天融信堡垒主机(TA-SAG)用户操作手册--运维管理

天融信网络审计系统TA-SAG用户

操作手册

运维管理

北京天融信公司

二O一三年六月六日

TA-SAG用户操作手册——运维管理

更新历史

编写人日期版本号变更内容

吴玉飞2013.06 V3.0 堡垒主机（TA-SAG）V3.0最新版

北京天融信公司

目录

第一章前言 (4)

1.1简介 (4)

1.2文档目的 (4)

1.3读者对象 (4)

第二章登录系统 (5)

2.1静态口令认证登录 (5)

2.2字证书认证登录 (6)

2.3动态口令认证登录 (7)

2.4LDAP域认证登录 (7)

2.5单点登录工具 (8)

第三章单点登录 (10)

3.1单点登录 (10)

3.2单点登录工具支持列表 (10)

3.3单点登录界面介绍 (11)

第四章授权列表 (14)

4.1Windows资源类（域内主机\域控制器\windows2003\2008） (14)

4.2Unix\Linux资源类 (15)

4.3数据库（独立）资源类 (18)

4.4ORACLE_PLSQL单点登录 (19)

4.5ORACLE_SQLDeveleper单点登录 (21)

4.6MSSQLServer2000查询分析器单点登录 (23)

4.7MSSQLServer2000 企业管理器单点登录 (24)

4.8SQL Server 2005 Management Studio单点登录 (26)

4.9SQL Server 2008 Management Studio单点登录 (27)

4.10Sybase Dbisqlg单点登录 (29)

4.11SQL-Front单点登录 (30)

4.12数据库（系统）资源类单点登录（DB2/informix） (32)

4.13网络设备（RADIUS\local\其他）资源类 (34)

4.14Web应用资源类 (36)

4.15会同登录 (36)

4.16一次性会话号 (42)

第五章工单 (45)

第六章工作计划 (48)

第七章消息 (50)

第八章自维护 (52)

第九章控件下载 (54)

北京天融信公司

第一章前言

1.1 简介

TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。它面向的对象是，企业的运维人员。该模块是TA-SAG为运维人员提供的登录入口。因此TA-SAG加强了登录的认证手段，提高安全性的同时不失用户的方便性。

运维人员登录TA-SAG认证成功后，将不会继续认证。从TA-SAG单点登录平台可以登录任意经过授权的资源。TA-SAG为每次访问资源都建立了唯一的授权一次性会话号，用以确保登录会话的安全性。

1.2 文档目的

TA-SAG运维管理手册是指导运维人员如何登录TA-SAG认证和访问资源。在该模块中经常会有很多的问题出现。通过该手册能够解决运维人员的常见问题。

1.3 读者对象

本文档适用于企业运维人员使用。

北京天融信公司

第二章登录系统

系统登录主要的工作就是系统认证。TA-SAG登录界面随系统配置的认证方式不同而有所差异。

TA-SAG支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。

无论TA-SAG配置哪种认证方式，登录系统都需要在浏览器中输入服务地址。例如:https://192.168.23.93。在该例中，192.168.23. 93为TA-SAGIP地址（TA-SAG出厂设置的管理IP为192.168.2.92）。当在浏览器中输入示例内容后，点击回车（TA-SAG配置双向认证时，如果需要域名方式访问的情况除外）系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。

2.1 静态口令认证登录

静态口令登录认证是最基本得认证方式，登录界面入图2.1.1所示。

图2.1.1

用户需要输入用户名及口令后，点击登录按钮后登录系统。

北京天融信公司

2.2 字证书认证登录

TA-SAG证书认证登录，支持的形式包括软证书认证，Usbkey证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey证书只是将证书导入Usb硬件Key 中，安全性相应增加。但无论证书以哪种方式存在，TA-SAG都会统一对待。

如图2.2.1所示，当自然人在浏览器地址栏中输入TA-SAG地址后，点击回车，弹出选择证书提示框。

图2.2.1

此时用户需要选择所要使用的数字证书，点击确定按钮。此例子选择名称为simper的证书，点击确定按钮，进入图2.2.2界面。

图2.2.2

北京天融信公司

由于在上一操作步骤中选择的是名称为simper证书，所以TA-SAG此时自动将用户名锁定，禁止自然人修改登录用户名。防止身份篡改。此时，用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。

2.3 动态口令认证登录

动态口令认证是指可以通过OTP令牌方式通过TA-SAG认证登录。认证界面如图2.3.1所示。

图2.3.1

TA-SAG的动态口令登录认证，采用的是双因子认证方式。也就是说，用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入TA-SAG。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。

2.4 LDAP域认证登录

TA-SAG域认证是另外一种第三方认证方式。TA-SAG将自身的部分系统认证交由第三方安全平台认证。TA-SAG中将LDAP域口令的认证指派到LDAP服务器上。LDAP域认证的操作界面入图2.4.1所示。

北京天融信公司

图2.4.1

与动态口令的认证方式类似，域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过，此时才可以成功进入TA-SAG。

