管理員在Bastionhost管理頁面建立Bastionhost使用者後,營運員即可通過該使用者登入Bastionhost訪問已授權的主機或資料庫資產。
使用者類型
Bastionhost支援匯入阿里雲RAM使用者、建立Bastionhost本機使用者或匯入AD/LDAP/IDaaS認證使用者,以作為Bastionhost的營運員。
IDaaS使用者暫不支援通過密碼認證方式使用用戶端工具登入Bastionhost進行資產營運,可以通過營運令牌認證方式使用用戶端工具進行營運,或者通過營運門戶進行營運。具體操作,請參見營運使用手冊。
使用者類型 | 描述 |
RAM使用者 | 通過RAM存取控制台建立阿里雲RAM使用者後,您可以在Bastionhost管理頁面一鍵匯入RAM使用者。 |
Bastionhost本機使用者 | 您可以通過單個建立或批量從檔案匯入的方式建立Bastionhost本機使用者。 |
AD/LDAP使用者 | 您可以在Bastionhost上配置AD或LDAP認證,並將AD或LDAP使用者同步到Bastionhost。 說明 匯入AD或LDAP使用者前,請確保您已經配置AD或LDAP認證。具體操作,請參見配置AD或LDAP認證。 |
IDaaS使用者 | 您可以在Bastionhost上配置IDaaS認證,並將IDaaS使用者同步到Bastionhost。 說明 匯入IDaaS使用者前,請確保您已經配置IDaaS認證。具體操作,請參見管理IDaaS認證。 |
使用者列表說明
在建立新使用者之後,您可以通過下表瞭解使用者列表部分展示項的具體含義。
展示項 | 描述 |
使用者名稱 | 使用者登入Bastionhost的賬戶名稱。
|
認證源 | 使用者類型,例如本機使用者顯示為本地認證。 |
雙因子認證方式 | 使用者登入Bastionhost時,通過密碼認證之後,還需要通過簡訊、郵件或DingTalk工作訊息通知發送動態驗證碼進行二次認證,降低安全風險。
|
手機OTP令牌綁定 | 目前使用者是否綁定了手機TOTP令牌。如何綁定,請參見建立使用者。 說明 RAM使用者和IDaaS使用者不涉及。 |
狀態 | 目前使用者狀態。關於使用者狀態配置說明,請參見使用者配置。
|
操作 |
建立使用者
您可以根據實際業務需求,為營運員建立用於登入Bastionhost的使用者賬戶。
匯入RAM使用者
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者頁面,單擊匯入RAM使用者。
可選:如果您還未建立RAM使用者,您可以在匯入RAM使用者頁面,單擊建立RAM使用者,根據頁面提示建立RAM使用者。
建立RAM使用者的具體操作,請參見建立RAM使用者。
在匯入RAM使用者頁面,在目標RAM使用者的操作列單擊匯入,匯入單個RAM使用者;或者同時選中多個RAM使用者後單擊匯入,大量匯入多個RAM使用者。
說明如果需要為RAM使用者佈建雙因子認證,您可以登入RAM存取控制台,設定RAM使用者的多因素認證MFA(Multi Factor Authentication)。具體操作,請參見為阿里雲帳號綁定MFA裝置。
建立本機使用者
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者頁面,參考下表,新增單個使用者或從檔案匯入多個使用者。
適用情境
操作說明
新增單個本機使用者
選擇匯入其他來源使用者 > 新增使用者
在新增使用者面板,配置使用者資訊,單擊建立。
配置使用者資訊需將認證方式選擇為本地認證,除配置基礎資訊外,您還可以進行以下操作。
開啟本機使用者在下次登入時必須重設密碼:勾選後,強制本機使用者下一次登入時修改密碼。該功能僅針對本機使用者可用。
設定有效期間:設定有效期間限後,在使用者列表的狀態列,未在有效期間內的使用者狀態會顯示為已到期,且使用者無法登入Bastionhost進行營運操作。
配置雙因子認證方式:開啟後,使用者登入Bastionhost時,通過密碼認證之後,還需要通過簡訊、郵件或DingTalk工作訊息通知發送動態驗證碼進行二次認證,降低安全風險。
說明開啟雙因子認證後,使用者在登入時,必須使用手機號碼或郵箱接收驗證碼進行驗證,請確保填寫的手機號碼或郵箱地址無誤。Bastionhost簡訊雙因子認證支援的國家和地區,請參見Bastionhost簡訊雙因子認證支援的國家和地區。
