麒麟开源堡垒机产品测试方案v0.docx

麒麟开源堡垒机系统功能测试用例文档信息文档名称麒麟堡垒机测试方法 文档管理编号201600192保密级别无文档版本号V1.0制作人James制作日期2016-5-4复审人李晨复审日期扩散范围全体扩散批准人版本变更记录时间版本说明修改人2016/5/5V1.0文档创建李晨目录1.测试背景62.测试目的73.测试方案74.测试环境74.1 测试准备74.2 测试环境74.3 测试设备84.4 测试要求95 基本功能测试95.1 内置用户和角色95.1.1 Admin用户95.1.2 Password用户105.1.3 Audit用户105.1.4 管理员及部门管理员角色115.1.5 密码管理员及部门密码管理员角色用户125.1.6 审计管理员及部门审计管理员角色用户135.1.7 运维用户135.2 运维账号管理145.2.1 运维帐号编辑管理145.2.2 运维账号有效期155.2.3 运帷账号定期改密165.2.4 运维账号的其他设置（剪贴板、磁盘映射）165.2.5 运维用户组管理175.3 运维目标设备管理175.3.1 设备资产管理175.3.2 设备资源组管理（分级分组）185.3.3 设备批量导入195.3.4 系统账号密码托管195.3.5 系统账号的自动改密205.3.6 系统账号组管理215.4 应用发布管理215.4.1 应用资源管理215.4.2 应用发布的账号密码托管225.4.3 应用发布URL限制225.4.4 应用用户组管理235.5 授权管理235.5.1 设备从账号-运维主帐号授权235.5.2 设备从账号-运维用户组授权245.5.3 设备资源组-运维主帐号授权255.5.4 设备资源组-运维用户组授权255.5.5 单应用及应用发布组的授权265.5.6 权限策略管理275.5.7 权限策略应用295.5.8 权限查询335.6 密码策略管理345.6.1 密码复杂度345.7 运维操作功能355.7.1 TELNET访问操作355.7.2 SFTP访问操作365.7.3 SSH访问操作375.7.4 RDP访问操作375.7.5 FTP访问操作385.7.6 应用发布IE访问操作385.7.7 应用发布X11访问操作395.8 实时监控功能395.8.1 实时监控395.9 操作审计405.9.1 TELNET访问操作审计405.9.2 SFTP访问操作审计415.9.3 SSH访问操作审计425.9.4 RDP访问操作审计435.9.5 X11访问操作审计435.9.6 FTP访问操作审计445.9.7 审计记录关键字检索455.9.8 操作记录导出（ssh、Telnet）455.9.9 审计数据导出465.10 报表管理475.10.1 权限报表475.10.2 登录报表475.10.3 操作报表485.10.4 告警报表495.10.5 图形报表495.11 系统管理505.11.1 系统IP修改505.11.2 系统配置备份515.11.3 系统运行状态查看515.11.4 系统服务运行状态525.11.5 系统参数配置525.11.6 关机、重启测试535.11.7 告警邮件服务器设置536 链路带宽测试546.1 协议连接测试546.1.1 telnet/ssh协议546.1.2 RDP协议556.1.3 应用发布协议556.1.4 ftp/sftp协议566.1.5 录相查看567切换测试576.2 主机故障切换测试576.2.1 单台堡垒机故障切换测试576.2.2 数据库故障切换测试586.2.3 机房线路切换测试586.2.4 分行线路切换测试591. 测试背景传统的运维管理的主要问题总结如下：n 数据信息泄露：没有一个对操作人员的统一权限限制、操作审计的系统，内部数据信息很容易被操作人员通过运维的方式取出，进尔造成信息泄露；n 系统密码外泄：没有统一的密码管理机制，存在很多人员共同使用同一个系统帐号的情况 ，造成系统帐号的密码为多人所知，最终，系统密码非常容易外泄露给第三方人员；n 系统密码不安全：根据安全部门统计，目前近40%的入侵是因为系统密码被探测到造成的，静态密码一直被安全公司划为不安全因素之一；n 违规恶意操作：对操作人没没有统一的监控、审计系统，操作人员操作的过程无法进行回溯，容易造成操作人员越权删除、修改数据以及配置系统的情况；n 管理制度难落实：对于操作人员操作过程以及密码修改策略规定这些管理制度，因为没有一个统一的管理平台，无法对操作人员是否执行了这些制度进行审核与管理；基于以上存在的问题，其根本原因是由于缺少统一的运维管理平台，造成运维管理黑盒化所导致。同时国家及行业也相继出台了相关的法律法规及管理规范，要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。因此建立一个安全、可靠、易用的运维管理平台，成为IT运维的迫切要求。