在新建用戶/資源時，為什么無法選擇上級部門？

因為用戶所屬“角色”未配置“管理權限”，用戶在新建用戶或資源時，不能配置新用戶或資源的“所屬部門”為當前用戶的上級部門。

開啟角色管理權限

如何修改用戶手機號碼？

云堡壘機“手機號碼”為用戶登錄驗證、找回密碼、獲取系統動態信息的賬戶重要信息。

CBH不支持綁定海外的手機號碼。

admin用戶的手機號碼，為首次登錄時自行綁定的手機號碼。

其他用戶的手機號碼，為管理員創建用戶時或用戶首次登錄系統時，綁定的手機號碼。

用戶帳號手機號碼，支持個人修改，管理員修改，以及管理員批量修改。

用戶個人修改

1 登錄云堡壘機系統。

2 在界面右上角，單擊“個人中心 ”，進入個人中心管理頁面。

3 在基本信息頁簽，單擊右上角“編輯”，進入個人信息管理窗口。

4 配置新手機號碼。

5 單擊“確認”，即完成修改個人手機號碼。

管理員逐個修改

系統管理員admin或擁有“用戶”模塊管理權限的用戶，可逐個為其他用戶重置手機號碼。

1 登錄云堡壘機系統。

2 選擇“用戶 > 用戶管理 ”，進入用戶列表管理頁面。

3 選擇待修改手機號的用戶，單擊用戶名或“管理”，進入用戶詳情頁面。

4 在“基本信息”區域，單擊“編輯”，管理用戶基本信息。

5 配置新手機號碼。

6 單擊“確認”，即完成修改單個用戶手機號碼。

管理員批量修改

系統管理員admin或擁有“用戶”模塊管理權限的用戶，可批量為多個用戶重置手機號碼。

1 登錄云堡壘機系統。

2 選擇“用戶 > 用戶管理 ”，進入用戶列表管理頁面。

3 導出用戶信息。

選擇待修改手機號的用戶，單擊“導出”，導出用戶信息文件到本地。

4 修改用戶手機號。

將用戶信息文件保存到本地，手動修改“用戶手機號碼”，并保存。

5 導入用戶信息。

返回用戶列表管理頁面，單擊“導入”，進入導入用戶窗口。

單擊“點擊上傳”，選擇修改后的用戶信息文件并上傳。

上傳完成后，先選擇“更多選項”中的“覆蓋已有用戶”。

單擊“確定”，即完成批量修改用戶手機號碼。

云堡壘機可新建多少個用戶？

沒有限制。

云堡壘機系統的一個用戶代表一個可登錄自然人，支持新建本地用戶，批量導入用戶，以及同步AD域用戶。

系統管理員admin是系統最高權限用戶，也是系統第一個可登錄用戶。

如何創建云堡壘機數據庫運維？

云堡壘機支持通過主機運維和應用運維兩種方式管理數據庫，可管理多種協議類型的云上數據庫，具體請參考云堡壘機支持管理哪些數據庫？。主機運維方式提供增刪改查操作命令審計。應用運維方式提供操作會話視頻審計。

前提條件

• 已購買云堡壘機實例，且能正常登錄云堡壘機系統。若需通過命令運維數據庫，即通過主機運維方式管理數據庫，請購買專業版云堡壘機實例。
• 數據庫資源與云堡壘機之間網絡連接暢通。云堡壘機實例安全組已放開入方向33306端口，且數據庫安全組允許云堡壘機IP訪問。

主機運維方式

主機運維支持SSO單點登錄方式運維MySQL、SQL Server、Oracle、DB2四種協議類型數據庫。

1. 管理員創建數據庫主機資源。

   選擇“ 資源 > 主機管理 ” ，配置 “協議類型”**為DB2、MySQL、SQL Server或Oracle數據庫協議，生成相應數據庫資源賬戶。

2. 管理員授權用戶訪問控制權限。

   1. 選擇“策略 > 訪問控制策略”，授權用戶訪問數據庫資源權限，并關聯已創建的數據庫資源賬戶。
   2. 選擇“策略 > 數據庫控制策略”，針對MySQL和Oracle類型數據庫，可配置數據庫關鍵操作控制策略，通過命令攔截運維會話。