2.5 单点登录工具

介绍完TA-SAG中常见的认证方式后，用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具，及TA-SAGSSO登录控件的下载。点击【工具下载】选项弹出如图2.5.1所示界面。

图2.5.1

北京天融信公司

图2.5.1只截取了部分的内容，其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。

用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接，下载单点登录工具。有关单点登录工具详细内容请参见《TA-SAG运维工程师操作手册》。

北京天融信公司

北京天融信公司

第三章 单点登录

3.1 单点登录

在自然人登录到系统后，默认显示的界面为单点登录界面。如图3.1所示。

图3.1

3.2 单点登录工具支持列表

资源类型windows资源mstsc ftp

unix资源SecureCRT SecureNetTerm FTP SFTP

Xwindow

数据库（独立）

oracle PL/SQL

sqlserver2000查询分析器企业管理器

sqlserver2005sqlserver2008sybase Sybase Dbisqlg

mysql SQL-Front

数据库（系统）

DB2DB2控制中心

INFORMIX Winsql

网络设备（RADIUS）SecureCRT SecureNetTerm

网络设备（LOCAL）SecureCRT SecureNetTerm

支持的单点登录工具

SQL Server 2005 Management Studio

SQL Server 2008 Management Studio

图3.2.1

3.3 单点登录界面介绍

在单点登录界面，“最近使用“模块将显示最近的运维操作资源信息，如图3.3.1所示。

图3.3.1

“最常使用”模块显示该自然人最常使用的授权资源列表，如图3.3.2所示。

图3.3.2

“工单”模块显示该自然人相关的工单信息。如图3.3.3所示。

北京天融信公司

图3.3.3

“日历”模块可以显示当前日期，当有工作计划时，相应日期将显示为黄色。如图3.3.4所示。

图3.3.4

“工作计划”模块显示当天的工作计划的执行时间，当点击相应日期，将显示其日期下的工作计划执行时间。如图3.3.5所示。

北京天融信公司

北京天融信公司

图

3.3.5

第四章授权列表

4.1 Windows资源类（域内主机\域控制器\windows2003\2008）

点击授权列表将显示出所以授权资源信息，如图4.1.1所示。

图4.1.1

对于部分多IP设备将从ip生成一条资源列，如图4.1.2所示。

图4.1.2

表示系统的连接方式。具体的登录方式可以点击进行选择，如图4.1.3所示。

图4.1.3

【RDP单点登录】点击并进行标准远程桌面的RDP登录

【RDP控制台单点登录】等同于 mstsc /admin或 mstsc /console的控制台登录表示系统的连接方式。具体的登录方式可以点击进行选择，如图4.1.4所示。

北京天融信公司

北京天融信公司

图4.1.4

【windows 文件共享登录方式】与【windowsFTP 登录方式】相同，点击登录即可。

4.2 Unix\Linux 资源类

点击授权列表将显示出所以授权资源信息，如图4.2.1所示。

图4.2.1

对于部分多IP 设备将从ip 生成一条资源列，如图4.2.2所示。

图

4.2.2

北京天融信公司

表示系统的连接方式。具体的登录方式可以点击进行选择，如图4.2.3所示。

图4.2.3

【以选项卡方式打开登录】以选项卡的方式显示，点击进行SecureCRT 单点登录

【以独立窗口方式打开登录】以独立窗口的方式显示，点击进行SecureCRT 单点登录

【直连方式打开登录】通过本地的SecureCRT 登录，不通过协议代理。点击进行登录。

表示系统的连接方式。具体的登录方式可以点击进行选择，如图4.2.4所示。

图4.2.4

【windows 文件共享登录方式】与【windowsFTP 登录方式】相同，点击登录即可。

【Unix\LinuxFTP 登录方式】点击FTP 按钮进行FTP 登录，

并确保模式及编码选择正确。

北京天融信公司

如图4.2.5所示。

图4.2.5

注意：本功能需要客户机安装SSO 控件，并安装JRE 。

【Unix\LinuxSFTP 登录方式】与【Unix\LinuxFTP 登录方式】相同

【x-windows 登录】点击

按钮进行选择x-windows 登录，具体操作方法与【RDP 网

页登录方式】相同

图

4.2.6

【x-windows会话号登录方式】参见【RDP会话号登录方式】。

【vnc登录】参见【RDP会话号登录方式】

4.3 数据库（独立）资源类

在介绍本部分以前请先熟悉一下应用发布的原理如下图：

对于数据库类资源TA-SAG需要通过中间的应用发布服务器（参见下图）完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整.

图4.3.1

图4.3.1

对于部分多IP设备将从ip生成一条资源列，如图4.3.2所示。

北京天融信公司

北京天融信公司

图4.3.2

【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP 地址，如图4.3.3所示：

图4.3.3

4.4 ORACLE_PLSQL 单点登录

自然人身份登录，点击按钮，进入如图4.4.1所示页面。

图4.4.1

点击PLSQL 图标，出现远程桌面连接，如图4.4.2所示

点击[连接]，连接到数据库oracle,体现为图4.4.3所示：

北京天融信公司