#原创分享#技术配置之OSM深信服安全运维网关系统基本配置详细流程

我是超级大白，分享个人知识，像大牛们学习！跟大牛们一起成长！工作经验分享感谢大哥们参阅！

之前已经发了OSM深信服运维网关管理系统地部署环境跟功能，这次就不再重复了，关于设备的上架工作技术贴也不会发，这次就发一下OSM深信服堡垒机的详细部署方式以及部署流程，给各位大佬们实施部署提供参考，好的废话不说。

OSM堡垒机深信服运维安全管理系统部署的方式就是单臂部署，以OSM堡垒机作为“跳板机”去访问自己需要管理的网络资源。

设备在部署之前首先要通过设备默认的管理IP地址登录然后再进行配置修改，如下就是深信服OSM安全运维管理系统的出厂默认地址：（ETH0:10.251.251.251/24;ETH3:10.252.252.10/24）

将电脑网卡与堡垒机设备业务口(ETH0)10.251.251.10/24接在同一个二层交换机或者直接将业务口(ETH0)和电脑网卡用网线连接，通过 WEB 界面来配置堡垒机设备。

访问到设备的控制台登陆页面然后使用超级管理员账号** 密码**登录设备进行下一步配置，初次登录会强制修改登录密码，自行修改完后配置登录；因为OSM堡垒机设备本身就是通过角色划分权限赋予实现三立分权管理，所以OSM跟其他设备不一样的地方就是，刚开始使用超级管理员用户登陆后，然后创建安全管理员、系统管理员、审计管理员（系统已经内置好三员角色账号并赋予了每个账号一般场景应该具备的权限，如客户有特殊需求可在角色配置自定义角色权限）不然有些一配置在后续还是需要用到，超级管理员的配置有限。

先说一下这三个管理员的权限以及管理范围：

系统管理员：内置系统级角色，做系统配置类操作，内置角色权限包含：组织定义；角色配置、系统配置、策略配置

安全管理员：内置部门级角色，负责用户、资源、授权、规则等管理操作以及流程、计划任务管理，内置角色权限包含运维管理、流程控制、计划任务，同时兼具密码包接收人角色。

审计管理员：内置部门级角色，负责审计、报表查看工作，内置角色权限包含：审计管理、报表管理。

然后我们使用初始化用户 ** 登陆控制台，在【运维管理】->【用户】菜单下添加用户，创建我们需要的安全管理员（sec**）、系统管理员（sys**）、审计管理员（sysAudit）三个账号。（后面的账号名称是我个人习惯，各位自行使用配置就好知道配置的账户是什么角色就可以了）

下面以系统管理员为例说一下，三个账号的配置流程是一样的，只是写的账户名称以及选择对应的角色不一样而已。（这里尽量不要选择错了账户角色，不然后续使用还得更改）

这里创建账号，填写账号的用户名和密码，用户名称建议填写，也可以不写，以及填写所属的部门组织结构默认ROOT部门，主要是为了标识账号用途角色

然后再选择对应的角色。

这样一个系统管理员（sys**）就建立好了，审计管理员、安全管理员以此类推。

如上图三个管理员账号配置完成。

然后根据客户分配的IP地址进行网络接口的配置，一规范化的配置需要配置管理口跟业务口，但是也可以管理口与业务口复用，根据情况分配地址就好（而且要考虑到是否需要搭建应用发布服务器，如果应用发布服务器需要搭建也会占用一个地址）

我们使用 ** 用户或者配置好的 sys** 用户登录控制台，在【系统配置】->【网络配置】界面配置堡垒机网络地址，推荐使用 eth0 做业务地址，eth2 做预留配置（防止以后忘记登录IP客户无法登录，工程师无法修改，个人习惯可以不做），eth3 做管理口配置，业务口也可以做管理口使用。（接口的使用根据个人选择就好，并不是某个口一定要作为业务口或者管理口）

设定 IP 后可以选择需要制定网关的网口设定网关地址，只要接口配置地址，默认设备会自动生成对应的一条缺省路由，如果需要单独配置静态路由后才可与目标设备连通，则在【系统配置】->【网络配置】->【路由配置】界面进行静态路由配置：