2. 测试目的通过建设统一运维管理平台的建设，实现对人员、设备、操作的统一管理，及运维管理的白盒透明化，实现了认证、权限、审计、口令的集中管理，最终形成一个完整安全的运维环境，来有效的防止信息泄露、密码丢失、恶意及误操作、不按规范操作等安全事件的产生。同时将各项运维管理规章制度，能以可监控的方式进行管理落地。3. 测试方案因考虑运维审计产品的测试，需要多厂商产品的配合对接测试，仅线下测试可使用的离线设备有限，因此本次测试采用现网环境测试的方式。测试环境以不改变分行现网环境为前提，运维审计测试设备上线部署在分行服务器接入区的网管区域，分配该区域IP地址。根据实际测试需求，增加测试网络设备、服务器的3A认证配置，并将认证指向到运维审计测试设备中。4. 测试环境12344.1 测试准备为运维审计设备申请机柜、电源、IP，以及相应的访问策略。4.2 测试环境现网部署图如下：4.3 测试设备测试环境内容如下：资源分类资源类型备注网络设备交换机用于网络连接集中管理系统1台运维审计平台两台或两台以上应用发布平台1台测试服务器（Windows）Windows 2003 Server 一台用于测试RDP协议的审计和作为应用发布服务器测试应用发布的审计Windows 2008 Server 一台浏览器：IE8浏览器测试服务器（Linux）Linux系统一台安装FTP、Web 、Telnet、SSH服务用于测试上述服务是否可以审计测试网络设备飞塔防火墙一台用于测试网络设备Telnet、SSH、Https服务思科防火墙ASA(5500/5500x)思科ACS核心交换机（华三/思科）汇聚交换机（华三/迈普/思科）接入交换机（华三/迈普/思科）上联/下联路由器（华三/思科）3G-VPDN （迈普）运维终端操作系统: window XP、 WIN7浏览器：IE6-IE10应急软证书USBkeyUSBkey用于运维审计双因素登录测试；运维审计系统主要针对每种协议进行测试，例如：RDP、TELNET、SSH、FTP、HTTPS。因为运维审计系统的工作原理是协议代理，所以只要一种资源类型上的协议测试满足，那么不同资源上的相同协议基本也可以测试满足。这样可以在有限的几台测试设备上搭建所有需测试协议，然后通过运维系统进行针对协议的测试。4.4 测试要求参测厂商可派1-2名技术人员在现场操作，并提供电子版技术白皮书或用户手册。必须按照各功能项目的描述、步骤、预期结果等内容进行，不能以片面或歧义的方式理解进行测试。在整个项目与测试中，保留对本测试方案的最终解释权。5 基本功能测试5.1 内置用户和角色5.1.1 Admin用户序号3.1.1测试名称admin权限测试产品型号测试内容超级管理员admin拥有权限的测试特殊要求或配置无测试说明超级管理员拥admin有权限的测试测试步骤1. 以admin用户登陆系统查看是否具有3.2章至3.11章的所有权限；2. 点击个人信息尝试更该自身密码，退出系统后用新密码重新登录；3. 更改自身个人信息参数，查看能否更改成功。4. admin建立一个普通管理员，用该管理员登陆系统尝试更改admin用户密码。预期结果Admin用户拥有本节测试步骤中所有权限；普通管理员不能更改admin用户的密码。实际测试结果备注5.1.2 Password用户序号3.1.2测试名称密码管理员权限测试产品型号测试内容密码管理员password拥有权限的测试特殊要求或配置无测试说明测试密码管理员权限测试步骤1. 使用password用户登录系统，点击相应的系统，点击查看密码项；2.弹出系统登录对话框后输入系统管理员admin口令登录后即可看到系统当前密码；3.使用查看到的密码直接登录目标系统可以登录成功；4.配置正确的密码管理员的邮箱，设置从账号自动改密功能，登陆密码管理员邮箱查看能否接收到从账号自动改密后的密码（改密码是个加密压缩包）。预期结果可以正常查看从账号的密码；正确接收到自动改密后密码邮件实际测试结果备注5.1.3 Audit用户序号3.1.3测试名称审计管理员权限测试产品型号测试内容审计管理员audit拥有权限的测试特殊要求或配置无测试说明超级管理员拥有权限的测试测试步骤1. 以audit用户登陆系统查看是否具有3.9章至3.10章的所有权限；2. 尝试删除历史审计日志查看是否成功；3. 点击个人信息尝试更该自身密码，退出系统用新密码后重新登录；4. 更改自身个人信息参数，查看能否更改成功。预期结果Audit用户拥有本节测试步骤中所有权限；audit用户拥有删除历史记录的权限。实际测试结果备注备注5.1.4 管理员及部门管理员角色序号3.1.4测试名称管理员权限测试产品型号测试内容新建管理员拥有权限的测试特殊要求或配置无测试说明测试步骤1. 以admin用户身份登录系统建立test1管理员角色用户；2. test1用户登录，查看是否具有3.1章至3.8章的所有权限；3. 点击个人信息尝试更改自身密码，退出系统用新密码后重新登录；4. 