管理员在堡垒机控制台上为运维员创建用户账号后,运维员可以使用账号登录堡垒机进行运维工作。本文介绍如何在堡垒机控制台新建用户、修改用户信息、锁定或解锁用户、托管用户公钥以及删除用户。

用户类型

堡垒机支持导入阿里云RAM用户、新建堡垒机本地用户、导入AD用户和导入LDAP认证用户。以下为您介绍堡垒机支持的用户类型及其使用场景。

用户类型使用场景
RAM用户为运维员创建阿里云RAM用户后,您可以通过导入RAM用户的方式一键导入RAM用户,作为登录堡垒机的账号。
堡垒机本地用户您可以通过单个创建或批量从文件导入的方式,为运维员创建登录堡垒机的本地账号。
AD或LDAP用户您可以在堡垒机上配置AD或LDAP认证,把AD或LDAP用户同步到堡垒机后,将AD用户导入堡垒机作为运维员登录堡垒机的账号。

导入AD或LDAP用户前,请确保您已经完成了AD或LDAP认证。具体操作,请参见配置AD、LDAP认证

新建用户

您可以根据业务场景,通过导入阿里云RAM用户、新建堡垒机本地用户、导入AD用户、导入LDAP认证用户方式,为运维员创建用于登录堡垒机的用户账号。

导入RAM用户

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,单击导入RAM用户
  4. 如果您还未创建RAM用户,您可以在导入RAM用户页面,单击新建RAM用户,根据页面提示新建RAM用户。
    新建RAM用户的具体操作,请参见创建RAM用户
  5. 导入RAM用户页面,在目标RAM用户的操作列单击导入,导入单个RAM用户;或者同时选中多个RAM用户后单击导入,批量导入多个RAM用户。
    说明 如果需要为RAM用户设置双因子认证,您可以登录RAM访问控制台,设置RAM用户的多因素认证MFA(Multi Factor Authentication)。具体操作,请参见为阿里云账号启用多因素认证

新建本地用户

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 参考下表信息,单个新增本地用户或批量从文件导入本地用户。
    适用场景操作说明
    单个新增本地用户
    1. 选择导入其他来源用户 > 新增用户
    2. 新增用户面板,配置用户信息,单击创建
      配置用户信息需将认证方式选择为本地认证,除配置基础信息外,您还可以进行以下操作。
      • 开启本地用户在下次登录时必须重置密码:勾选后,强制本地用户下一次登录时修改密码。该功能仅针对本地用户可用。
      • 设置有效期:设置有效期限后,在用户列表的状态列,未在有效期内的用户状态会显示为已过期,且用户无法登录堡垒机进行运维操作。
      • 配置双因子认证方式:开启后,用户登录堡垒机时,通过密码认证之后,还需要通过短信、邮件或钉钉工作消息通知发送动态验证码进行二次认证,降低安全风险。
        说明
        • 开启双因子认证后,用户在登录时,必须使用手机号码或邮箱接收验证码进行验证,请确保填写的手机号码或邮箱地址无误。堡垒机短信双因子认证支持的国家和地区,请参见堡垒机短信双因子认证支持的国家和地区
        • 您填写的手机号和邮箱仅用于接收验证码或告警信息,不用于其他用途。
        双因子认证方式包括以下两种类型:
        • 选择全局配置,表示当前用户采用全局的双因子认证方式,即您在系统设置中配置的双因子认证方式。具体操作,请参见开启双因子认证
        • 选择单个用户配置,表示您需要对当前用户单独设置双因子认证方式。堡垒机支持设置以下双因子认证方式:
          • 不开启双因子认证:表示不开启双因子认证功能。
          • 手机短信双因子认证:表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。
          • 邮箱双因子认证:表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。
          • 钉钉双因子认证:表示使用当前用户的钉钉进行二次认证。此时您必须为该用户设置手机号码。
            说明 如果您需要启用钉钉认证,请确保已符合以下要求:
            • 已为需要进行运维操作的用户账号添加手机号。为用户添加手机号的具体操作,请参见修改用户信息
            • 钉钉管理员已创建企业内部应用,并且为应用开通根据手机号姓名获取成员信息的接口访问权限
            • 已获取企业内部应用的AppKeyAppSecretAgentId
          • 手机OTP令牌认证:表示使用当前用户的手机OTP令牌进行认证,用户需要先绑定手机OTP令牌。
            说明 选择该认证方式,您需先下载标准TOTP认证软件,例如阿里云App等,再通过公网地址登录堡垒机运维门户,在左侧导航栏单击安全设置,然后单击手机OTP令牌页签,单击设置令牌,自助扫描二维码,绑定OTP令牌认证。有关获取堡垒机运维地址的更多信息,请参见堡垒机页面概览
    批量从文件导入本地用户
    1. 选择导入其他来源用户列表中,选择从文件导入本地用户
    2. 单击下载用户模板文件,下载用户模板文件到本地,在用户模板文件录入用户信息并保存。
    3. 导入本地用户面板,单击点击上传,上传用户模板文件。
    4. 导入用户预览对话框,选择需要导入的用户,单击导入
    5. 导入本地用户面板,确认用户信息。

