麒麟天机安全存储服务器系统管理客户端使用手册

麒麟天机网络安全存储系统 快速配置安装指南 麒麟天机网络安全存储系统 管理客户端使用手册 湖南麒麟信息工程技术有限公司 目录 11. 管理客户端安装指南 11.1 安装说明 11.2 安装智能卡驱动程序 11.3 安装管理客户端软件 32. 系统使用流程 43. 管理客户端使用指南 43.1 功能简介 43.2 系统启动与登录 53.2.1 选择认证方式 53.2.2 用户名口令登录 63.2.3 智能卡方式登录 63.3 服务器注册 83.4 恢复管理 93.4.1 创建用户 113.4.2 刷新 113.4.3 恢复 123.4.4 修改密码 133.4.5 修改PIN码 143.5 用户管理 153.5.1 刷新 153.5.2 设置配额 163.5.3 删除 163.5.4 登录限制 163.5.5 取消限制 163.5.6 禁用 173.5.7 启用 173.5.8 修改密码 173.6 共享管理 183.6.1 创建 203.6.2 设置 213.6.3 删除 213.6.4 刷新 213.7 服务器管理 223.7.1 重启服务 233.7.2 刷新服务状态 243.7.3 刷新服务器状态 243.7.4 关闭 243.7.5 重启 253.7.6 注册 253.7.7 网络配置 263.8 策略管理 273.8.1 刷新 273.8.2 修改客户端主机信息 283.8.3 策略控制 293.9 日志管理 303.9.1 检索 313.9.2 打开 313.9.3 关闭 323.9.4 保存 323.9.5 清理服务器日志 1. 管理客户端安装指南 1.1 安装说明 麒麟天机网络安全存储系统管理客户端由安全存储系统的管理员用户使用，用于方便的管理整个安全存储系统的日常使用。服务器有两种认证方式，用户名口令认证和智能卡方式认证。用户名口令认证时只需安装客户端程序即可，在使用智能卡方式认证时，需安装专用的智能卡驱动程序。 1.2 安装智能卡驱动程序 此安装步骤仅用于使用智能卡方式认证的安全存储产品。如果您购买的产品为用户名口令认证方式，则可跳过此步，直接进行管理客户端的安装。 当服务器为智能卡方式认证时，在安装安全存储系统客户端的计算机上，都应该确认是否已安装了智能卡驱动程序，否则可能会出现智能卡无法被识别的问。 安装时，进入智能卡驱动程序安装包，在系统中安装智能卡驱动。成功安装驱动后，将在任务栏右侧托盘中显示图标。 1.3 安装管理客户端软件 管理客户端的安装非常简单，只需进入安全存储系统管理客户端程序所在文件夹，双击setup.exe安装程序，进入如下图所示界面： 图 1.1 管理客户端准备安装界面 之后填入用户信息后，点击下一步，选择安装类型为“全部”安装，如下图所示： 图 1.2 选择安装类型 一路点击下一步即可完成安装。正确安装完成后将在桌面和开始菜单程序栏建立快捷方式。双击桌面快捷方式，将进入管理客户端登录界面，如下图所示： 图 1.3 管理员登录界面 2. 系统使用流程 安全存储系统包含两种认证方式：（1）用户名口令认证；（2）智能卡方式认证。采用用户名口令方式认证时，必须由恢复管理员创建用户，而后才能使用系统；采用智能卡方式认证时，每个用户都拥有自己的智能卡，普通用户可直接使用智能卡登录系统。两种不同认证方式下，使用系统的流程不同，下面分别加以介绍。 采用用户名口令认证方式，请参考以下流程： (1) 恢复管理员使用管理客户端登录服务器，根据实际情况创建用户。 (2) 用户使用普通客户端登录服务器，修改默认密码，使用系统。 (3) 系统管理员使用管理客户端登录服务器，对安全存储系统进行日常管理。 