在新建用户/资源时，为什么无法选择上级部门？

因为用户所属“角色”未配置“管理权限”，用户在新建用户或资源时，不能配置新用户或资源的“所属部门”为当前用户的上级部门。

开启角色管理权限

如何修改用户手机号码？

云堡垒机“手机号码”为用户登录验证、找回密码、获取系统动态信息的账户重要信息。

CBH不支持绑定海外的手机号码。

admin用户的手机号码，为首次登录时自行绑定的手机号码。

其他用户的手机号码，为管理员创建用户时或用户首次登录系统时，绑定的手机号码。

用户帐号手机号码，支持个人修改，管理员修改，以及管理员批量修改。

用户个人修改

1 登录云堡垒机系统。

2 在界面右上角，单击“个人中心 ”，进入个人中心管理页面。

3 在基本信息页签，单击右上角“编辑”，进入个人信息管理窗口。

4 配置新手机号码。

5 单击“确认”，即完成修改个人手机号码。

管理员逐个修改

系统管理员admin或拥有“用户”模块管理权限的用户，可逐个为其他用户重置手机号码。

1 登录云堡垒机系统。

2 选择“用户 > 用户管理 ”，进入用户列表管理页面。

3 选择待修改手机号的用户，单击用户名或“管理”，进入用户详情页面。

4 在“基本信息”区域，单击“编辑”，管理用户基本信息。

5 配置新手机号码。

6 单击“确认”，即完成修改单个用户手机号码。

管理员批量修改

系统管理员admin或拥有“用户”模块管理权限的用户，可批量为多个用户重置手机号码。

1 登录云堡垒机系统。

2 选择“用户 > 用户管理 ”，进入用户列表管理页面。

3 导出用户信息。

选择待修改手机号的用户，单击“导出”，导出用户信息文件到本地。

4 修改用户手机号。

将用户信息文件保存到本地，手动修改“用户手机号码”，并保存。

5 导入用户信息。

返回用户列表管理页面，单击“导入”，进入导入用户窗口。

单击“点击上传”，选择修改后的用户信息文件并上传。

上传完成后，先选择“更多选项”中的“覆盖已有用户”。

单击“确定”，即完成批量修改用户手机号码。

云堡垒机可新建多少个用户？

没有限制。

云堡垒机系统的一个用户代表一个可登录自然人，支持新建本地用户，批量导入用户，以及同步AD域用户。

系统管理员admin是系统最高权限用户，也是系统第一个可登录用户。

如何创建云堡垒机数据库运维？

云堡垒机支持通过主机运维和应用运维两种方式管理数据库，可管理多种协议类型的云上数据库，具体请参考云堡垒机支持管理哪些数据库？。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。

前提条件

• 已购买云堡垒机实例，且能正常登录云堡垒机系统。若需通过命令运维数据库，即通过主机运维方式管理数据库，请购买专业版云堡垒机实例。
• 数据库资源与云堡垒机之间网络连接畅通。云堡垒机实例安全组已放开入方向33306端口，且数据库安全组允许云堡垒机IP访问。

主机运维方式

主机运维支持SSO单点登录方式运维MySQL、SQL Server、Oracle、DB2四种协议类型数据库。

1. 管理员创建数据库主机资源。

   选择“ 资源 > 主机管理 ” ，配置 “协议类型”**为DB2、MySQL、SQL Server或Oracle数据库协议，生成相应数据库资源账户。

2. 管理员授权用户访问控制权限。

   1. 选择“策略 > 访问控制策略”，授权用户访问数据库资源权限，并关联已创建的数据库资源账户。
   2. 选择“策略 > 数据库控制策略”，针对MySQL和Oracle类型数据库，可配置数据库关键操作控制策略，通过命令拦截运维会话。

