默许安装方式使用32G SWAP,这几个安装办法首要即是SWAP大小不一样，假设运用虚机办法安装堡垒机，有可能出现SWAP不够用问题。

3. 安装往后，系统默许IP为:  Eth0  192.168.1.100/24

登录方式为https://192.168.100  前台口令为admin/12345678

登录后到菜单的其它里licenses项点击生成，将生成串发给厂商生成licenses。

4. 收到厂商发回的许可后，在其它-licenses菜单里点击上载，将licenses.key上载（注意，文件名不能改，不然无法导入）。

1.2 目录创建：

堡垒机的目录树，可以理解为设备组或用户组，麒麟堡垒机是标准的LDAP构造，因而目录树的任何一个节点，即可以放置用户，也可以放置设备，假设用户希望设备和用户放在不一样的组中，可以创建两个不一样的目录节点进行处理。

堡垒机的目录树为LDAP构造，不限层次，在任何一个节点都可以放置设备和用户。

注:在创建目录树通常按公司的有些组织机构进行创建

单击导航树中【资源管理】中的【资产管理】，选择“目录处理”页签，单击“添加新节点”；依据所要创建的组类型选择“所属目录”与“特点”，所属目录为新建的节点挂在哪个节点下面。

图 1

1.3 堡垒机用户导入及用户配置

堡垒机帐号通常假设帐号少，可以直接在界面上创建，假设帐号多于10个，可以运用EXCEL导入功能进行批量导入。

帐号导出模版可以登录到堡垒机在资源管理-资产管理-用户管理的导出中导出，导出后，按最上面一行进行添加。

导入表格填写，将附件一.运维人员导入表格按如下请求进行填写

密码:运维人员登录堡垒机时的密码 （有必要填写）

真实姓名：运维人员的真实姓名 （有必要填写）

电子邮箱：运维人员的电子邮箱地址（选择填写）

用户权限：统一配置为普通用户     （有必要填写）

组名：目录构造中的资源组称谓，假设出现同样称谓的资源组，则导入时需要用组名(id)办法，比如出现重名的first组，假设你想在界面中这个组参加，则组名为first(221)

手机号码：运维人员的手机号码（选择填写）

工作单位：运维人员的工作单位（选择填写）

工作部门：运维人员的工作部门（选择填写）

USBKEY:为动态口令的令牌ID，假设用户需要动态令牌，则在动态令牌列表文件中选择一个未运用的动态令牌给用户

后面的其它选项：通常不需要填写，所有的用户按模版复制即可

用户导入表供认无误后, 运用admin用户登录前台，在资源管理-资产管理-用户管理菜单，点击右下方的导入按钮

在导入界面中，将加密的勾勾上，点击阅读按钮，选择找到需要导入的用户表后，点击提交按钮，即可以将所有的用户导入到堡垒机中。

点入确定后，会给用户提示，表中哪些用户没有导入成功及未成功的理由

用户导入后，假设有个其他用户需要批改或添加，可以在用户处理菜单进行操作

单击导航树中【资源管理】中的【资产管理】，选择“用户处理”页签，单击“添加用户”，填写用户的基本信息、权限信息及其他信息；

图 3

图 4

1.4 设备帐号导入

主机安装帐号导入条件与堡垒机帐号导入条件一致，有必要先做好目录树。

安装帐号假设多于5台，建议用EXCEL导入的办法来进行导入添加，模版可以在资源管理-资产管理-设备管理的导出菜单中导出

按模版中头一行创建一切的导入安装帐号，安装帐号导入时，会自动创建主机

主机名：主机的名称

IP主机的IP地址

服务器组：服务器所属组的ID号，因为目录中允许同名称的组，因此，服务器组用ID号替代，可以在资产管理-资源管理-目录节点中查看ID号，如下图：

系统类型：主机的操作系统类型，必须在第一章中添加的或系统自带的中选择添加

系统用户：系统用户名，如果不想托管，则这项不填

当前密码：系统播放的密码，如果不想托管，则这项可以不填

登录协议：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在这些登录方式中选择相应的

端口：    登录协议连接的目标端口

过期时间：这个系统帐号的过期时间，如果超过过期时间，则不在允许登录

自动修改密码：是否对这个帐号进行自动修改密码（默认为否）

主帐号：自动修改密码时只使用一个帐号登录修改主机上所有的用户密码，如果是主帐号，则填是，主帐号一般为root权限或可以sudo 为root

自动登录：默认填是

堡垒机用户：民生项目中均填否

Sftp用户 ：如果是SSH服务，则设置这个SSH用户是否可以使用SFTP服务，是为允许，否为不允许

公私钥用户：如果是SSH服务，设置这个SSH用户认证是不是使用公私钥方式，是或否

在资源管理-资产管理-设备管理中，点击导入按钮

勾上加密按钮，并点击阅读按钮找到主机安装列表的表格后，点击提交按钮，会将一切的设备帐号导入

单台安装的添加、批改可以在设备管理菜单结束

单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，单击“添加”，填写基本信息；

图 5

单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，指定安装的操作栏中单击“用户”，

图 6

单击“添加新用户”；

图 7

依据实际情况填写下图信息；

1.5 系统帐号赋权

堡垒机帐号（主帐号）、主机系统帐号（从帐号）导入结束后，需要进行赋权操作，赋权后堡垒机帐号（主帐号）登录到堡垒机才干跳转到相应的设备。

前期设备授权关系调研表中包含所有的权限关系，按表进行设置。

赋权操作如果一个堡垒机帐号（主帐号）有大量从帐号的权限，则赋权是在系统用户组菜单完成的，如果为堡垒机帐号（主帐号）临时添加一个从帐号的赋权，则也可以在主机设备帐号菜单中完成。

赋权操作最好按用户组的方式进行赋，即将权限相同的用户放在同一个用户组中，然后为这个用户组创建一个系统用户组，将这些用户拥有权限的主机设备帐号都加到这个组中，然后将这个系统用户组绑定给这个用户组，如果每个用户的权限都不一样，也可以为单独的用户划分系统用户组后进行授权。

单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“添加新组”；填写“系统用户组”名，选中“未选设备”中系统用户添加到“已选设备”，确定已经选中想要赋权的堡垒机用户组的所有系统帐号后，点击保存；

单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“操作”栏中“授权”，勾选“授权组”或“授权用户”，配置完成单击“保存修改”；

授权后，组中的用户或被授权的用户，就拥有了这个系统用户组中所有的主机系统帐号的权限。