3. 運維用戶登錄數據庫資源。
   選擇“運維 > 主機運維”，授權用戶登錄數據庫資源。

   運維用戶可對數據庫資源執行增刪改查運維命令，并可在“實時會話”查看正在執行的操作命令，在歷史會話查看歷史操作命令記錄。

   運維用戶在操作關鍵命令時，觸發“動態授權”操作命令，系統自動攔截操作命令，生成數據庫授權工單。運維用戶需提交工單申請，待管理員審批工單后，才能繼續操作。

應用運維方式

只要數據庫與應用發布服務器網絡連接通暢，且應用發布服務器與云堡壘機網絡連接通暢，應用運維方式可以Web運維所有類型數據庫，支持代填數據庫的賬戶和密碼。

1. 管理員創建數據庫應用資源。
   選擇“ 資源 > 應用發布 ”**，配置數據庫類型應用，生成相應數據庫資源賬戶。
2. 管理員授權用戶訪問控制權限。
   選擇“ 策略 > 訪問控制策略 ”**，授權用戶訪問數據庫資源權限，并關聯已創建的數據庫資源賬戶。
3. 運維用戶登錄數據庫資源。
   選擇“ 運維 > 應用運維 ”**，授權用戶登錄數據庫資源。
   運維用戶可對數據庫資源運維會話視頻記錄，并可在歷史會話下載會話視頻。

如何通過云堡壘機納管RDS數據庫?

CBH支持通過云堡壘機納管同一VPC下的RDS數據庫，達到通過云堡壘機管理數據庫資源的目的。本章節為您講解通過云堡壘機納管RDS數據庫的詳細操作，如需了解納管其他主機資源的操作。

約束限制

僅專業版云堡壘機實例支持直接納管DB2、MySQL、SQL Server和Oracle引擎類型數據庫。

前提條件

• 已購買云堡壘機實例，且能正常登錄云堡壘機系統。若需通過命令運維數據庫，即通過主機運維方式管理數據庫，請購買專業版云堡壘機實例。
• RDS實例與云堡壘機之間網絡連接暢通。云堡壘機實例安全組已放開入方向33306端口，且數據庫安全組允許云堡壘機IP訪問。

獲取RDS實例的數據庫版本、內網地址、數據庫端口和管理員帳戶名

1. 登錄管理控制臺。
2. 單擊左上角的，選擇區域或項目。
3. 在左側導航樹中，單擊，選擇**“數據庫 > 云數據庫 RDS”，進入“實例管理”**頁面。
4. 單擊目標實例名稱，進入實例詳情頁面，記錄該實例的**“數據庫引擎版本”、“內網地址”、“數據庫端口”和“管理員帳戶名”。

通過云堡壘機納管RDS數據庫

1. 登錄云堡壘機系統。
2. 選擇“資源 > 主機管理”，進入主機管理列表頁面。
3. 單擊“新建”，彈出新建主機編輯窗口。
4. 單擊“下一步”，納管主機資源的賬號信息。
5. 單擊“確定”，且資源賬戶驗證通過后，返回主機列表查看新建的RDS數據庫資源。
6. 在左側導航樹中，選擇“策略 > 訪問控制策略”，配置納管的RDS數據庫的訪問控制策略。
7. 在左側導航樹中，選擇“運維 > 主機運維”，進入主機運維列表，在新建的RDS數據庫實例主機所在行的“操作”列，單擊“登錄”。
8. （可選）在彈出的對話框中，單擊**“下載單點登錄工具”，并按默認方式安裝。
9. 配置 SSO單點登錄工具 。
10. 執行完步驟8-步驟9后，再次單擊“操作”列的“登錄”。

