# 功能问题（授权和账户）

## 1、仅授权主机和授权主机账户的区别？

答：授权主机账户就是主机的账户和密码都已经给用户填写好了，用户直接可以登录。而仅授权主机的话，用户还需要输入主机的账户名和密码进行登录。

## 2、资源组是不是全局的，主要作用是？

答：资源组目前不是全局的，目前只有创建者可以看到自己下面的资源组，admin可以看到所有人的创建的资源组。主要作用是为了方便个人批量管理自己账户下面的机器，可以对其进行批量授权的操作。

如需全局操作，请使用部门进行划分。

## 3、如何通过堡垒机中新建一个主机的SSH-Key账户，并在堡垒机中通过秘钥登录主机？

答：第一步：从堡垒机登录到目标主机，在用户主目录中新建.ssh文件夹。

第二步：使用命令“ssh-keygen -t rsa”在.ssh文件夹中生成公钥和私钥（即为id\_rsa.pub和id\\\_rsa）。

第三步：在.ssh文件夹中新建authorized\\\_keys文件，使用命令`cat id_rsa.pub
]]authorized_keys`将公钥中的内容复制到authorized\\\_keys中。

第四步：使用命令`chmod 600 authorized\_keys`降低authorized\\\_files的权限。

第五步：在堡垒机中创建一个使用SSH-Key的账户，创建该账户需要填写的服务器私钥即为上述私钥。

## 4、为什么一个使用SSH-Key的非root账户无法登录到目标主机？

答：可能原因是authorized\\\_keys的权限过高导致公钥认证不起作用。

解决办法是使用命令`chmod 600 authorized_keys`降低authorized\\\_files的权限。

## 5、部分telnet设备，客户设备只有密码，无用户名如何添加到堡垒机上进行管理？

答：账户名可任意填写（如root），密码是网络设备的正确密码，就可以正常添加到堡垒机上管理。

## 6、通过VNC协议连接的设备没有用户名只有密码，如何添加到堡垒机中进行管理？

答：可以输入任意用户名（如root），密码是VNC设备的正确密码，就可以正常添加到堡垒机上管理。

## 7、用户不需要堡垒机托管密码，希望采用手动输入密码的方式，堡垒机是否支持。

答：支持。在堡垒机内仅保存主机名称和ip，不添加账户。用户登录主机时需每次自行输入操作系统用户名和密码。

## 8、新建角色，给予了部门的所有权限，但是在创建的时候无法选择上级部门

需要给该角色开启“管理员权限。

<!-- image-todo -->

## 9、双人授权可以设置哪些人为授权人？

答：工单设置可以设置本部门的部门管理员及上级管理员。在设置的时候可配置当前登录用户的部门管理员及上级领导。

例如：A用户想设置A用户的部门管理员进行授权，需通过A用户所属部门的策略管理员进行策略设置，选择A用户的部门管理员及上级管理员

## 10、动态授权作用及操作流程？

答：动态授权指的是对字符命令先进行拦截，然后需向管理员提出申请，管理员通过之后即可执行。

操作流程：预先新建字符操作（SSH、Telnet）需要拦截的命令集，和命令控制策略，如下图：

<!-- image-todo -->

<!-- image-todo -->

<!-- image-todo -->

<!-- image-todo -->

<!-- image-todo -->

受控制账户输入了需要拦截的命令，则显示为如下效果：

<!-- image-todo -->

如果需要正常使用这些命令，则要提交申请上级部门领导同意之后，将能够进行输入。