3. 运维用户登录数据库资源。
   选择“运维 > 主机运维”，授权用户登录数据库资源。

   运维用户可对数据库资源执行增删改查运维命令，并可在“实时会话”查看正在执行的操作命令，在历史会话查看历史操作命令记录。

   运维用户在操作关键命令时，触发“动态授权”操作命令，系统自动拦截操作命令，生成数据库授权工单。运维用户需提交工单申请，待管理员审批工单后，才能继续操作。

应用运维方式

只要数据库与应用发布服务器网络连接通畅，且应用发布服务器与云堡垒机网络连接通畅，应用运维方式可以Web运维所有类型数据库，支持代填数据库的账户和密码。

1. 管理员创建数据库应用资源。
   选择“ 资源 > 应用发布 ”**，配置数据库类型应用，生成相应数据库资源账户。
2. 管理员授权用户访问控制权限。
   选择“ 策略 > 访问控制策略 ”**，授权用户访问数据库资源权限，并关联已创建的数据库资源账户。
3. 运维用户登录数据库资源。
   选择“ 运维 > 应用运维 ”**，授权用户登录数据库资源。
   运维用户可对数据库资源运维会话视频记录，并可在历史会话下载会话视频。

如何通过云堡垒机纳管RDS数据库?

CBH支持通过云堡垒机纳管同一VPC下的RDS数据库，达到通过云堡垒机管理数据库资源的目的。本章节为您讲解通过云堡垒机纳管RDS数据库的详细操作，如需了解纳管其他主机资源的操作。

约束限制

仅专业版云堡垒机实例支持直接纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。

前提条件

• 已购买云堡垒机实例，且能正常登录云堡垒机系统。若需通过命令运维数据库，即通过主机运维方式管理数据库，请购买专业版云堡垒机实例。
• RDS实例与云堡垒机之间网络连接畅通。云堡垒机实例安全组已放开入方向33306端口，且数据库安全组允许云堡垒机IP访问。

获取RDS实例的数据库版本、内网地址、数据库端口和管理员帐户名

1. 登录管理控制台。
2. 单击左上角的，选择区域或项目。
3. 在左侧导航树中，单击，选择**“数据库 > 云数据库 RDS”，进入“实例管理”**页面。
4. 单击目标实例名称，进入实例详情页面，记录该实例的**“数据库引擎版本”、“内网地址”、“数据库端口”和“管理员帐户名”。

通过云堡垒机纳管RDS数据库

1. 登录云堡垒机系统。
2. 选择“资源 > 主机管理”，进入主机管理列表页面。
3. 单击“新建”，弹出新建主机编辑窗口。
4. 单击“下一步”，纳管主机资源的账号信息。
5. 单击“确定”，且资源账户验证通过后，返回主机列表查看新建的RDS数据库资源。
6. 在左侧导航树中，选择“策略 > 访问控制策略”，配置纳管的RDS数据库的访问控制策略。
7. 在左侧导航树中，选择“运维 > 主机运维”，进入主机运维列表，在新建的RDS数据库实例主机所在行的“操作”列，单击“登录”。
8. （可选）在弹出的对话框中，单击**“下载单点登录工具”，并按默认方式安装。
9. 配置 SSO单点登录工具 。
10. 执行完步骤8-步骤9后，再次单击“操作”列的“登录”。

如何修改系统资源账户密码？

资源账户修改密码

当主机或应用服务器上账户的密码修改后，需同步修改云堡垒机纳管的资源账户密码。

1 登录云堡垒机系统。

2 选择“资源 > 资源账户”，进入资源账户列表页面。

3 单击待修改密码的资源账户，或单击“管理”，进入资源账户详情页面。

4 在“基本信息”区域单击“编辑”，弹出“编辑资源账户信息”窗口。

5 输入新密码，勾选“验证”。单击“确认”纳管资源账户新密码。

6 返回资源账户列表页面，查看“任务中心”消息，验证新密码是否正确。

也可在返回资源账户列表页面后，选择已修改密码的资源账户，单击“验证”，验证资源账户新密码。

改密策略修改密码

通过云堡垒机“改密策略”，可修改主机或应用资源服务器上的账户密码，并将新密码纳管到云堡垒机中。

此外，您可以下载改密日志或导出资源账户列表，查看修改后的资源账户密码。

“改密策略”修改密码仅对密码登录的资源账户生效，对SSH Key登录验证的主机资源不生效。

如何设置提权登录资源账户？

云堡垒机仅支持对SSH、Telnet协议主机增加提权账户。

运维员admin_A可以使用test账户登录主机，但是test账户的权限较小，因此需要云堡垒机管理员为其提权。管理员成功为其提权后，运维员admin_A使用test账户登录主机时，将自动切换到提权后的账户登录界面。管理员配置提权登录操作如下：

