SDM开发人员使用操作手册v11.docx

1、SDM开发人员使用操作手册v11安全开发管理系统环境使用人员培训手册中国建设银行成都开发中心二零一一年十二月文档管理信息表主 题环境使用人员培训手册内 容安全开发管理系统使用操作说明关 键 字参考文档提交时间撰 写 人文档修改记录表修改人修改时间修改内容目 录1 简介 41.1 名词解释 41.2 访问服务器地址与端口设置 52 TELNET协议操作说明 62.1 登录访问服务器 62.2 修改静态口令 72.3 主菜单介绍 82.4 所有资源列表 92.5 访问目标主机 102.6 帮助信息 123 SSH协议操作说明 133.1 虚拟终端配置方法 133.2 主界面 164 FTP协议操作

2、说明 184.1 登录访问服务器 184.2 转接后台主机 194.3 图形界面的ftp客户端 194 RDP协议操作说明 231 简介安全开发管理系统为环境使用人操作主机提供安全的访问渠道，并且对环境使用人通过安全开发管理系统在主机上的操作行为和访问记录进行实时监控审计。在原有的访问模式下，访问人员直接登录主机进行远程操作访问，而在安全开发管理系统上线后，访问人员须先连接到访问服务器上进行身份认证，然后选择要访问的主机地址和相应的系统帐户，由访问服务器完成从本地到后台主机之间的自动转接。与原有的访问模式相比，对于环境使用人而言，操作流程上仅仅在连接后台主机时有所变化，在连接到后台主机后的操作

3、方式和过程则完全相同。本文档描述远程登录的详细操作过程。1.1 名词解释 系统帐户后台主机上的登录用户，由操作系统创建，具有操作体统所系统赋予的用户名、组别、权限和密码等等。 通行证帐户安全开发管理系统为环境使用人分配的帐户，用于在访问服务器上的身份验证以及访问权限控制。环境使用人员先以通行证帐户在访问服务器上通过身份验证后再选择要登录的后台主机地址以及在后台主机上的系统帐户。1.2 访问服务器地址与端口设置IP地址： 访问服务器1： 128.160.8.93访问服务器2： 128.160.8.94端口： telnet协议 1282 ssh协议 1281 ftp协议 1298 rdp协议 13

4、389注意：1.rdp运维工具： 用户远程桌面运维使用。解压直接运行rdp工具数据访问服务器ip，运行即可。2.filezilla工具 用于ftp和sftp协议的运维工具，解压后在站点中设置访问服务器ip以及登录端口即可。该压缩包中配置了两个连接站点。3. 说明：开发人员第一次登陆SDM时，需要用telnet方式登陆然后设置静态口令。2 TELNET协议操作说明安全开发管理系统提供标准的telnet协议的安全访问渠道，任何基于标准telnet协议的客户端以及终端仿真软件，不论是操作系统的telnet命令还是NetTerm、CRT、SecureCRT等，都可以直接通过访问服务器连接到后台主机。访

5、问人员在需要对系统进行开发操作时，需将telnet的目标地址改成访问服务器的地址先建立到访问服务器的连接。在本操作手册中只描述连接到访问服务器后的交互过程，而不再关注系统访问人员所采用的客户端软件。2.1 登录访问服务器访问人员首先通过telnet工具连接到访问服务器，如：telnet 128.160.8.93 1282在终端画面上可以看到输入用户名的提示，此时输入通行证帐户。如下图“test”。回车后访问服务器提示输入口令：2.2 修改静态口令通行证账户的初始密码为空，当访问人员使用新的通行证第一次登录成功访问服务器后，请立即修改静态口令。请根据图中提示修改密码，并注意新密码必须大于6位。2

6、.3 主菜单介绍通行证帐户认证通过后，访问服务器将在终端上显示该用户的通行证号码（安全开发管理系统的内部识别代码），并在下一行显示“通行证检查通过”等信息。 然后列出该用户可以访问的目标主机资源列表。系统访问人员也可以输入以下粗体字母选择其他操作：“a. all - 显示所有应用服务器组的主机资源”，若系统访问人员选择的分组包含可访问主机资源数大于10，会出现这个菜单项。按“a”，将浏览到该组包含的所有主机资源列表，并可以从中选择一个进行访问。“h. help - 帮助信息”，主要说明在浏览主机资源列表时的移动、查找及连接目标主机的方法。 “x. Exit - 退出”，按“x”，中断对后台主机

7、的连接，退出安全开发管理系统。2.4 所有资源列表若开发系统人员的可访问资源数超过15个，系统访问人员在主菜单中输入“a”后回车，控制台将显示该分组下包含的能够访问的所有主机资源列表。例如，访问资源列表后，按“a”并回车，显示通行证账户包含的能够访问的所有主机资源信息，如下图所示：通行证此时只需要记住访问资源前面的序号，回到主界面后输入该序号，即可以相应的系统帐户访问该目标主机。在浏览过程中的翻页、查找操作，能够帮助通行证快速命中目标。通行证可以按目标主机系统用户名、按目标IP地址、按主机名字，按转接访问服务器等等信息来查找。不再需要逐字录入IP地址和系统帐户。在浏览主机资源列表时，可使用如下

8、快捷键（均为小写）： k 上移一行 j 下移一行 ctrl-b 上翻一页 ctrl-f 下翻一页 /str 查找字符串“str” n 向下重复查找 N 向上重复查找2.5 访问目标主机1) 输入序号系统访问人员登录访问服务器后，打开可访问主机资源列表后，此时只需要记住访问资源前面的序号，回到显示资源列表界面后输入该序号，即可以相应的系统帐户访问该目标主机。例如，系统帐户root需要以SSH协议访问目标主机128.64.96.174，输入该访问资源前面的序号“7”后回车，即可建立到该目标主机的连接。2) 直接输入主机资源开发系统人员登录访问服务器后，当清楚自己的访问资源时，可直接输入访问资源信息