您填寫的手機號和郵箱僅用於接收驗證碼或警示資訊,不用於其他用途。
雙因子認證方式包括以下兩種類型:
選擇全域配置,表示目前使用者採用全域的雙因子認證方式,即您在系統設定中配置的雙因子認證方式。具體操作,請參見開啟雙因子認證。
選擇單個用戶配置,表示您需要對目前使用者單獨設定雙因子認證方式。Bastionhost支援設定以下雙因子認證方式:
不開啟雙因子認證:表示不開啟雙因子認證功能。
手機簡訊雙因子認證:表示使用目前使用者的手機簡訊進行二次認證。此時您必須為該使用者佈建手機號碼。
郵箱雙因子認證:表示使用目前使用者的郵箱進行二次認證。此時您必須為該使用者佈建郵箱地址。
DingTalk雙因子認證:表示使用目前使用者的DingTalk進行二次認證。此時您必須為該使用者佈建手機號碼。
說明如果您需要啟用DingTalk認證,請確保已符合以下要求:
已為需要進行營運操作的使用者帳號添加手機號。為使用者添加手機號的具體操作,請參見修改本機使用者基本資料。
DingTalk管理員已建立企業內部應用,並且為應用開通根據手機號姓名擷取成員資訊的介面存取權限。
已擷取企業內部應用的AppKey、AppSecret、AgentId。
手機OTP令牌認證:表示使用目前使用者的手機OTP令牌進行認證,使用者需要先綁定手機OTP令牌。
說明選擇該認證方式,您需先下載標準TOTP認證軟體,例如阿里雲App等,再通過公網地址登入Bastionhost營運門戶,在左側導覽列單擊安全設定,然後單擊手機OTP令牌頁簽,單擊設定令牌,自助掃描二維碼,綁定OTP令牌認證。有關擷取Bastionhost營運地址的更多資訊,請參見Bastionhost頁面概覽。
配置雙因子通知發送語言:
選擇全域配置,表示目前使用者採用在系統設定中配置的雙因子通知發送語言。具體操作,請參見開啟雙因子認證。
選擇單個用戶配置:支援選擇雙因子使用簡體中文或English語言發送通知。
批量從檔案匯入使用者
選擇匯入其他來源使用者列表中,選擇從檔案匯入本機使用者。
單擊下載用戶模板檔案,下載使用者模板檔案到本地,在使用者模板檔案錄入使用者資訊並儲存。
在匯入本機使用者面板,單擊點擊上傳,上傳使用者模板檔案。
在匯入使用者預覽對話方塊,選擇需要匯入的使用者,單擊匯入。
在匯入本機使用者面板,確認使用者資訊,單擊匯入本機使用者。
選中本機使用者在下次登入時必須重設密碼,表示匯入的所有使用者在下一次登入時都要重設密碼。
說明如果匯入使用者中存在與檔案中使用者或系統中已有使用者的使用者名稱重複的情況,使用者名稱重複的使用者將不會被匯入。您可以在匯入本機使用者面板上單擊詳情,查看未被匯入的使用者。
可選:如需Bastionhost發送訊息通知使用者營運地址,需要為本機使用者設定手機號或者郵箱(至少其中一項)後,勾選通知使用者營運地址。
匯入AD/LDAP使用者
匯入AD或LDAP使用者前,請確保您已經配置了AD或LDAP認證。具體操作,請參見配置AD或LDAP認證。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
選擇匯入其他來源使用者 > 匯入AD使用者或匯入LDAP使用者。
在匯入AD使用者或匯入LDAP使用者頁面,定位到目標使用者,在操作列單擊匯入。
您可以選中多個使用者進行大量匯入。
匯入IDaaS使用者
匯入IDaaS使用者前,請確保您已經配置了IDaaS認證。具體操作,請參見管理IDaaS認證。
IDaaS使用者暫不支援通過密碼認證方式使用用戶端工具登入Bastionhost進行資產營運,可以通過營運令牌認證方式使用用戶端工具進行營運,或者通過營運門戶進行營運。具體操作,請參見營運使用手冊。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
選擇匯入其他來源使用者 > 匯入IDaaS使用者。
在匯入IDaaS使用者頁面,定位到目標使用者,在操作列單擊匯入。
您可以選中多個使用者進行大量匯入。如果沒有顯示IDaaS使用者,請您單擊立即同步。
使用者登入限制
