浙江齐治科技有限公司
其中totp认证,是动态令牌认证。Shterm已经内置了totp认证服务器,只需要再部署相应的令牌即可:
3.5 访问控制
Shterm可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细的访问控制规则,设置完成后,用户只能按照规则设置来访问相应资源,彻底杜绝了非授权访问所带来的问题。
3.6 权限控制
Copyright ? 2005-2012 齐治科技 第14页
浙江齐治科技有限公司
对于Unix设备来说,权限的多少取决于用户可以执行的命令。所以,针对操作指令的控制才是核心。
Shterm可以针对超级用户(root)做操作权限的控制,当多人同时使用一个系统账号时,Shterm可以对同一个系统账号进行权限再分配,保证使用同一个系统账号的不同用户拥有不同的权限,这就彻底解决了共享账号和root用户权限的问题,真正实现细粒度的操作权限控制。
对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种状态:允许,拒绝,禁止。
对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统有影响。
Copyright ? 2005-2012 齐治科技 第15页
浙江齐治科技有限公司
3.7 金库模式 3.7.1 实时监控与阻断
对于普通用户登录到目标设备上正在进行的操作,审计管理员可以再Shterm的WEB界面做到实时监控,做到边操作边审计,真正实现实现操作透明;
同时对于用户的违规操作,审计管理员还可以做到实时切断。 具体如下图:
Copyright ? 2005-2012 齐治科技 第16页
浙江齐治科技有限公司
3.7.2 双人授权访问
Shterm具备核心设备登录时候的双人授权功能(针对不同的访问控制策略分配不同的双人授权人)。普通用户如想登录该设备,必须经过相关管理人员的授权才行。
3.7.3 双人复核操作
Shterm对于在核心设备上的敏感指令操作,需要经过第二个人复核后,才能被执行。
3.8 会话共享
Shterm具有图形操作会话共享功能,可让多位运维人员对同一个会话进行共享操作,例如用户A在设备登录的过程中需要用户B输入后半段的密码,这时用户A可以在WEB界直接申请,B收到申请后就可以登录同一台设备完成分段密码输入的工作,并不需要两人同在一个地方。
Copyright ? 2005-2012 齐治科技 第17页
浙江齐治科技有限公司
3.9 密码托管 3.9.1 单点登录
对于目标设备的访问账号密码,可以由Shterm进行集中托管,只要配置管理员在相应设备的密码管理中将目标设备的账号密码添加上去即可;
使用了密码托管功能后,用户以后访问目标设备时,只需要记住自己的Shterm上的账号和密码,即可通过Shterm自动登录目标设备。
3.9.2 自动改密
Shterm可以灵活配置目标设备密码的修改策略,实现密码的批量定期自动修改,修改后的结果可以以加密邮件方式发送给密码保管员,从而实现密码的集中管理,同时密码保管员也可以随时在系统的WEB界面打包备份设备的密码到本地,提高改密功能可用性。
Copyright ? 2005-2012 齐治科技 第18页