如何修改系統資源賬戶密碼？

資源賬戶修改密碼

當主機或應用服務器上賬戶的密碼修改后，需同步修改云堡壘機納管的資源賬戶密碼。

1 登錄云堡壘機系統。

2 選擇“資源 > 資源賬戶”，進入資源賬戶列表頁面。

3 單擊待修改密碼的資源賬戶，或單擊“管理”，進入資源賬戶詳情頁面。

4 在“基本信息”區域單擊“編輯”，彈出“編輯資源賬戶信息”窗口。

5 輸入新密碼，勾選“驗證”。單擊“確認”納管資源賬戶新密碼。

6 返回資源賬戶列表頁面，查看“任務中心”消息，驗證新密碼是否正確。

也可在返回資源賬戶列表頁面后，選擇已修改密碼的資源賬戶，單擊“驗證”，驗證資源賬戶新密碼。

改密策略修改密碼

通過云堡壘機“改密策略”，可修改主機或應用資源服務器上的賬戶密碼，并將新密碼納管到云堡壘機中。

此外，您可以下載改密日志或導出資源賬戶列表，查看修改后的資源賬戶密碼。

“改密策略”修改密碼僅對密碼登錄的資源賬戶生效，對SSH Key登錄驗證的主機資源不生效。

如何設置提權登錄資源賬戶？

云堡壘機僅支持對SSH、Telnet協議主機增加提權賬戶。

運維員admin_A可以使用test賬戶登錄主機，但是test賬戶的權限較小，因此需要云堡壘機管理員為其提權。管理員成功為其提權后，運維員admin_A使用test賬戶登錄主機時，將自動切換到提權后的賬戶登錄界面。管理員配置提權登錄操作如下：

1 選擇“資源 > 主機管理”。

2 單擊目標主機對應“操作”的“更多 > 添加賬戶”。

添加資源賬戶

3 添加提權登錄賬戶，完成后單擊“確定”。

添加提權賬戶

設置提權賬戶參數說明

參數	設置說明
登錄方式	選擇“提權登錄”。
密碼	輸入目標主機上權限更高賬戶的登錄密碼。 例如，root是資源主機上權限最高的賬戶，則輸入root賬戶的登錄密碼。
切換自	選擇提權前的資源賬戶。
切換命令	此項無需修改，默認為su。

