PDF《DCLive》

三、DCLive 特权访问管理 单点登录 密码代填 特权访问 人员账号 交换机 数据库系统 服务器 DCLive AD/LDAP 服务器 DM SPOKE DM SPOKE DM SPOKE DM SPOKE HUB 德讯科技股份有限公司 WWW.DATCENT.COM 服务热线:400-886-7711 3/4 (4)访问控制 DCLive 从操作位置、操作时间、人员身份、目标对象等四个角度来控制特权账号的使用 , 采用多纬度细 粒度控制手段,实现访问权限最小化,操作行为安全化. 可通过黑白名单形式预先授权用户可执行的访问指令,确保正确的用户执行正确的动作,保障访问的合规性. 根据关键业务设备的重要程度灵活设置采取双人授权访问机制,需要双人口令认证通过后才能访问,两者 相互制约,增设一层安全访问保护屏障 (5)单点登录 DCLive 提供单点登录、密码代填的功能,用户只需完成一次登录认证,即可直接访问所有权限内的目标 设备,无需多次输入目标设备的特权帐号及密码,既简化了访问过程,又降低了泄密风险. 特权账号管理 (1)自动采集 DCLive 内置采集账号脚本,通过 SSH 和TELNET 协议,可自动采集设备、系统、业务应用的所有帐号, 并定期进行安全性检测.管理员通过 DCLive 提供的账号列表无遗漏的进行管理,节省了大量的人力,提高了 管理效率. 支持对服务器、网络设备的特权帐号定期进行安全性检测 , 提供人工或自动定期采集,按指定密码强度定 期批量修改,提高密码管理高效性;

提供人工设定或随机生成密码机制,按密码强度规则随机生成密码. (2)保存与防护 DCLive 对特权账号的口令均采用密文管理,帐号采集及密码的校验 / 更新均以密文形式通过邮件发送给 指定的特权帐号管理人员,保证了账号口令的安全性. 同时,管理员可定期将特权账号导出备份,通过专用的帐号阅读器 , 结合加密密钥进行查看与管理,实现 在线存储和离线存储的备份机制,保证账号口令的高可用性. (3)定期变更口令 管理员可设置DCLive定期更改账号口令并变更周期、 密码强度、 重复校验等手段来保证口令的安全. 同时, 为保证账号口令的正确性和完整性,DCLive 会在口令自动更新后实时校验,若出现异常会及时自动修复. (4)密码代填 通过 DCLive,管理员可预先填写账户的密码口令,使用者只需登录 DCLive 账号即可发起对目标设备的 访问,既简化了访问过程,又降低了泄密风险. 带内接口管理 带内接口是指由操作系统、虚拟化层、数据库系统、应用系统发布的访问接口.DCLive 为带内接口提供 访问控制、账号代填、操作审计.DCLive 以自有插件的方式提供带内接口的访问客户端程序. DCLive 支持的带内接口如下: 字符型访问接口,如Telnet、SSH、 RLogin 等 图形化访问接口,如RDP、Xwindows、 VNC、VDP 等 文件传输接口,如SCP、SFTP、FTP 等Web 访问接口,如HTTP、HTTPS 等 数据库访问接口,如Oracle、MS-SQL、 DB

2、Informix、 Sybase、MySQL 等 第三方访问工具,如Radmin、AS

400、 PC Anywhere、VMWare、XManager 访 问等 SSH SoL vKVM https telnet Rlogin VNC X11 RDP http IPMI 接口管理 IPMI 是x86 服务器上 BMC (主板控制芯片) 提供的带外管理接口.DCLive 支持标准 IPMI1.5/2.0 接口, 同时支持各服务器厂商的扩展接口,例如 HP iLO、DELL DRAC、华为 iMana、联想 IMM 等等.DCLive 为IPMI接口提供访问控制、 账号代填、 操作审计. DCLive使用通道技术向操作者提供IPMI原生Java控件客户端. DCLive 在IPMI 接口上提供的功能如下: (1)提供服务器硬件健康监测,如CPU、内存、RAID、机箱温度、风扇转速等;