您可以根據業務情境設定使用者登入Bastionhost的來源IP和時間段限制。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者列表中,單擊需要限制使用者登入的使用者名稱。
在使用者登入限制頁簽,設定使用者登入Bastionhost的來源IP和時間段限制,單擊更新。
(白名單)只允許以下IP:只允許白名單中的來源IP在指定時間段內登入Bastionhost。
(黑名單)不允許以下IP:黑名單中的來源IP在任何時間段都不能登入Bastionhost,而黑名單以外的來源IP只能在指定時間段內登入Bastionhost。
匯出使用者
匯出使用者後,您可以通過CSV本地文檔格式查看使用者列表。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者頁面,在主機列表右上方,單擊匯出使用者。
修改本機使用者基本資料
如需修改AD/LDAP認證使用者、RAM使用者或IDaaS認證使用者的基本資料,請您前往對應的認證源進行修改。
當使用者手機號、郵箱等資訊變更時,您需要及時到控制台修改,否則使用者可能無法及時接收驗證資訊,繼而導致使用者無法登入控制台。例如,如果使用者更換手機號碼後沒有在Bastionhost上及時維護新手機號碼,登入Bastionhost時,驗證碼會發送到舊手機號,導致使用者無法收到驗證碼,無法登入Bastionhost進行營運。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
定位到需要修改資訊的使用者,單擊目標使用者名稱。
在該使用者的基本資料頁簽下,修改使用者資訊,然後單擊更新。
鎖定或解鎖使用者
如果使用者在一段時間內不需要使用Bastionhost進行營運操作,管理員可以手動鎖定使用者或通過設定觸發條件自動鎖定使用者。如果已被鎖定的使用者需要再次進行營運,管理員可以解鎖該使用者。
自動鎖定使用者
Bastionhost預設提供自動鎖定使用者的功能。當使用者連續輸入錯誤密碼超過5次時,Bastionhost會自動將其鎖定。管理員可以手動設定密碼嘗試次數,具體操作,請參見使用者配置。
手動鎖定或解鎖使用者
手動鎖定或解鎖操作會即時生效,使用者鎖定後將無法登入伺服器進行營運操作,請您謹慎操作。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者頁面,勾選需要鎖定或解鎖的使用者,在使用者列表底部,選擇 或 。
鎖定:鎖定使用者後,您將收到使用者鎖定成功的提示資訊。鎖定使用者的狀態會從正常切換為鎖定。鎖定使用者後,管理員仍可以修改該使用者的基本資料、為該使用者授權主機和資產組。
解鎖:解鎖成功後,您將收到用戶解鎖成功的提示資訊。該使用者即可正常登入Bastionhost對已授權的主機進行營運。
託管使用者公開金鑰
如果需要Bastionhost託管使用者公開金鑰,您可以在配置使用者公開金鑰後將公開金鑰託管至Bastionhost,營運員即可使用私密金鑰通過營運用戶端登入Bastionhost。具體營運流程,請參見SSH協議營運。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者列表中,單擊需要配置使用者公開金鑰的使用者名稱,在使用者詳情頁面,單擊使用者公開金鑰頁簽,然後單擊添加SSH公開金鑰。
在添加SSH公開金鑰面板上,配置公開金鑰名稱和公開金鑰內容,單擊添加SSH公開金鑰。
配置完成後,您可以在使用者公開金鑰列表中查看已託管的使用者公開金鑰。
刪除使用者
如果營運人員不再需要通過Bastionhost營運主機,您可以刪除對應的使用者,降低安全風險。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者列表中,選中需要刪除的使用者,在列表下方單擊刪除。
修改本機使用者在下次登入時重設密碼配置
在建立本機使用者時,如果忘記開啟本機使用者在下次登入時必須重設密碼,或者已經啟用該功能但需要關閉,您可以參考以下步驟進行修改。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇 。
在使用者列表中,選中目標使用者,在列表下方選擇
。在彈出的對話方塊的下拉式清單中,根據實際需求,選擇開啟或關閉,然後單擊確定。