1 选择“资源 > 主机管理”。

2 单击目标主机对应“操作”的“更多 > 添加账户”。

添加资源账户

3 添加提权登录账户，完成后单击“确定”。

添加提权账户

设置提权账户参数说明

参数	设置说明
登录方式	选择“提权登录”。
密码	输入目标主机上权限更高账户的登录密码。 例如，root是资源主机上权限最高的账户，则输入root账户的登录密码。
切换自	选择提权前的资源账户。
切换命令	此项无需修改，默认为su。

4 选择“资源 > 资源账户”，可以查看新增的提权账户。

5 选择“策略 > 访问控制策略”，将提权账户[root->su]授权给运维员admin_A。

如何设置云堡垒机资源标签？

前提条件

已拥有“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。

添加标签

1 登录云堡垒机系统。

2 选择“资源 > 主机管理”，进入主机管理列表页面。

3 选择需添加标签主机资源，单击“添加标签”，弹出“添加标签”窗口。

添加标签窗口

4 输入需自定义标签内容，并按“Enter”创建标签，或在“标签”下拉框选择已创建标签。

5 单击“确定”，返回主机资源管理页面或主机运维管理页面，可查看该主机资源的新建标签。

添加标签后主机管理页面

6 标签添加成功后，可在资源管理列表页的“标签”列，单击下拉框，通过选择设定的标签来检索资源。

删除标签

已添加标签的资源，可对标签进行删除操作，以“主机管理”为操作示例。

1 登录云堡垒机系统。

2 选择“资源 > 主机管理”，进入主机管理列表页面。

3 选择需删除标签主机资源，单击“删除标签”，确认删除提示信息，将删除该主机资源所有标签。

4 返回主机资源管理页面或主机运维管理页面，查看该主机资源标签已被删除。

“删除标签”将去除所选资源上的所有标签。

当创建标签不被任何资源使用时，将会自动被删除。

主机或应用标签的单个删除，可单击主机或应用资源列表的“管理”，在资源基本信息编辑页面，对已有标签单个删除。

如何批量导入/导出主机资源？

批量导入

云堡垒机不支持批量创建主机资源，但可以通过主机“导入”的方式批量导入主机资源，包括通过Excel文件导入资源和通过云平台导入资源。

“从文件导入”的Excel文件需配置内容，包括名称、IP地址/域名、协议类型、端口、系统类型、所属部门、标签、主机描述、主机账户、登录方式、特权账户、密码等。

“从文件导入”方式的Excel文件，需严格按照表格配置要求填写主机信息，且上传的Excel文件可打开，不能加密。否则会导入资源失败。

通过Excel批量导入方式，配置“自动登录”，录入主机资源信息，可避免生成“Empty”账户。

批量导出

云堡垒机还支持批量导出主机资源信息。验证用户后，一键导出全量已纳管的主机资源信息，可在导出的文件中查看主机资源账户最新的配置信息，以及设置改密策略修改后的账户密码。

导出的Excel文件内容包括资源名称、资源地址、资源协议、资源端口、系统类型、部门、资源标签、资源描述、账户名称、登录方式、特权账户、密码明文等。

导入云主机的访问密钥AK/SK是什么？如何获取？

访问密钥即AK/SK（Access Key ID/Secret Access Key），是用户通过开发工具访问云资源时的身份凭证。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。

若用户选择导入到云平台时，可在“我的凭证”中管理自己的访问密钥。获取方法如下：

登录管理控制台，在右上角用户帐号名内，单击“我的凭证 > 管理访问密钥”，进入访问密钥管理页面。

用户若选择导入到其他云平台，可单击“如何获取”，跳转到相应云平台，根据指导说明获取访问密钥AK/SK。

系统资源账户有哪些状态？

云堡垒机系统被纳管资源的账户 状态 ，用于标识资源账户的密码是否被验证，且验证是否通过，不能手动修改，可通过实时验证和自动巡检更新。

资源账户共有“正常”、“异常”和“未知”三种状态，各状态详细说明请参见表。

资源账户状态说明

状态	说明
正常	经过“验证”，帐号及密码正确，且能正常登录的资源账户，显示为“正常”状态。
异常	经过“验证”，账户或密码不正确，可能不能正常登录的资源账户，显示为“异常”状态。
未知	添加完资源账户后，未经过“验证”的资源账户，显示为“未知”状态。

