堡垒机-麒麟堡垒机安装过程.docxVIP

堡垒机-麒麟堡垒机安装过程1.1 系统安装安装条件，系统必须至少有二块网卡，系统硬件为：Intel 64位CPU、4G内存（虚机与实体机都可以）插入光驱进行启动，到了开机界面直接在install blj处按回车即可以进行安装系统会自动完成安装。如果使用笔记本进行虚机安装，先选择install Pcvm，方式使用500M SWAP, 默认安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同，如果使用虚机方式安装堡垒机，有可能出现SWAP不够用问题。安装过后，系统默认IP为:Eth0 00/24登录方式为https://192.168.100 前台口令为admin录后到菜单的其它里licenses项点击生成，将生成串发给厂商生成licenses。收到厂商发回的许可后，在其它-licenses菜单里点击上传，将licenses.key上传（注意，文件名不能修改，否则无法导入）。1.2 目录创建：堡垒机的目录树，可以理解为设备组或用户组，麒麟堡垒机是标准的LDAP结构，因此目录树的任何一个节点，即可以放置用户，也可以放置设备，如果用户希望设备和用户放在不同的组中，可以创建二个不同的目录节点进行管理。堡垒机的目录树为LDAP结构，不限层次，在任何一个节点都可以放置设备和用户。注:在创建目录树一般按公司的部分组织机构进行创建单击导航树中【资源管理】中的【资产管理】，选择“目录管理”页签，单击“增加新节点”；根据所要创建的组类型选择“所属目录”与“属性”，所属目录为新建的节点挂在哪个节点下面。图 11.3 堡垒机用户导入及用户配置堡垒机帐号一般如果帐号少，可以直接在界面上创建，如果帐号多于10个，可以使用EXCEL导入功能进行批量导入。帐号导出模版可以登录到堡垒机在资源管理-资产管理-用户管理的导出中导出，导出后，按最上面一行进行添加。导入表格填写，将附件一.运维人员导入表格按如下要求进行填写密码: 运维人员登录堡垒机时的密码 （必须填写）真实姓名：运维人员的真实姓名 （必须填写）电子邮箱：运维人员的电子邮箱地址（选择填写）用户权限：统一配置为 普通用户 （必须填写）组名：目录结构中的资源组名称，如果出现同样名称的资源组，则导入时需要用组名(id)方式，比如出现重名的first组，如果你想在界面中这个组加入，则组名为first(221)手机号码：运维人员的手机号码（选择填写）工作单位：运维人员的工作单位（选择填写）工作部门：运维人员的工作部门（选择填写）USBKEY:为动态口令的令牌ID，如果用户需要动态令牌，则在动态令牌列表文件中选择一个未使用的动态令牌给用户后面的其它选项：一般不需要填写，所有的用户按模版复制即可用户导入表确认无误后,使用admin用户登录前台，在 资源管理-资产管理-用户管理菜单，点击右下方的导入按钮在导入界面中，将加密的勾勾上，点击浏览按钮，选择找到需要导入的用户表后，点击提交按钮，即可以将所有的用户导入到堡垒机中点入确定后，会给用户提示，表中哪些用户没有导入成功及未成功的理由用户导入后，如果有个另的用户需要修改或添加，可以在用户管理菜单进行操作单击导航树中【资源管理】中的【资产管理】，选择“用户管理”页签，单击“添加用户”，填写用户的基本信息、权限信息及其他信息；图 3图 41.4 设备帐号导入主机设备帐号导入前提与堡垒机帐号导入前提一致，必须先做好目录树。设备帐号如果多于5台，建议用EXCEL导入的方式来进行导入添加，模版可以在资源管理-资产管理-设备管理的导出菜单中导出按模版中头一行创建所有的导入设备帐号，设备帐号导入时，会自动创建主机主机名：主机的名称IP主机的IP地址服务器组：服务器所属组的ID号，因为目录中允许同名称的组，因此，服务器组用ID号替代，可以在资产管理-资源管理-目录节点中查看ID号，如下图：系统类型：主机的操作系统类型，必须在第一章中添加的或系统自带的中选择添加系统用户：系统用户名，如果不想托管，则这项不填当前密码：系统播放的密码，如果不想托管，则这项可以不填登录协议：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在这些登录方式中选择相应的端口： 登录协议连接的目标端口过期时间：这个系统帐号的过期时间，如果超过过期时间，则不在允许登录自动修改密码：是否对这个帐号进行自动修改密码（默认为否）主帐号：自动修改密码时只使用一个帐号登录修改主机上所有的用户密码，如果是主帐号，则填是，主帐号一般为root权限或可以sudo 为root自动登录：默认填是堡垒机用户：民生项目中均填否Sftp用户 ：如果是SSH服务，则设置这个SSH用户是否可以使用SFTP服务，是为允许，否为不允许公私钥用户：如果是SSH服务，设置