特别注意：系统管理员与恢复管理员默认密码均为12345678，为保证系统安全性，管理员和用户请及时修改自己的默认密码。 采用智能卡认证方式时，请参考以下流程： (1) 使用证书和智能卡管理系统创建系统管理员、恢复管理员、用户证书，并将这些证书分别导入不同的智能卡中。 (2) 管理员和用户分别使用自己的智能卡登录安全存储服务器。 具体使用何种认证方式，根据您购买的服务器认证方式决定。 3. 管理客户端使用指南 3.1 功能简介 麒麟天机网络安全存储系统管理客户端的使用者为系统管理员和恢复管理员。两个管理员通过登录进入不同的操作界面，对整个安全存储系统进行统一地远程监测和控制。 在用户名口令认证方式下，恢复管理员通过管理客户端登录后，可以执行创建用户、恢复用户的密码等操作。当用户忘记密码时，通过恢复管理员即可赋予新的密码。 系统管理员主要负责日常使用中的管理功能，具体如下： · 用户管理 · 共享管理 · 服务器管理 · 策略管理 · 日志管理 3.2 系统启动与登录 在桌面上点击快捷方式图标，即可运行安全存储系统管理客户端软件，界面如下图所示。 图 3.1 用户名口令方式管理员登录界面 3.2.1 选择认证方式 安全存储系统支持两种认证方式：用户名口令认证和智能卡认证。智能卡认证方式要求用户手中拥有安全存储系统专用的智能卡，使用管理客户端时必须提供系统管理员智能卡或恢复管理员智能卡。认证方式是否可用取决于用户购买的服务器版本。 3.2.2 用户名口令登录 当选择认证方式为用户名口令方式认证时，登录界面如下图所示。 图 3.2 用户名口令登录 【服 务 器】：此处输入待连接的服务器IP 【用 户】：选择要登录的管理员，可以选择系统管理员和恢复管理员 【密 码】：此处输入所选择管理员的密码 ，默认为12345678 3.2.3 智能卡方式登录 当选择智能卡认证方式登录时，其登录界面如下图所示。 图 3.3 智能卡登录 【服 务 器】：此处输入待连接的服务器IP 【智 能 卡】：选择要登录的管理员智能卡，将管理员智能卡插入主机的USB接口中，安全存储系统会自动检测智能卡，并将检测结果显示在【智能卡】下拉框中。 【P I N 码】：此处输入所选择管理员智能卡的PIN码 3.3 服务器注册 首次使用安全存储系统，请先登录系统管理员对服务器进行注册。进入【服务器管理】标签，使用产品提供的注册码和用户数注册后才可以正常创建用户，如下图所示： 图 3.4 服务器管理界面 点击按钮，弹出注册窗口，填入您购买的注册码和用户数即可，如下图所示： 图 3.5 服务器注册 注册成功后点击注册按钮，如下图所示： 图 3.6 注册成功后 友情提示：如果需要重新注册，请联系我们，申请新的注册码。 3.4 恢复管理 恢复管理由恢复管理员使用，主要提供创建和恢复用户功能。在普通用户遗忘口令或遗失智能卡的情况下，可有效恢复用户口令或新智能卡。恢复管理在用户名口令和智能卡认证方式下有所不同。用户名口令认证时，界面如下图所示。 图 3.7 恢复管理界面-用户名口令认证 使用智能卡方式登录时，界面如下图所示。 图 3.8 恢复管理界面-智能卡认证 3.4.1 创建部门和用户 点击工具栏中的按钮，弹出创建部门对话框，如下图所示。 图 3.9 创建部门和组织 在弹出的对话框中，输入组织、部门等信息；点击【确定】按钮，添加部门成。 点击工具栏中的按钮，弹出创建用户对话框，如下图所示。 图 3.9 创建用户和密码 在弹出的对话框中，输入用户名、密码信息；点击【确定】按钮，添加用户成功，如下图所示，在界面下方左侧的视图中显示系统所有用户、右侧的视图中显示用户信息。 