4 選擇“資源 > 資源賬戶”，可以查看新增的提權賬戶。

5 選擇“策略 > 訪問控制策略”，將提權賬戶[root->su]授權給運維員admin_A。

如何設置云堡壘機資源標簽？

前提條件

已擁有“主機管理”、“應用發布”、“主機運維”或“應用運維”功能模塊權限。

添加標簽

1 登錄云堡壘機系統。

2 選擇“資源 > 主機管理”，進入主機管理列表頁面。

3 選擇需添加標簽主機資源，單擊“添加標簽”，彈出“添加標簽”窗口。

添加標簽窗口

4 輸入需自定義標簽內容，并按“Enter”創建標簽，或在“標簽”下拉框選擇已創建標簽。

5 單擊“確定”，返回主機資源管理頁面或主機運維管理頁面，可查看該主機資源的新建標簽。

添加標簽后主機管理頁面

6 標簽添加成功后，可在資源管理列表頁的“標簽”列，單擊下拉框，通過選擇設定的標簽來檢索資源。

刪除標簽

已添加標簽的資源，可對標簽進行刪除操作，以“主機管理”為操作示例。

1 登錄云堡壘機系統。

2 選擇“資源 > 主機管理”，進入主機管理列表頁面。

3 選擇需刪除標簽主機資源，單擊“刪除標簽”，確認刪除提示信息，將刪除該主機資源所有標簽。

4 返回主機資源管理頁面或主機運維管理頁面，查看該主機資源標簽已被刪除。

“刪除標簽”將去除所選資源上的所有標簽。

當創建標簽不被任何資源使用時，將會自動被刪除。

主機或應用標簽的單個刪除，可單擊主機或應用資源列表的“管理”，在資源基本信息編輯頁面，對已有標簽單個刪除。

如何批量導入/導出主機資源？

批量導入

云堡壘機不支持批量創建主機資源，但可以通過主機“導入”的方式批量導入主機資源，包括通過Excel文件導入資源和通過云平臺導入資源。

“從文件導入”的Excel文件需配置內容，包括名稱、IP地址/域名、協議類型、端口、系統類型、所屬部門、標簽、主機描述、主機賬戶、登錄方式、特權賬戶、密碼等。

“從文件導入”方式的Excel文件，需嚴格按照表格配置要求填寫主機信息，且上傳的Excel文件可打開，不能加密。否則會導入資源失敗。

通過Excel批量導入方式，配置“自動登錄”，錄入主機資源信息，可避免生成“Empty”賬戶。

批量導出

云堡壘機還支持批量導出主機資源信息。驗證用戶后，一鍵導出全量已納管的主機資源信息，可在導出的文件中查看主機資源賬戶最新的配置信息，以及設置改密策略修改后的賬戶密碼。

導出的Excel文件內容包括資源名稱、資源地址、資源協議、資源端口、系統類型、部門、資源標簽、資源描述、賬戶名稱、登錄方式、特權賬戶、密碼明文等。

導入云主機的訪問密鑰AK/SK是什么？如何獲取？

訪問密鑰即AK/SK（Access Key ID/Secret Access Key），是用戶通過開發工具訪問云資源時的身份憑證。系統通過AK識別訪問用戶的身份，通過SK進行簽名驗證，通過加密簽名驗證可以確保請求的機密性、完整性和請求者身份的正確性。

若用戶選擇導入到云平臺時，可在“我的憑證”中管理自己的訪問密鑰。獲取方法如下：

登錄管理控制臺，在右上角用戶帳號名內，單擊“我的憑證 > 管理訪問密鑰”，進入訪問密鑰管理頁面。

用戶若選擇導入到其他云平臺，可單擊“如何獲取”，跳轉到相應云平臺，根據指導說明獲取訪問密鑰AK/SK。

系統資源賬戶有哪些狀態？

云堡壘機系統被納管資源的賬戶 狀態 ，用于標識資源賬戶的密碼是否被驗證，且驗證是否通過，不能手動修改，可通過實時驗證和自動巡檢更新。

資源賬戶共有“正常”、“異常”和“未知”三種狀態，各狀態詳細說明請參見表。

資源賬戶狀態說明

狀態	說明
正常	經過“驗證”，帳號及密碼正確，且能正常登錄的資源賬戶，顯示為“正常”狀態。
異常	經過“驗證”，賬戶或密碼不正確，可能不能正常登錄的資源賬戶，顯示為“異常”狀態。
未知	添加完資源賬戶后，未經過“驗證”的資源賬戶，顯示為“未知”狀態。