云堡垒机自动巡检：

在每月的5号、15号和25号凌晨一点，对纳管的资源账户进行帐号巡检，通过检测资源账户的连通性，标记资源账户状态。

连通性良好，能正常登录的账户显示为“正常”。

不能连接，无法正常登录的账户显示为“异常”。

系统资源标签可以共用吗？

不可以。

因云堡垒机系统用户间隔离，每个用户自定义的资源标签仅能个人账户使用，不能被CBH系统内用户共用。

例如系统管理员admin添加的资源标签，其他管理员或运维人员登录系统后，不能看到admin为资源添加的标签，反之亦然。

是否支持手动输入密码的方式登录资源？

用户在不希望云堡垒机托管密码时，可将登录方式设置为手动输入密码的登录方式，具体操作如下：

1 登录云堡垒机系统。

2 选择“策略 > 访问控制策略”，进入访问控制策略列表管理页面。

3 单击“新建”或“关联”。

4 在配置关联资源账户时，选择Empty账户。

5 在“运维 > 主机运维”页面登录该主机，需要手动输入资源账户名和相应密码。

为什么不能识别批量导入的云主机？

受云堡垒机版本限制，当用户云堡垒机“设备系统”版本低于V3.3.0.0时，导入的云主机可能会识别失败，不能获取主机信息。

您可以先选择升级系统到最新版本后，再次导入云主机。也可以将云主机信息转入Excel表格。

如何通过云堡垒机来访问内网提供的服务？

如果您需要通过云堡垒机来访问内网提供的服务，请参考以下步骤进行操作。

操作步骤

1 购买Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源，用于部署应用发布服务器。

2 安装应用服务器

3 添加应用资源

如何在云堡垒机上添加IPV6地址的服务器？

堡垒机要支持添加IPV6地址的服务器 ，必须在购买堡垒机实例时，选择开启IPV6的子网。

Empty帐户是什么帐户？

当添加主机或应用未纳管帐户和密码时，默认生成一个“Empty”帐户，登录“Empty”资源账户时需手动输入帐户名和相应密码。

动态授权的作用及操作流程是什么？

动态授权是授权用户运维操作触发规则集，系统对字符命令或数据库会话操作进行拦截，自动生成授权工单。授权用户若需继续执行操作，需管理员批准工单。

以命令控制策略的动态授权为例。

1 管理员用户登录云堡垒机，选择“策略 > 命令控制策略”，新建字符（SSH或Telnet）命令集和命令控制策略。

命令控制策略“执行动作”需选择“动态授权”。

配置动态授权

2 命令控制策略设置成功后，授权用户登录云堡垒机，登录目标主机，执行相关命令触发命令拦截，生成命令授权工单。

动态拦截

3 授权用户选择“工单 > 命令授权工单”，查看并提交工单。

4 管理员或上级部门领导可以在“工单 > 工单审批”，查看工单并批准工单。

5 获得批准后，授权用户即可成功运行相关命令。

获取授权

如何配置SSH Key登录主机资源？

云堡垒机支持配置SSH Key登录主机资源，主机资源配置SSH Key后优先验证SSH Key登录资源。

生成SSH Key

1 生成认证Key。

登录主机，执行以下命令，生成SSH Key。

ssh-keygen **–**t rsa

回显信息如下：

[root@Server ~]# ssh-keygen -t rsaGenerating public/private rsa key pair.

可根据需要配置SSH Key的文件名和密码，回显信息示例如下：

Enter file in which to save the key (/root/.ssh/id_rsa):置空或输入将生成的文件名，文件保存目录为/root/.ssh。 
Enter passphrase (empty for no passphrase):置空或根据需要输入密码  
Enter same passphrase again:确认输入密码 
Your identification has been saved in /home/fdipzone/.ssh/id_rsa. 
Your public key has been saved in /home/fdipzone/.ssh/id_rsa.pub. 
The key fingerprint is: f2:76:c3:6b:26:10:14:fc:43:e0:0c:4d:51:c9:a4:b2 root@Server 
The key's randomart image is: 
+--[ RSA 2048]----+ 
|    .+=*         | 
|  .  += +        | 
|   o   +         | 
|  E . . o        | 
|    .S.          | 
|      .o .       | 
|       . +       | 
|       ..        | 
|       . +.      | 
+-----------------+

