天融信堡垒主机(TA-SAG)用户操作手册--配置管理 下载本文

内容发布更新时间 : 2024/11/6 3:29:05星期一 下面是文章的全部内容请认真阅读。

用户操作手册_配置管理

第二章 登录系统

系统登录主要的工作就是系统认证。TA-SAG登录界面随系统配置的认证方式不同而有所差异。 TA-SAG支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。

无论TA-SAG配置哪种认证方式,登录系统都需要在浏览器中输入服务地址。例

如:https://192.168.1.254。在该例中,192.168.1.254为TA-SAGIP地址(TA-SAG出厂设置的管理IP为192.168.1.254)。当在浏览器中输入示例内容后,点击回车(TA-SAG配置双向认证时,如果需要域名方式访问的情况除外)系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。

2.1 静态口令认证登录

静态口令登录认证是最基本得认证方式,登录界面入图2.1.1所示。

图2.1.1

用户需要输入用户名及口令后,点击登录按钮后登录系统。

2.2 字证书认证登录

TA-SAG证书认证登录,支持的形式包括软证书认证,Usbkey证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey证书只是将证书导入Usb硬件Key中,安全性相应增加。但无论证书以哪种方式存在,TA-SAG都会统一对待。

如图2.2.1所示,当自然人在浏览器地址栏中输入TA-SAG地址后,点击回车,弹出选择证书

北京天融信公司

北京(总部):010-82776666咨询热线:400-610-5119网址:www.topsec.com.cn

2 / 49

用提示框。

户操作手册_配置管理

图2.2.1

此时用户需要选择所要使用的数字证书,点击确定按钮。此例子选择名称为simper的证书,点击确定按钮,进入图2.2.2界面。

图2.2.2

由于在上一操作步骤中选择的是名称为simper证书,所以TA-SAG此时自动将用户名锁定,

禁止自然人修改登录用户名。防止身份篡改。此时,用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。

2.3 动态口令认证登录

动态口令认证是指可以通过OTP令牌方式通过TA-SAG认证登录。认证界面如图2.3.1所示。

北京天融信公司

北京(总部):010-82776666咨询热线:400-610-5119网址:www.topsec.com.cn

3 / 49

用户操作手册_配置管理

图2.3.1

TA-SAG的动态口令登录认证,采用的是双因子认证方式。也就是说,用户需要输入动态口令

的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入TA-SAG。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。

2.4 LDAP域认证登录

TA-SAG域认证是另外一种第三方认证方式。TA-SAG将自身的部分系统认证交由第三方安全平台认证。TA-SAG中将LDAP域口令的认证指派到LDAP服务器上。LDAP域认证的操作界面入图2.4.1所示。

图2.4.1

与动态口令的认证方式类似,域口令认证需要在LDAP域认证通过的情况下同时满足自然

人的静态口令认证认证通过,此时才可以成功进入TA-SAG。

北京天融信公司

北京(总部):010-82776666咨询热线:400-610-5119网址:www.topsec.com.cn

4 / 49

用户操作手册_配置管理

2.5 单点登录工具

介绍完TA-SAG中常见的认证方式后,用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具,及TA-SAGSSO登录控件的下载。点击【工具下载】选项弹出如图2.5.1所示界面。

图2.5.1

图2.5.1只截取了部分的内容,其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。

用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接,下载单点登录工具。有关单点登录工具详细内容请参见《TA-SAG运维工程师操作手册》。

北京天融信公司

北京(总部):010-82776666咨询热线:400-610-5119网址:www.topsec.com.cn

5 / 49

用户操作手册_配置管理

第三章 配置管理

3.1 概述

TA-SAG的配置管理主要包括策略配置、服务配置、系统配置3部分组成。

3.2 策略配置

点击TA-SAG一级菜单上

图标进入配置管理模块。点击左侧二级菜单上

图标进入策略配置模块。以下逐一介绍策略管理中的个功能项的使用方法。

3.2.1 行为控制策略

命令策略可以定义一组命令规则,这个规则可以限制自然人通过TA-SAG访问目标资源时所能使用的命令(或禁止使用的命令)。该策略仅限于限制自然人使用字符方式访问TA-SAG。具体操作方法如下。

点击左侧导航

图标进入【命令策略】列表界面。

3.2.1.1 命令控制策略

点击左侧导航3.2.1.1.1

添加命令控制策略

按钮进入添加命令控制策略界面,如图3.2.1.1.1 图标进入【命令控制策略】列表界面

在命令控制策略列表界面点击

所示,输入基本信息。点击提交即完成命令控制策略添加。

北京天融信公司

北京(总部):010-82776666咨询热线:400-610-5119网址:www.topsec.com.cn

6 / 49