云堡壘機自動巡檢：

在每月的5號、15號和25號凌晨一點，對納管的資源賬戶進行帳號巡檢，通過檢測資源賬戶的連通性，標記資源賬戶狀態。

連通性良好，能正常登錄的賬戶顯示為“正常”。

不能連接，無法正常登錄的賬戶顯示為“異常”。

系統資源標簽可以共用嗎？

不可以。

因云堡壘機系統用戶間隔離，每個用戶自定義的資源標簽僅能個人賬戶使用，不能被CBH系統內用戶共用。

例如系統管理員admin添加的資源標簽，其他管理員或運維人員登錄系統后，不能看到admin為資源添加的標簽，反之亦然。

是否支持手動輸入密碼的方式登錄資源？

用戶在不希望云堡壘機托管密碼時，可將登錄方式設置為手動輸入密碼的登錄方式，具體操作如下：

1 登錄云堡壘機系統。

2 選擇“策略 > 訪問控制策略”，進入訪問控制策略列表管理頁面。

3 單擊“新建”或“關聯”。

4 在配置關聯資源賬戶時，選擇Empty賬戶。

5 在“運維 > 主機運維”頁面登錄該主機，需要手動輸入資源賬戶名和相應密碼。

為什么不能識別批量導入的云主機？

受云堡壘機版本限制，當用戶云堡壘機“設備系統”版本低于V3.3.0.0時，導入的云主機可能會識別失敗，不能獲取主機信息。

您可以先選擇升級系統到最新版本后，再次導入云主機。也可以將云主機信息轉入Excel表格。

如何通過云堡壘機來訪問內網提供的服務？

如果您需要通過云堡壘機來訪問內網提供的服務，請參考以下步驟進行操作。

操作步驟

1 購買Windows類型主機或者Linux服務器、鏡像、企業授權碼、客戶端License等資源，用于部署應用發布服務器。

2 安裝應用服務器

3 添加應用資源

如何在云堡壘機上添加IPV6地址的服務器？

堡壘機要支持添加IPV6地址的服務器 ，必須在購買堡壘機實例時，選擇開啟IPV6的子網。

Empty帳戶是什么帳戶？

當添加主機或應用未納管帳戶和密碼時，默認生成一個“Empty”帳戶，登錄“Empty”資源賬戶時需手動輸入帳戶名和相應密碼。

動態授權的作用及操作流程是什么？

動態授權是授權用戶運維操作觸發規則集，系統對字符命令或數據庫會話操作進行攔截，自動生成授權工單。授權用戶若需繼續執行操作，需管理員批準工單。

以命令控制策略的動態授權為例。

1 管理員用戶登錄云堡壘機，選擇“策略 > 命令控制策略”，新建字符（SSH或Telnet）命令集和命令控制策略。

命令控制策略“執行動作”需選擇“動態授權”。

配置動態授權

2 命令控制策略設置成功后，授權用戶登錄云堡壘機，登錄目標主機，執行相關命令觸發命令攔截，生成命令授權工單。

動態攔截

3 授權用戶選擇“工單 > 命令授權工單”，查看并提交工單。

4 管理員或上級部門領導可以在“工單 > 工單審批”，查看工單并批準工單。

5 獲得批準后，授權用戶即可成功運行相關命令。

獲取授權

如何配置SSH Key登錄主機資源？

云堡壘機支持配置SSH Key登錄主機資源，主機資源配置SSH Key后優先驗證SSH Key登錄資源。

生成SSH Key

1 生成認證Key。

登錄主機，執行以下命令，生成SSH Key。

ssh-keygen **–**t rsa

回顯信息如下：

[root@Server ~]# ssh-keygen -t rsaGenerating public/private rsa key pair.

可根據需要配置SSH Key的文件名和密碼，回顯信息示例如下：

Enter file in which to save the key (/root/.ssh/id_rsa):置空或輸入將生成的文件名，文件保存目錄為/root/.ssh。 
Enter passphrase (empty for no passphrase):置空或根據需要輸入密碼  
Enter same passphrase again:確認輸入密碼 
Your identification has been saved in /home/fdipzone/.ssh/id_rsa. 
Your public key has been saved in /home/fdipzone/.ssh/id_rsa.pub. 
The key fingerprint is: f2:76:c3:6b:26:10:14:fc:43:e0:0c:4d:51:c9:a4:b2 root@Server 
The key's randomart image is: 
+--[ RSA 2048]----+ 
|    .+=*         | 
|  .  += +        | 
|   o   +         | 
|  E . . o        | 
|    .S.          | 
|      .o .       | 
|       . +       | 
|       ..        | 
|       . +.      | 
+-----------------+

參數**-t rsa**表示使用rsa算法進行加密，也可以使用dsa加密算法加密，命令如下：

ssh-keygen -t dsa

2 執行以下命令，查看SSH Key文件。

cd /root/.ssh? （文件保存目錄） /

在當前用戶SSH Key文件保存目錄下，查看已生成私鑰id_rsa和公鑰id_rsa.publisher文件，配置密碼后還可查看到私鑰密碼key和公鑰密碼key.publisher文件。