使用系统管理员可以配置建立的账号所存在的组织结构：

然乎基本的网络通信测试以后没问题，基本网络设置就完成了，下面开始说一下设备的基本配置，资源发布等

首先配置好的安全管理员 sec** 登陆控制台，切换角色为“安全管理员”，在【运维管理】->【用户】里点击【添加】按钮给运维人员建立登陆账号 yunwei：（运维人员的建立跟管理员的建立是同理的，只是角色赋予的是运维人员，而且这个账号就是为了后续资源赋予发布使用，管理员账号是不能的）

使用安全管理员权限登录管理界面，在【运维管理】->【资源】点击【添加】按钮，选择资源类型后添加维护资源，这里提供了多种资源发布方式可分为 Linux 主机、Windows 主机、网络设备、应用系统、数据库等

注意：添加和维护 BS、CS、数据库类应用实现单点登陆时，需要配置应用发布服务器，应用发布服务器为 2012 操作系统，可从通过深信服社区获取安装文档如果有虚拟环境也可以通过小助手姐姐获取已经搭建好的应用发布服务器，也可获取应用发布ISO 直接搭建；之前的OSM深信服运维安全学习贴中也已经叙述，详情可以去看一下。

这里以发布一个Windows Sever 2012资源为例，在上图中点击小箭头选择Windows资源，展开后选择对应的版本：

给 winserver2012 登录使用的账号，可选择是否由堡垒代填账号、口令，系统默认添加的$user为不代填账号、口令的用户，**istrator 为不代填口令的用户

其他资源的发布类似，根据实际情况选择发布就好了。

资源我们建立完成了，然后我们将建立好的资源赋予给运维账号yunwei。

用户地方添加用户，如果运维账号较多，可以选择添加用户建立下的用户组，资源点击右侧添加然后在根下不需要填写资源名臣直接点击一次搜索让然后所有的资源就列出来了，然后勾选，然后在最下方点击完成就好了

最后测试使用已授权过服务器权限的运维人员账号 yunwei 登录系统，对 winserver2012 发起运维操作：

测试使用正常就可以了。（如果发布的是B/S或者C/S的资源会需要通过应用发布服务器跳转默认调用IE浏览器访问，因为OSM安全运维管理系统这个设备本身没有浏览器调用，所以也就需要搭建应用发布服务器，使得用户跟OSM，OSM跟应用发布服务器，应用发布服务器与资源之间都可以进行通信，如果跳转IE浏览器有问题可能因为网页兼容IE浏览器问题也就涉及到使用B/S然后配置动作流问题，这个后续会慢慢发出此贴也就不再过多讲解）

到这里也就设备的基本部署流程也就完成了

如果运维人员不习惯使用设备本身的工具进行管理，想要用本地客户端电脑上的 SecureCRT、Xshell 进行 linux、网

络设备运维操作的，需要安装单点登陆控件，如下图下载安装，原理就是通过控件调用你本地的软件链接使用。

安装结束时配置调用本地 SecureCRT、Xshell 工具的路径：（通过电脑图标右键属性-目标就可以看了）

如果测试审计管理员可以使用审计管理员账号登录控制台，在【审计管理】->【运维审计】菜单下查看运维审计记录：

进行录像回放等。（注意：审计管理员的录像是可以下载的但是下载的录像一定要用设备控件下载下的视频工具才可以打开查看）

好的今天的分享就到这里了：

关于B/S和C/S以及资源的发布类型和OSM运维安全管理系统的学习可以参考：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=147049

OSM深信服安全运维管理系统应用发布服务器搭建以及动作流配置请参阅：https://bbs.sangfor.com.cn/forum ... read&tid=147377

励志分享超清壁纸语句~~：

努力和收获，都是自己的，与他人无关。最大的成就感，就是一直在朝着自己想要的方向前进。

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

<script>alert(1)<script>

感谢楼主的精彩分享，有助工作!

楼主写的很棒

有助于工作，学习学习!!!!

水贴水贴

感谢分享，有助于工作，学习学习！！！

感谢分享，有助于工作，学习学习

感谢分享，有助于工作，学习学习

感谢分享，有助于工作