配置手机短信登录
手机短信是以手机短信形式发送的6位随机数的动态密码,云堡垒机系统支持通过手机短信动态密码对用户登录身份进行认证。配置手机短信认证后,登录系统需同时输入静态密码和6位手机短信动态密码,才能通过身份认证,从而确保系统身份认证的安全性 。
约束限制
- 系统接发短信频率限制:
- 1分钟内发送短信不超过1条。
- 1小时内发送短信不超过5条 。
- 1天内发送短信不超过15条。
- 一个登录帐号仅能绑定一个可用手机号码。
- 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口,系统才能够访问短信网关。
绑定手机号码
用户帐号绑定的手机号码必须有效,可正常接收短信。
方式一:用户绑定个人手机号码
- 用户通过静态密码方式登录云堡垒机系统。
- 选择右上角用户名,单击“个人中心”,进入个人中心基本信息管理页面。
- 单击“编辑”,弹出个人信息编辑窗口。
- 在“手机”列框,输入有效手机号码。
- 单击“确定”,绑定手机号码。
方式二:管理员修改用户手机号码
- 管理员登录云堡垒机系统。
- 选择“用户 > 用户管理 ”,进入用户列表管理页面。
- 选择目标用户,单击登录名,进入用户详情页面。
- 在“基本信息”区域,单击“编辑”,弹出用户基本信息管理窗口。
- 在“手机”列框,输入新手机号码。
- 单击“确定”,即修改用户手机号码。
管理员配置手机短信认证
- 管理员登录云堡垒机系统。
- 选择“用户 > 用户管理”,进入用户管理页面。
- 找到目标用户,单击用户登录名,进入用户详情页面。
- 在“用户配置”区域,单击“编辑”,弹出用户的登录配置窗口。
- 勾选“手机短信”多因子认证项。
- 单击“确定”,完成用户配置。用户再次登录系统时,手机短信登录认证生效。
配置手机令牌登录
手机令牌是可用来生成动态口令的手机客户端软件,云堡垒机系统支持通过手机令牌动态密码对用户登录身份进行认证。配置手机令牌认证后,登录系统需同时输入静态密码和6位手机令牌动态密码,才能通过身份认证。
admin帐户若要使用多因子认证方式登录,需先配置手机令牌,否则admin帐户将无法使用多因子认证方式登录系统。
目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。
- 内置手机令牌:微信小程序手机令牌。
- RADIUS手机令牌:APP版手机令牌Google Authenticator和FreeOTP。
约束限制
admin用户必须先绑定手机令牌,再配置多因子认证方式。否则admin用户将无法登录系统。
系统时间与手机时间必须一致,精确到秒,否则可能提示绑定失败。
绑定失败后,请先修改系统时间与手机时间一致,刷新页面重新生成二维码绑定。
用户绑定手机令牌
- 用户通过静态密码方式登录云堡垒机系统。
- 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。
- 选择“手机令牌”页签,进入个人手机令牌配置页面。
按照界面提示信息依次执行操作。
- 后续若需要解除手机令牌绑定,可在“手机令牌”页签,单击“解除”。
管理员配置手机令牌认证
- 管理员登录云堡垒机系统。
- 选择“用户 > 用户管理”,进入用户管理页面。
- 找到已绑定手机令牌的用户,单击用户登录名,进入用户详情页面。
- 在“用户配置”区域,单击“编辑”,弹出用户的登录配置窗口。
- 勾选“手机令牌”多因子认证项。
- 单击“确定”,完成用户配置。
用户再次登录系统时,手机令牌登录认证生效。
配置USBKey登录
uToken是基于USBKey实现的OTP动态密码技术。配置USBKey认证后,登录系统时需接入USBKey,登录页面自动识别唯一关联USBKey,输入相应PIN码,才能通过身份认证。
约束限制
- 目前云堡垒机可识别世纪龙脉、北京CA和吉大正元厂商的USBKey,不同的厂商USBKey不能相互识别登录认证。需根据申购的USBKey3.5.6 配置USB Key厂商厂商。
- 一个USBKey仅能签发给一个用户使用。
前提条件
已申购USBKey,并在本地安装对应的USBKey驱动。
配置USBKey认证
- 管理员登录云堡垒机系统。
- 选择“用户 > 用户管理”,进入用户管理页面。
- 找到目标用户,单击用户登录名,进入用户详情页面。
- “用户配置”区域,单击“编辑”,弹出用户的登录配置窗口。
- 勾选“USBKey”多因子认证项。
- 单击“确定”,完成用户多因子认证配置。
签发USBKey
- 管理员登录云堡垒机系统。
- 选择“用户 > USBKey”,进入USBKey列表页面。
- 单击“签发”,新建签发USBKey。
- 配置“关联用户”,选择已经开启USBKey多因子认证的用户。
签发USBKey参数说明
| 参数 | 说明 |
|---|---|
| USBKey | USBKey商品标识码。 |
| 关联用户 | 选择已配置“USBKey”多因子认证的用户帐号。 |
| PIN码 | USBKey厂商提供,与“USBKey”一一对应的唯一识别码。 |
- 单击“确定”,在USBKey列表查看已签发USBKey信息。
关联用户登录云堡垒机系统时,连接签发的USBKey到本地主机,登录界面会自动识别USBKey,选择对应的USBKey,并输入PIN码,即可完成USBKey登录认证。
配置动态令牌登录
动态口令是基于事件同步的令牌实现的OTP动态密码技术。配置动态令牌认证后,登录系统时需输入静态密码和6位硬件令牌动态密码,才能通过身份认证。
约束限制
目前云堡垒机可识别坚石诚信ETZ201型号硬件令牌。
一个硬件令牌仅能签发给一个用户使用。
前提条件
已申购硬件令牌。
配置动态令牌认证
- 管理员登录云堡垒机系统。
- 选择“用户 > 用户管理”,进入用户管理页面。
- 找到目标用户,单击用户登录名,进入用户详情页面。
- 在“用户配置”区域,单击“编辑”,弹出用户的登录配置窗口。
- 勾选“动态令牌”多因子认证项。
- 单击“确定”,完成用户多因子认证配置。
签发动态令牌
- 管理员登录云堡垒机系统。
- 选择“用户 > 动态令牌”,进入动态令牌列表页面。
- 单击“签发”,新建签发令牌标识。
- 配置令牌标识信息。
签发动态令牌参数说明
| 参数 | 说明 |
|---|---|
| 令牌标识 | 动态令牌条形码。 |
| 秘钥 | 动态令牌的厂商提供,与“令牌标识”一一对应的唯一“密钥”。 |
| 关联用户 | 选择已配置“动态令牌”多因子认证的用户帐号。 |
- 单击“确定”,返回动态令牌列表,即可查看已签发令牌标识。
关联用户登录云堡垒机系统时,在登录界面输入用户登录名、静态密码,以及硬件令牌上动态密码,即可完成动态令牌方式登录。