回顯信息示例如下：

[root@Server ~]# cd /root/.ssh/ 
[root@Server ~]# ll 
total 16 
-rw------- 1 root root    0 Oct 14 15:47 authorized_keys 
-rw------- 1 root root 1679 Nov 15 09:45 id_rsa 
-rw------- 1 root root  430 Nov 15 09:45 id_rsa.publisher 
-rw------- 1 root root 1766 Nov 15 09:48 key 
-rw------- 1 root root  430 Nov 15 09:48 key.publisher

3 在當前用戶/.ssh目錄下，執行以下命令，拷貝公鑰內容到authorized_keys文件中。

cat id_rsa.pub >>authorized_keys

4 打開主機SSH Key登錄驗證方式。

執行以下命令，修改sshd_config配置文件參數，生效“RSAAuthentication”和“PubkeyAuthentication”，授權SSH Key驗證。

vim /etc/ssh/sshd_config

修改完后按“Esc”，輸入**:wq!**命令并按“Enter”，保存修改并退出。

執行以下命令，重啟sshd服務。

service sshd restart

回顯如下信息表示sshd服務重啟成功。

Redirecting to /bin/systemctl restart sshd.service

配置SSH Key信息

1 登錄云堡壘機系統。

2 選擇“資源 > 主機管理”，新建已生成SSH Key的主機資源。

已被納管的目標主機，可單擊“管理”，在主機信息詳情頁“添加”資源賬戶。

3 單擊“新建”配置SSH主機資源，配置“主機賬戶”和“密碼”。

配置SSH Key

4 拷貝生成的私鑰id_rsa文件內容和私鑰密碼，配置“SSH Key”和“passphrase”。

云堡壘機系統可選擇性配置“passphrase”，當未配置“passphrase”時：

未生成私鑰密碼情況下，登錄主機無需輸入密碼。

已生成私鑰密碼情況下，每次登錄主機需手動輸入私鑰密碼。

5 單擊“確定”，新增擁有SSH Key的主機資源賬戶。

“批量導入”主機資源請正確輸入SSH Key私鑰和Passphrase密碼，不要引入其他字符或空格。

建議批量導入的資源先僅配置主機賬戶和密碼登錄，主機導入云堡壘機系統后，再修改“資源賬戶”添加私鑰和密碼。

6 配置訪問控制策略。

將配置了SSH Key的主機資源賬戶授權給用戶。

7 授權用戶登錄資源主機。

如何設置個人網盤空間大小？

云堡壘機“主機網盤”屬于用戶系統個人空間，即系統個人網盤。當用戶個人網盤空間內存不足時，可由管理員配置“個人網盤空間”，來解決個人網盤內存空間不足的問題。

設置“個人網盤空間”后，默認為系統每個用戶預置相同大小的個人網盤空間。

設置“個人網盤空間”和“網盤總空間”為零，表示在系統數據盤內存充足情況下，不限制用戶使用個人網盤，個人網盤空間可無限使用。

前提條件

用戶已獲取“系統”模塊管理權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“系統 > 數據維護 > 存儲配置”，進入系統存儲配置管理頁面。

3 查詢“網盤空間”區域“個人網盤空間”和“網盤總空間”配置項。

“個人網盤空間”和“網盤總空間”默認值分別為100MB和5120MB。

4 單擊“網盤空間”區域“編輯”，彈出“編輯網盤空間”窗口。

5 修改“個人網盤空間”為目標數值。

6 單擊“確定”，返回查看“個人網盤空間”設置成功。

如何解決短信限制問題？

堡壘機贈送的短信服務有以下限制：

1分鐘內發送短信不超過1條。

1小時內發送短信不超過5條 。

1天內發送短信不超過15條。

如果不夠使用的話，建議修改短信網關配置，設置為“自定義”短信網關。