运维堡垒机综合了系统运维和安全审计两大功能，通过代理的方式接管用户对服务器、网络设备、数据库等资产的直接访问，从而控制哪些用户可以访问哪些资产（事先防范和事中控制），以及记录、录像登录资产后做了什么事情（事后溯源），从而有效地降低运维操作风险，使得运维操作管理变得更简单、更安全。

一、普通用户使用说明

（一）Web登录

1.首次登录

打开浏览器输入堡垒机地址：https://baoleiji.snnu.edu.cn，输入堡垒机发送到邮件里的账号，以及重置后的密码，点击登陆。

首次登录会提示完善个人信息。手机号（非必填），微信号（非必填），我同意（请勾选，否则下次登录依旧会跳转至该页面）。

2.概览界面

显示当前用户最近的一些历史操作信息，如有异常请及时通知管理员。

3.Web终端

访问具体的资产（如某个服务器），请点击Web终端，然后在新窗口里点击要访问的资产，Linux和Windows系统的所有操作均可在web界面完成。

点击资产时会弹出“连接运维堡垒机”窗口，提示选择登录系统所使用的“系统用户”（即操作系统账号）和“连接方式”，连接方式选择默认的“Web CLI”即可，如果不勾选“下次自动登录”，再次访问时，会依旧弹出该窗口。

如果要重新选择连接方式，在资产上点击右键，选择“连接”，即可弹出“连接运维堡垒机”窗口。

4.个人信息

设置多因子认证：普通用户可自行选择是否开启，以增加账号安全性。

更新密码：用户可以通过此处对密码进行修改。如果忘记密码，可通过登录界面的“忘记密码”功能重新设定密码。

5.文件管理

5.1 Windows系统

5.1.1 文件上传

在我的电脑界面会看到共享盘 Guacamole。

点击窗口右侧中间的齿轮图标。

选择文件管理。

点击上传文件，上传完成后可在共享盘中看到这个文件，从共享盘中拖拽到服务器，完成上传。

5.1.2 文件下载

将资产上的文件拖入 Download 文件夹，浏览器会自动开始下载，下载到本地。

5.2 Linux系统

5.2.1 文件上传

在左侧资产树中选择已连接的资产，鼠标右击，选择 文件管理，进入文件管理页面。

默认的目录为/tmp目录，上传的文件将放置/tmp下，上传完毕后可以从/tmp拷贝到其它目录。

在页面空白处点击鼠标右键，选择“上传文件”，或将文件拖入页面，完成文件上传功能。

5.2.2文件下载

选择需要操作的文件右键点击，即可完成文件下载等操作。

（二）终端登录

1.Linux系统

对于专业的Linux运维管理员，有偏爱的SSH终端工具，可以用SSH终端工具直接登录堡垒机。

地址：baoleiji.snnu.edu.cn

端口：2222

账号和密码：堡垒机账号、密码

例如：

2.Windows系统

Windows用户在web终端弹出的“连接运维堡垒机”选择“RDP客户端”，即可调用RDP终端，首次使用会提示安装插件。

二、部门管理员使用说明

（一）创建账号

二级部门信息员用户拥有“组织管理员”角色，拥有创建管理账号、添加管理资产、对用户进行使用授权等权限。为了方便运维，部门管理员可以为本单位其它用户或第三方运维公司创建账号。点击左上的“视图”，选择“控制台”。然后依次点击左侧栏“用户管理”、“用户列表”、“创建”。

“组织角色”根据用户的不同可以授予“组织管理员”“组织审计员”、“组织用户”等角色，一般用户授予“组织用户”角色即可。用户的唯一关键字段是“用户名”和“邮件”，用户可以通过邮件找回密码。

（二）创建资产

“资产”表示要管理的服务器或设备等，资产添加时仅需资产的名称、IP、以及连接的方式（如：SSH、RDP等）。资产的节点是一个树形目录，主要用于将同类的一些资产进行分类便于后期查看或者权限的授予等，如果资产较少可以不用创建子节点，直接放在默认节点下。

用户依次点击“资产管理”、“资产列表”、“创建”，然后填入必需信息即可新建资产。

例如：

（三）创建系统用户

“系统用户”表示管理资产时所需的账号信息，例如操作系统的账号、密码。系统用户分为：普通用户、特权用户，一般使用普通用户，特权用户用于堡垒机收集资产里的相关信息等特殊用途。

要创建系统用户，依次点击“资产管理”、“系统用户”、“创建”，选择连接系统的“主机协议”，如Linux系统选择SSH、Windows选择RDP，然后填入所需信息。

例如：

（四）授权管理

“授权”通过制定相关策略将“用户”、“资产”、“系统用户”三者关联起来，为用户授予访问资产的权限，以及关联访问资产时调用的系统账号。

创建授权，依次点击“权限管理”、“资产授权”、“创建”，然后填入相关信息。

例如：

（五）使用建议

堡垒机将“资产”和“系统用户”进行了分离，即一批资产可以通过授权关联同一个系统用户，不必为每个资产逐一创建系统用户。因此，为了便于后期管理，添加资产时，一批操作系统尽量使用相同账号和密码，这样就可以使用一条授权策略将一批资产和一个系统用户关联起来，且后期在“改密计划”功能里，可以通过一条策略为一批资产实现定期修改密码。

对于临时授权的用户，可以在创建用户时设定“失效日期”；对于临时授权访问的资产，可以在“权限管理”设置授权策略时设定“开始日期”和“失效日期”。

管理员由于工作原因发生变更的，可以在工作交接时为新的管理员创建账号并授予“组织管理员”角色，然后新的管理员登录堡垒机将旧的用户删除。