用户帐号需配置了“USBKey”多因子认证,才能为用户帐号签发USBKey。
USBKey管理
签发授权USBkey前,需提前申购USBKey,并在本地安装对应的USBKey驱动。不同的厂商USBKey不能相互识别登录认证,用户根据申购的USBKey6.6 USBKey管理厂商。
世纪龙脉GM3000
前提条件
已申购USBKey。
已获取“用户”模块管理权限。
已获取“USBKey”模块管理权限。
签发USBKey
一个USBKey只能签发给一个用户使用。
- 登录云堡垒机系统。
- 选择“用户 > USBKey”,进入USBKey列表页面。
- 单击“签发”,新建签发USBKey。
- 配置“关联用户”,选择已经开启USBKey多因子认证的用户。
签发USBKey
| 参数 | 说明 |
|---|---|
| USBKey | USBKey商品标识码。 |
| 关联用户 | 选择已配置“USBKey”多因子认证的用户帐号。 |
| PIN码 | USBKey厂商提供,与“USBKey”一一对应的唯一识别码。 |
- 单击“确定”,在USBKey列表查看已签发USBKey信息。
关联用户登录云堡垒机系统时,插入签发的USBKey到本地主机,登录界面会自动识别USBKey,选择对应的USBKey,并输入对应的PIN码,即可完成USBKey认证方式登录。
吊销USBKey
- 登录云堡垒机系统。
- 选择“用户 > USBKey”,进入USBKey列表页面。
- 单击“操作”列的“吊销”,可吊销该USBKey。
- 勾选多个USBKey,单击列表下方的“吊销”,可批量吊销USBKey。
动态令牌管理
用户帐号需配置了“动态令牌”多因子认证,才能为用户帐号签发动态令牌。
动态令牌需要提前申购。目前云堡垒机支持坚石诚信ETZ201型号,外观如图6-51。
坚石诚信ETZ201示例
前提条件
已申购硬件令牌。
已获取“用户”模块管理权限。
已获取“动态令牌”模块管理权限。
签发动态令牌
一个动态令牌只能签发给一个用户使用。
- 登录云堡垒机系统。
- 选择“用户 > 动态令牌”,进入动态令牌列表页面。
- 单击“签发”,新建签发令牌标识。
- 配置令牌标识信息。
签发动态令牌参数说明
| 参数 | 说明 |
|---|---|
| 令牌标识 | 动态令牌条形码。 |
| 秘钥 | 动态令牌的厂商提供,与“令牌标识”一一对应的唯一“密钥”。 |
| 关联用户 | 选择已配置“动态令牌”多因子认证的用户帐号。 |
- 单击“确定”,返回动态令牌列表,即可查看已签发令牌标识。
关联用户登录云堡垒机系统时,在登录界面输入用户登录名、用户密码,以及动态令牌上动态口令,即可完成动态令牌方式登录。
导入动态令牌
- 登录云堡垒机系统。
- 选择“用户 > 动态令牌”,进入动态令牌列表页面。
- 单击“导入”,弹出批量导入动态令牌窗口。
- 单击“点击下载”,下载模板文件到本地。
- 按照模板文件中的配置项说明,填写需导入的动态令牌配置信息。
- 单击“点击上传”,选择已配置的模板文件。
说明
支持上传的文件类型包括CSV、xls、xlsx;
勾选“覆盖已有令牌”;
勾选:当密钥、关联用户重复时,将覆盖令牌标识并更新现有令牌的标识信息,但不会删除令牌重新创建;
未勾选:当密钥、关联用户重复时,直接跳过密钥、关联用户重复的令牌。
- 单击“确定”,返回动态令牌列表,接口查看导入的动态令牌。
导出动态令牌
- 登录云堡垒机系统。
- 选择“用户 > 动态令牌”,进入动态令牌列表页面。
- 勾选需要导出的动态令牌。若不勾选,默认导出全部动态令牌。
- 单击“导出”,保存文件到本地。
吊销动态令牌
动态令牌删除后,关联用户帐号将暂时不能通过动态令牌方式登录。
- 登录云堡垒机系统。
- 选择“用户 > 动态令牌”,进入动态令牌列表页面。
- 单击“操作”列的“吊销”,即可吊销该动态令牌。
- 在动态令牌列表中,同时选中多个动态令牌,单击列表下方的“吊销”按钮,可批量吊销动态令牌。