参数**-t rsa**表示使用rsa算法进行加密，也可以使用dsa加密算法加密，命令如下：

ssh-keygen -t dsa

2 执行以下命令，查看SSH Key文件。

cd /root/.ssh  （文件保存目录） /

在当前用户SSH Key文件保存目录下，查看已生成私钥id_rsa和公钥id_rsa.publisher文件，配置密码后还可查看到私钥密码key和公钥密码key.publisher文件。

回显信息示例如下：

[root@Server ~]# cd /root/.ssh/ 
[root@Server ~]# ll 
total 16 
-rw------- 1 root root    0 Oct 14 15:47 authorized_keys 
-rw------- 1 root root 1679 Nov 15 09:45 id_rsa 
-rw------- 1 root root  430 Nov 15 09:45 id_rsa.publisher 
-rw------- 1 root root 1766 Nov 15 09:48 key 
-rw------- 1 root root  430 Nov 15 09:48 key.publisher

3 在当前用户/.ssh目录下，执行以下命令，拷贝公钥内容到authorized_keys文件中。

cat id_rsa.pub >>authorized_keys

4 打开主机SSH Key登录验证方式。

执行以下命令，修改sshd_config配置文件参数，生效“RSAAuthentication”和“PubkeyAuthentication”，授权SSH Key验证。

vim /etc/ssh/sshd_config

修改完后按“Esc”，输入**:wq!**命令并按“Enter”，保存修改并退出。

执行以下命令，重启sshd服务。

service sshd restart

回显如下信息表示sshd服务重启成功。

Redirecting to /bin/systemctl restart sshd.service

配置SSH Key信息

1 登录云堡垒机系统。

2 选择“资源 > 主机管理”，新建已生成SSH Key的主机资源。

已被纳管的目标主机，可单击“管理”，在主机信息详情页“添加”资源账户。

3 单击“新建”配置SSH主机资源，配置“主机账户”和“密码”。

配置SSH Key

4 拷贝生成的私钥id_rsa文件内容和私钥密码，配置“SSH Key”和“passphrase”。

云堡垒机系统可选择性配置“passphrase”，当未配置“passphrase”时：

未生成私钥密码情况下，登录主机无需输入密码。

已生成私钥密码情况下，每次登录主机需手动输入私钥密码。

5 单击“确定”，新增拥有SSH Key的主机资源账户。

“批量导入”主机资源请正确输入SSH Key私钥和Passphrase密码，不要引入其他字符或空格。

建议批量导入的资源先仅配置主机账户和密码登录，主机导入云堡垒机系统后，再修改“资源账户”添加私钥和密码。

6 配置访问控制策略。

将配置了SSH Key的主机资源账户授权给用户。

7 授权用户登录资源主机。

如何设置个人网盘空间大小？

云堡垒机“主机网盘”属于用户系统个人空间，即系统个人网盘。当用户个人网盘空间内存不足时，可由管理员配置“个人网盘空间”，来解决个人网盘内存空间不足的问题。

设置“个人网盘空间”后，默认为系统每个用户预置相同大小的个人网盘空间。

设置“个人网盘空间”和“网盘总空间”为零，表示在系统数据盘内存充足情况下，不限制用户使用个人网盘，个人网盘空间可无限使用。

前提条件

用户已获取“系统”模块管理权限。

操作步骤

1 登录云堡垒机系统。

2 选择“系统 > 数据维护 > 存储配置”，进入系统存储配置管理页面。

3 查询“网盘空间”区域“个人网盘空间”和“网盘总空间”配置项。

“个人网盘空间”和“网盘总空间”默认值分别为100MB和5120MB。

4 单击“网盘空间”区域“编辑”，弹出“编辑网盘空间”窗口。

5 修改“个人网盘空间”为目标数值。

6 单击“确定”，返回查看“个人网盘空间”设置成功。

如何解决短信限制问题？

堡垒机赠送的短信服务有以下限制：

1分钟内发送短信不超过1条。

1小时内发送短信不超过5条 。

1天内发送短信不超过15条。

如果不够使用的话，建议修改短信网关配置，设置为“自定义”短信网关。