9、，访问远程目标主机。如下图所示：注意：若直接输入的访问资源不在该用户的可访问资源列表中，将不能访问该目标主机。当试图连接该系统访问人员所有可访问资源列表中不存在的主机资源时，系统将自动拒绝与目标主机建立连接。2.6 帮助信息通行证输入“h”，控制台将显示帮助信息。3 SSH协议操作说明安全开发管理系统提供标准的ssh协议的安全访问渠道，任何基于标准ssh协议的客户端以及终端仿真软件，不论是操作系统的ssh命令还是SecureCRT等，都可以直接通过访问服务器连接到后台主机。访问人员在需要登录后台主机时，只需将ssh的目标地址改成访问服务器的地址，目标端口改成1281，并以通行证帐户以及口令作为

10、ssh登录访问服务器时所输入的帐户名与口令即可登录到访问服务器上。访问人员登录到访问服务器上并成功通过身份验证后所见到的主菜单界面和操作选项与telnet协议基本相同。3.1 虚拟终端配置方法对于大多数用户，会采用某个虚拟终端软件，以ssh的方式来访问主机。这里以SecureCRT为例子，介绍对虚拟终端软件进行ssh登录的配置。选中“文件-连接”菜单项：在下面的窗口中，点击红圈所指示的按钮“新建会话”在“协议”栏目中，按选择SSH2协议，点击“下一步”。“主机名”填写访问服务器地址，“端口”设置成访问服务器提供的端口1281，“用户名”填写通行证帐户。再点击“下一步”。给这个新建的会话一个直观

11、的名字，和相关描述信息（可选填），点击“完成”。以后，就可以通过SecureCRT的菜单，直接以ssh方式连接到访问服务器。3.2 主界面在访问服务器认证通行证帐户身份通过后将出现如下屏幕界面：4 FTP协议操作说明4.1 登录访问服务器在CMD窗口运行ftp后在ftp提示符下设置目标地址和端口，如下图所示：此时输入通行证帐户和口令认证通过后如果该通行证帐户可以使用多个目标地址或者系统帐户时，返回的输出信息将会如下图所示：输入命令“cd 主机前的序号”后即可以指定的系统帐户转接登录到该主机。如：在上图示例中输入如下命令即可以root用户的身份登录到ip地址为128.160.8.91的主机上。如

12、果该通行证帐户只能使用唯一指定的系统帐户和后台主机时，在访问服务器认证维护管理帐户的身份通过后将自动为其建立到指定的系统帐户和后台主机的服务转接。此外也可输入“cd usernamehostip:port”后回车，在访问权限检查通过后即可登录该主机。其中:port是登录主机的ftp协议端口号，默认为21。4.2 转接后台主机在建立到后台主机的ftp连接后，要求访问人员输入“user 用户名”并在提示输入口令后输入对应的口令。在成功登录后台主机以后，所有ftp操作方式和过程与标准的ftp完全相同。4.3 图形界面的ftp客户端因为安全开发管理系统的ftp转接服务在建立ftp连接的初期复用了标准f

13、tp协议的一些命令，所以当通行证帐户有多个可访问目标时存在一段非标准的操作过程。为了便于管理维护人员的操作，安全开发管理系统提供了图形化的FTP客户端工具。该客户端工具是基于FileZilla改编的建行专用版绿色免费软件，可同时支持标准的FTP/SFTP以及访问服务器模式的FTP/SFTP操作。将ftp工具压缩包解压到任意一个目录下，在该目录下运行FileZilla.exe命令，或者双击FileZilla.exe的图标后，即可打开FTP客户端主窗口。从菜单中选择“文件-站点管理器.”或者按快捷键“Ctrl-S”即可打开站点管理对话框。在站点管理对话框中输入新建站点的名称、主机地址、端口、管理维

14、护人员帐户（登录用户名），服务类型选择“FTP”。如下图所示：设置站点后，选择连接，将弹出口令输入对话框。输入认证口令后即可连接到访问服务器，然后弹出选择目标主机资源的对话框：从对话框中选择要访问的目标主机资源，然后按提示输入主机认证口令，通过后即可连接到目标主机并下载目标主机的目录和文件清单。此后的操作与标准的FTP操作完全相同。5 RDP协议操作说明Microsoft Windows Remote Desktop Protocol（RDP）采用的是基于图形化的远程访问协议，安全开发管理系统提供了专用的RDP客户端程序通过访问服务器登录到后台主机的远程系统桌面上。下载rdp工具并在任意位置解

15、压，双击rdp运维工具.exe，出现如下界面：由于远程桌面协议采用了访问服务器提供的端口而不是系统默认的3389端口，因此在连接访问服务器之前需要修改通信端口。在以上窗口中点击“设置”按钮，出现如下对话框：将端口从默认的3389改成访问服务器提供的端口13389后点击“确定”即可完成设置。建立远程桌面连接时，在“访问服务器地址”一栏中输入访问服务器的IP：128.160.8.93，通行证名称及密码，然后点击“登录”按钮。选中开发中心对应系统点击确定出现权限列表。如下图所示：在列表中点击要访问的目标主机，点击“确认”。可见如下界面：终端模式允许多用户同时登陆。控制台模式相当于管理员登陆目标主机本地操作。本机桌面上出现远程主机的登录界面，然后用户就可以登录、并操作远程主机。注：“磁盘映射”这个选项目前没用。