在堡垒机中新建主机后,您可以将您主机已有的账户托管至堡垒机。创建主机账户后,堡垒机不会将主机账户同步到主机或ECS实例。您可以将主机账户授权给堡垒机用户实现免密登录。本文将介绍如何在堡垒机中新建、修改和删除主机账户。
新建主机账户
登录堡垒机系统。具体操作,请参见登录系统。
在左侧导航栏,选择。
在主机页面,为目标主机新建主机账户。
单击目标主机操作列的新建主机账户。
说明请确认服务器上已经创建了对应的操作系统账户,堡垒机不会将主机账户同步到ECS实例或其他来源主机中。
在新建主机账户面板上,设置账户的协议、登录名和认证类型等参数,单击创建。
说明您可以单击验证密码,测试主机账户的用户名和密码是否正确。验证密码报错的解决方案,请参见堡垒机新建主机账户验密报错,该如何解决?。
配置项说明。
配置项面板
配置项
说明
登录名
服务器上账户的登录名。
是否为特权账户
执行改密任务时,可使用主机中的特权账户对普通账户进行改密。
说明暂时仅支持SSH协议账户使用特权账户执行密码轮转。
如果是V3.2.47版本之前升级的实例,升级后会自动识别存量主机账户
root、administrator为特权账户。如果是升级后新建的账户,需要手动勾选是否为特权账户,如需批量操作可通过API或者从文件导入的形式创建,请参见主机账户(仅支持V3.2.17及以上版本使用)。
认证类型
包含密码、私钥、共享密钥三种认证类型。
密码:验证密码可以确认托管账户的有效性,可根据界面提示排查问题,验证密码失败请参见堡垒机连接服务器相关问题。
私钥:私钥认证目前仅支持
ssh-keygen -m PEM -t rsa生成的密钥和Ed25519格式密钥。共享密钥:选择关联已配置的共享密钥。
仅开启SFTP权限
开启本配置后,该账户将不允许通过SSH权限登录,请谨慎配置。
使用特权账户改密
该账户托管到堡垒机的改密任务中执行改密时,将使用主机中的特权账户对该账户进行改密,前提为该主机的特权账户及其密码需已添加到堡垒机中
说明暂时仅支持SSH协议账户使用特权账户执行密码轮转。
在主机列表中选中多个要新建主机账户的主机。
在列表下方依次选择。
在新增账户对话框中设置认证类型、协议、登录名等参数,单击确定。
说明新建主机账户时,如果您的主机账户的协议为SSH,则支持设置仅开启主机账户的SFTP权限。如果您设置了仅开启SFTP权限,该账户将不允许通过SSH权限登录,请谨慎配置。
堡垒机默认开启允许用户未授权主机账户访问主机,即当用户未授权主机账户时,可使用Empty账户,手动输入主机账户密码登录服务器,当设置关闭时,未授权主机账户将无法登录。如需关闭,请参见运维配置。
修改主机账户信息
登录堡垒机系统。具体操作,请参见登录系统。
在左侧导航栏,选择。
在主机页面,定位到需要修改账户信息的主机并单击主机名称。
在主机账户页签,定位到需要修改的账户并单击其登录名。
在编辑主机账户面板,修改账户信息,单击保存。
删除主机账户
如果不需要使用某个主机账户,您可以参考以下步骤删除该账户:
登录堡垒机系统。具体操作,请参见登录系统。
在左侧导航栏,选择。
在主机页面,定位到需要删除账户的主机并单击主机名称。
在主机账户页签,选中需要删除的账户,单击列表下方的删除。
在弹出的对话框中,单击删除。