图 3.10 创建成功 特别注意：创建用户的功能只有在使用用户名口令认证方式下方可使用，若使用智能卡认证方式，该功能处于不可用状态。 3.4.2 刷新 刷新功能在用户名口令认证方式和智能卡认证方式下有所不同。用户口令认证方式下，刷新功能用于从服务器上重新获取所有用户信息并显示；智能卡认证方式下，刷新功能用于重新获取当前主机上的非管理员智能卡信息。点击恢复管理视图中工具栏内的按钮，即可完成刷新功能。 3.4.3 恢复 恢复功能在用户名口令认证方式和智能卡认证方式下的操作有所不同。用户名口令认证方式下，恢复功能用于在用户忘记密码时，重新设定其密码；智能卡认证方式下，恢复功能用于用户在丢失智能卡情况下，利用新智能卡代替旧智能卡。 1. 用户名口令认证方式 在系统用户栏中选择要恢复的用户，点击工具栏中的按钮，弹出【恢复用户密码】对话框，如下图所示： 图 3.11 恢复用户密码 在对话框中，输入用户新密码和恢复管理员密码，并点击【确定】按钮。 2． 智能卡认证方式 在智能卡栏中选择要恢复的用户智能卡，并点击工具栏中的按钮。 3.4.4 修改密码 修改密码功能只用于用户名口令认证方式，用于重新设定恢复管理员密码。在工具栏中点击按钮，弹出如下图所示对话框： 图 3.13 修改恢复管理员密码 在对话框中，输入恢复管理员的旧密码和要设置的新密码，并点击【确定】按钮。 3.4.5 修改PIN码 修改PIN码功能只用于智能卡认证方式，用于重新设定恢复管理员智能卡的PIN码。在工具栏中点击按钮，弹出如下图所示对话框。 图 3.14 设置智能卡PIN码 在对话框中，输入恢复管理员智能卡的旧PIN码和要设置的新PIN码，点击【确定】按钮即可。 3.5 用户管理 用户管理由系统管理员使用，对用户访问、使用服务器的情况进行限制和管理。用户管理为系统管理员的默认操作页面，如下图所示。 图 3.15 用户管理界面 用户管理Tab页主要分为两大部分：工具栏和显示栏。其中工具栏包括用户管理的各个工具按钮，位于界面上方；显示栏位于界面下方，用于显示相关信息。 显示栏 · 系统用户：在操作界面下方左侧的属性框中显示目前所有的普通用户，按组织、部门分别列出。 · 用户信息：当选定某个用户时，界面下方右侧会显示该用户的相关信息，包括：用户是否被禁用、用户智能卡是否被禁用、用户最大可使用磁盘配额、已使用磁盘空间和尚可使用的磁盘空间。 工具栏 工具栏包括四个模块，分别有各自的功能按钮，具体包括： · 用户管理：【刷新】、【设置配额】、【删除】 · 用户登录管理：【登录限制】、【取消限制】、【绑定主机】、【仅智能卡】 · 修改密码：【禁用】、【启用】、【修改密码】 · CRL管理: 【导入】 图 3.16 用户管理功能标签 下面将分别介绍各个功能按钮。 3.5.1 刷新 点击工具栏中的按钮，可以重新获取并显示用户信息。 3.5.2 设置配额 选择待设置磁盘配额的用户，点击按钮，在弹出的对话框中设置相应的配额信息，如下图所示。通过限制用户在服务器上能使用的磁盘最大空间，可以有力的保证服务器资源的合理利用。 图 3.17 设置磁盘配额 其中，最大硬盘空间值应为正整数，单位可选KB、MB、GB。如果不需要限制配额上限，可勾选无限制选框，若如此做，则该用户可使用的最大空间为服务器硬盘剩余空间。 3.5.3 删除 选择待删除的用户，点击工具栏中的按钮。 特别注意：请谨慎使用删除用户功能，用户一旦被删除，其数据将无法被恢复！ 3.5.4 登录限制 在用户登录管理中，可以限制用户登录服务器。在用户管理界面，选择要限制的用户，点击工具栏中的按钮，则被限制的用户将不能登录安全存储服务器。 3.5.5 取消限制 若要取消某个用户的登录限制，则可以选定该用户，再点击工具栏中即可。 