      选中本地用户在下次登录时必须重置密码,表示导入的所有用户在下一次登录时都要重置密码。

    6. 单击导入本地用户
    说明 如果导入用户中存在与文件中用户或系统中已有用户的用户名重复的情况,用户名重复的用户将不会被导入。您可以在导入本地用户面板上单击详情,查看未被导入的用户。
  4. 可选:如需堡垒机发送消息通知用户运维地址,需要为本地用户设置手机号或者邮箱(至少其中一项)后,勾选通知用户运维地址

导入AD用户

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 选择导入其他来源用户 > 导入AD用户
  4. 导入AD用户页面,在目标AD用户的操作列单击导入,导入单个AD用户;或者同时选中多个AD用户后单击导入,批量导入多个AD用户。

导入LDAP用户

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 选择导入其他来源用户 > 导入LDAP用户
  4. 导入LDAP用户页面,在目标LDAP用户的操作列单击导入,导入单个LDAP用户;或者同时选中多个LDAP用户后单击导入,批量导入多个LDAP用户。

修改用户信息

当用户手机号、邮箱等信息变更时,您需要及时到控制台修改,否则用户可能无法及时接收验证信息,继而导致用户无法登录控制台。例如,如果用户更换手机号码后没有在堡垒机上及时维护新手机号码,登录堡垒机时,验证码会发送到旧手机号,导致用户无法收到验证码,无法登录堡垒机进行运维。

说明 仅支持修改本地用户、AD认证用户、LDAP认证用户的信息,不支持修改RAM用户的信息。修改RAM用户的信息,具体操作,请参见修改RAM用户基本信息
  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 定位到需要修改信息的用户,单击目标用户名。
  4. 在该用户的基本信息页签下,修改用户信息,然后单击更新

锁定或解锁用户

如果某个用户在一段时间内无需使用堡垒机进行运维,您可以在用户页面锁定该用户,被锁定的用户将无法登录服务器进行运维操作。如果已锁定的用户再次需要进行运维,您可以解锁该用户。

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,选中需要锁定或解锁的用户,然后单击锁定解锁
    说明 锁定或解锁操作会即时生效,请您谨慎操作。
    以下是对锁定和解锁操作的说明。
    • 锁定:锁定用户后,该用户无法登录已授权主机进行运维。在用户列表的状态列,已锁定用户的状态会从正常切换为锁定。锁定用户后,您仍可以修改该用户的基本信息、为该用户授权主机和主机组。
    • 解锁:解锁成功后,您将收到用户解锁成功的提示信息。该用户即可正常登录已授权的主机进行运维。

托管用户公钥

如果需要堡垒机托管用户公钥,您可以在配置用户公钥后将公钥托管至堡垒机,用户即可使用私钥通过运维客户端登录堡垒机。

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 在用户列表中,单击要配置用户公钥的用户名,并在用户详情页面,单击用户公钥页签,然后单击添加SSH公钥
  4. 添加SSH公钥面板上,配置公钥的信息,包括公钥名称、用户公钥备注
  5. 单击下方的添加SSH公钥
    配置完成后,您可以在用户公钥列表中查看已托管的用户公钥。

删除用户

如果运维人员不再需要通过堡垒机运维主机,您可以删除对应的用户,降低安全风险。

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 在用户列表中,选中需要删除的用户,然后单击删除