使用客户端登录堡垒机-九游平台

通过ssh客户端登录堡垒机

用户获取资源运维权限后，可通过ssh客户端直接登录进行运维操作。

• 支持使用ssh客户端运维的资源，包括ssh、telnet和rlogin协议类型主机资源。
• 推荐使用客户端securecrt 8.0及以上版本、xshell 5及以上版本。

1. 打开本地ssh客户端工具，选择“文件 > 新建”，新建用户会话。
2. 配置会话用户连接。
   • 方式一

     在新建会话弹出框，选择协议类型，输入系统登录ip地址、端口号（2222），单击“确认”。再输入系统用户登录名，单击“连接”，连接会话。

   • 方式二
     • 在新的空白会话窗口，执行登录命令：协议类型 用户登录名@系统登录ip 端口，例如执行ssh admin@10.10.10.10 2222，登录后选择目标服务器。
     • 在新的空白会话窗口，执行登录命令：协议类型 堡垒机用户登录名@主机账户名@linux主机ip@堡垒机ip 端口，例如执行ssh admin@10.10.10.10@10.10.10.101 2222，可直接登录目标服务器。
   • 方式三
     • 在新的空白会话窗口，执行登录命令：协议类型 用户登录名@系统登录ip -p 端口，例如执行ssh admin@10.10.10.10 -p 2222，登录后选择目标服务器。
     • 在新的空白会话窗口，执行登录命令：协议类型 堡垒机用户登录名@主机账户名@linux主机ip@堡垒机ip -p 端口，例如执行ssh admin@10.10.10.10@10.10.10.101 -p 2222，可直接登录目标服务器。
   

   系统登录ip地址指堡垒机的ip地址（私有ip地址或弹性ip地址），且本地pc与该ip地址的网络连接正常。

   

3. 用户身份验证。

   根据命令提示，在新建会话窗口，输入用户身份验证信息。

   ssh客户端登录认证支持“密码登录”、“公钥登录”、“手机短信”、“手机令牌”和“动态令牌”方式。其中“手机短信”、“手机令牌”和“动态令牌”方式，需配置用户多因子认证，详情请参考。

   表1 ssh客户端登录验证说明

   登录方式	登录说明	登录方式配置说明
   密码登录	输入堡垒机系统的用户密码。	默认登录方式。 “ad域认证”、“radius认证”、“ldap认证”或“azure ad认证”用户登录密码为远程服务器用户密码，详情请参见。
   公钥登录	输入用于验证登录的私钥和私钥密码，登录验证成功后，再次登录时，该用户在ssh客户端可以免密登录。	用户需要先生成用于验证登录的公私钥对，并在堡垒机系统内的“个人中心”处将ssh公钥添加到堡垒机系统中，具体的操作请参见。
   手机短信	“密码登录”或“公钥登录”验证成功后，选择“短信验证码”方式，输入手机短信验证码。	需已为用户账号配置可用手机号码。
   手机令牌	“密码登录”或“公钥登录”验证成功后，选择“手机令牌otp”方式，输入手机令牌验证码。 说明： 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。	需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统，详情请参考。
   动态令牌	“密码登录”或“公钥登录”验证成功后，选择“动态令牌otp”方式，输入动态令牌验证码。	需已为用户签发动态令牌，详情请参考。

4. 登录到堡垒机系统，可查看系统简要信息，并运维已授权的资源。
   

   除了使用堡垒机用户密码直接登录外，还支持使用api方式登录堡垒机指定的资源账户，在获取url地址后通过url地址直接登录即可。

通过mstsc客户端登录堡垒机

用户获取资源运维权限后，可通过mstsc客户端直接登录进行运维操作。

1. 打开本地远程桌面连接（mstsc）工具。
2. 在弹出的对话框中，“计算机”列，输入“堡垒机ip:53389”。
   图1 配置计算机
   
3. 单击“连接”，在登录页面完成登录。
   • username：堡垒机用户登录名@windows主机资源账户名@windows主机资源ip:windows远程端口（默认3389），例如admin@administrator@192.168.1.1:3389。
     

     “windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户，请参考章节。

   • password：输入当前堡垒机的用户密码。