3.5.6 绑定主机 若要将某个用户与其主机绑定，则先选中此用户，点击。之后，需要用户重新登录普通客户端才能完成整个绑定主机工作。若需解除绑定，则选中响应用户，点击。 3.5.7 仅智能卡 若要将某个用户限制只能用智能卡方式登录系统。点击。之后，用户只能通过智能卡方式登录系统。 3.5.8 无限制 若要取消某个用户的智能卡登录限制，则可以选定该用户，再点击工具栏中即可。。 3.5.9 禁用 若服务器认证方式是智能卡登录，则系统管理员可以对普通用户的智能卡进行禁用。用户智能卡被禁用后将不能用该卡登录服务器。当用户不慎遗失智能卡时可通过禁用该智能卡来防止用户数据被非法窃取。 在系统用户中，选择要被禁用智能卡的用户，点击工具栏中的按钮即可。 3.5.10 启用 系统管理员也可以取消智能卡的禁用，为用户重新启用智能卡。在工具栏中点击按钮；在弹出的对话框中选择要启用的智能卡，若未插入智能卡，请插入要被启用的智能卡。 3.5.11 修改密码 系统管理员登录后，可以随时修改系统管理员的密码。点击工具栏中的按钮；在弹出的对话框中输入旧密码、新密码并确认新密码，密码的有效长度为8-64位；确定即可。 图 3.18 修改系统管理员密码 特别注意：强烈建议系统管理员首次登录后立刻修改密码，并定期更改自己的密码！ 3.5.12 CRL管理 本系统支持第三方CRL功能验证，管理员可以通过导入CRL文件，可以禁用指定序列号的证书用户登录系统。 3.6 服务器管理 服务器管理功能由系统管理员使用，包括【服务监控】、【服务器控制】和【服务器注册】三个部分，主要提供对服务和服务器远程控制的功能。在服务器管理工具栏中，【服务监控】主要有重启服务和刷新状态两种功能，【服务器控制】包括对服务器的信息刷新、关闭和重启等功能，【服务器注册】用于注册服务器信息。其操作界面如下图所示： 图 3.25 服务器管理界面 3.6.1 重启服务 在系统服务信息栏中选择指定服务，点击按钮，重启相应服务。 图 3.26 存储服务 重启服务成功后，会弹出提示信息窗口，如下图所示： 图 3.27 服务重启成功 3.6.2 刷新服务状态 在【系统服务信息】栏中选择指定的服务，存储服务或服务进程；点击服务监控工具栏中的按钮，则可以重新获取指定服务的状态信息。 3.6.3 刷新服务器状态 在【系统服务信息】栏中选择安全存储服务器，点击工具栏中的按钮，可以刷新服务器的状态。 3.6.4 关闭 系统管理员可以通过管理客户端来远程关闭服务器。在树型框中选择安全存储服务器，点击工具栏中的按钮，会弹出如下图的提示窗口： 图 3.28 关闭服务器 特别注意：关闭服务器后，安全存储系统(管理员版本)将自动退出。 3.6.5 重启 系统管理员也可以远程重新启动服务器，在树型框中选择安全存储服务器；点击工具栏中的按钮，弹出如下提示窗口： 图 3.29 重启服务器 特别注意：重启服务器后，安全存储系统(管理员版本)将自动退出。 3.6.6 更新 当安全存储版本升级之后，可以点击更新按钮，选择对应的更新包完成线下更新。 3.6.7 注册 系统管理员在初次使用服务器时需要对服务器进行注册，使用产品提供的注册码和用户数注册后才可以正常创建用户。点击按钮，弹出注册窗口，填入相应信息注册即可： 图 3.30 服务器注册 3.6.8 网络配置 网络配置功能可以对服务器的网络进行设置，包括IP地址、子网掩码及默认网关等。点击按钮，弹出如下所示窗口，系统管理员可对服务器网络设置进行修改： 图 3.31 网络配置 3.6.9 超时时间 服务器与客户端存在心跳感应，超时时间用于控制心跳的频率，默认是30秒，上限是600秒。 3.7 策略管理 策略管理由系统管理员使用，包括用户和主机策略的获取和设置。可以针对用户和用户主机策略，普通用户登录服务器时，自动将用户策略和主机策略合并为有效策略。策略管理的操作界面如下图所示。 图 3.32 策略管理 点击操作界面下方左侧树型框中的用户名或用户主机，在右侧将会显示其相应的策略。可以根据需要设置不同的策略，点击【保存】按钮，新设置的策略将会保存到服务器上，点击【恢复默认策略】按钮，则为用户或主机设置默认策略。恢复管理员创建新用户时，其默认策略已经设定为禁用所有策略。 3.7.1 刷新 若要重新获取用户和主机的策略信息，点击工具栏中的按钮即可。 3.7.2 修改客户端主机信息 系统管理员可以对每台登录到服务器上的客户端主机进行信息修改，便于识别管理。具体有如下几个步骤： (1) 选择待修改信息的客户端主机 (2) 点击工具栏中的按钮 (3) 在弹出的对话框内修改主机信息，可修改主机名、IP和主机描述信息。如下图所示： 图 3.33 主机信息 3.7.3 策略控制 在安全存储系统中，系统管理员可以对用户和客户端物理主机进行策略控制，使得文件在可控范围内使用。其中涉及策略对象和控制策略两方面。 · 策略对象 策略对象是指实施策略的对象，包括安全存储系统的普通用户和客户端主机。 · 控制策略 控制策略包括两种策略，分别是： 【服务器文件控制策略】： 【设备访问控制策略】： 【文件传输控制策略】： 为用户或主机进行策略设置，需要如下几个步骤： (1) 在【策略对象】中选择要设置策略的用户名或主机 (2) 在策略管理界面中选择相应的控制策略。其中服务器文件控制策略包括不允许上传下载文件、只允许上传不允许下载、允许上传下载等策略，如果不希望使用任何策略，则可选择禁用文件访问策略；设备访问控制策略包括禁用所有设备、允许使用所有设备、允许使用部分设备等，能够应用策略的设备包括打印机、光驱和U盘等，如果不希望使用任何设备策略，则可选择禁用设备访问策略。 (3) 设置完后，点击【保存】，设置策略成功。 (4) 若要恢复默认策略，点击【恢复默认策略】即可。默认策略为禁用设备访问策略，禁用文件访问策略。 (5) 【文件传输控制策略】是本地数据上传至服务器进行加密处理。 3.8 日志管理 日志管理功能由系统管理员使用，提供日志的检索、打开、保存及服务器日志清理等功能。日志管理的操作界面如下图所示： 图 3.34 系统日志界面 3.8.1 检索 系统管理员可以通过检索功能来对所有的用户操作进行监控，有如下几个步骤： (1) 点击工具栏中的按钮 (2) 在弹出的对话框中，填写相关检索条件，如下图所示 (3) 点击【检索】按钮即可 图 3.35 检索窗口 3.8.2 打开 系统管理员可以对已有的日志文件打开查询，点击工具栏中的按钮，在弹出的对话框中，选择您要查看的日志文件，点击打开即可显示出日志里的信息。 特别注意：打开功能只能识别本系统生成的日志文件。 3.8.3 关闭 在工具栏中点击按钮，即可关闭当前显示的日志文件。 3.8.4 保存 点击按钮，在弹出的对话框中，选择保存路径并输入文件名，点击【确定】按钮，则将该日志文件按相应路径和文件名保存。 3.8.5 清理服务器日志 由于长时间的使用，会造成服务器日志文件逐渐变大，时间越长占用的服务器磁盘资源越多，因此建议管理员能够定期对服务器日志进行清理。清理之前，请先对需要的日志信息进行备份。您可以先检索出需备份的日志，然后点击【另存为】保存到本地。做好备份后，就可以使用按钮来删除服务器上的日志了。点击该按钮后会弹出如下提示框： 图 3.36 删除服务器日志 删除后提示： 图 3.37 成功删除 友情提示：为了避免日志文件过于庞大，请管理员定期对服务器日志进行备份和清理。 PAGE II