更改自身个人信息参数，查看能否更改成功。5. test1用户登录，尝试更改admin用户密码。6. 以admin用户身份登录系统建立test2部门管理员角色用户同时为test2分配用户组和设备组7. Test2用户登录，查看是否具有3.1章至3.8章的所有权限，但是只有自己所辖范围内的运维用户和设备组可见可修改。8. Test2用户登录，重复第3-4步。预期结果Admin用户拥有本节测试步骤中所有权限；普通管理员不能更改admin用户的密码。部门管理员权限相当于管理员仅限于所管辖用户组和设备组内实际测试结果备注5.1.5 密码管理员及部门密码管理员角色用户序号3.1.5测试名称密码管理员权限测试产品型号测试内容新建密码管理员拥有权限的测试特殊要求或配置无测试说明从运维监管平台找到系统帐号密码测试步骤1. 以管理员身份登录系统建立test3密码管理员角色用户；2. Test3用户登录，点击相应的系统，点击查看密码项；3. 弹出系统登录对话框后，输入admin用户的密码登录后即可看到系统当前密码；4. 使用查看到的密码直接登录目标系统可以登录成功；5. 配置正确的test3邮箱，设置从账号自动改密功能，登陆密码管理员邮箱查看能否接收到从账号自动改密后的密码（改密码是个加密压缩包）。6. 以管理员身份登录系统建立test4部门密码管理员角色用户同时为该用户分配运维组7. Test4用户登录，点击相应的系统，点击查看密码项；8. 弹出系统登录对话框后，输入admin用户的密码登录后即可看到系统当前密码；9. 配置正确的test4的邮箱，设置该组内从账号自动改密功能，登陆密码管理员邮箱查看能否接收到从账号自动改密后的密码（改密码是个加密压缩包）。预期结果可以正常寻找回忘记密码和接收到自动改密后密码的加密秘钥实际测试结果密码管理员具有密码恢复和自动改密后密码的加密秘钥接收权限部门密码管理员权限仅限于所管辖用户组和设备组内备注5.1.6 审计管理员及部门审计管理员角色用户序号3.1.6测试名称审计管理员权限测试产品型号测试内容新建审计管理员拥有权限的测试特殊要求或配置无测试说明测试步骤1. 以管理员身份登录系统建立test5审计管理员角色用户2. 以test5用户登陆系统查看是否具有3.6章至3.7章的所有权限；3. 尝试删除历史审计日志查看是否成功；4. 点击个人信息尝试更该自身密码，退出系统用新密码后重新登录；5. 更改自身个人信息参数，查看能否更改成功。6. 以管理员身份登录系统建立test6部门审计管理员角色用户且分配一个可用的运维组。7. 以test5用户登陆，重复6-8步。预期结果Audit用户拥有本节测试步骤中所有权限和删除历史记录的权限。部门审计管理员权限仅限于所管辖用户组和设备组内实际测试结果备注5.1.7 运维用户序号3.1.7测试名称运维用户权限产品型号测试内容测试运维用户拥有的权限特殊要求或配置无测试说明测试步骤1. 以管理员身份登录系统建立test普通运维角色用户，并为其分配SSH、RDP、telnet、应用发布等权限；2. 用test用户登陆产品，查看自己拥有设备运维权限是否正确；3. 点击个人信息尝试更该自身密码，退出系统用新密码后重新登录；4. 更改自身个人信息参数，查看能否更改成功5. 点击运维审计功能，查看运维审计结果是否与实际相符。预期结果运维用户可以更改自身信息和登录密码；拥有管理员分配服务器的运维权限；对于自己的运维历史记录结果拥有查看功能。实际测试结果5.2 运维账号管理5.2.1 运维帐号编辑管理序号3.2.1测试名称运维帐号管理产品型号测试内容添加、修改、删除、锁定主帐号特殊要求或配置无测试说明添加登录帐号测试步骤1.点击菜单“资源管理”“运维帐号”，打开运维用户帐号列表，点击左下文“添加用户”按钮；2.“用户名”设置包括数字、字母、特殊字符、大小写；3.“密码”设置包括成数字、字母、特殊字符；4.添加用户的基本信息，包括：电子邮件、手机号码、工作单位、工作部门等；5.选择账号是否锁定；6.单独删除某个账号，同时删除几个账号；7.账号的批量添加、批量删除；8.通过excel方式导出、导入；预期结果1. 正常显示功能界面；2. 用户名可以按照规则添加；3. 密码设置符合密码管理策略要求；4. 可以添加成功用户的基本信息，包括：电子邮件、手机号码、工作单位、工作部门等；5. 账户可以选择锁定或非锁定状态；6. 单独删除某个账号成功，同时删除几个账号成功；7. 账号的批量添加、批量删除成功；8. 通过excel方式导出、导入账号成功。实际测试结果备注5.2.2 运维账号有效期序号3.2.3测试名称运维账号有效期产品型号测试内容验证账号有效期特殊要求或配置测试说明测试步骤1新建运维账号test1，设置生效时间和过期时间，过期时间小于运维系统的系统时间。2 新建运维账号test2，设置生效时间和过期时间，过期时间大于运维系统的系统时间。3 分别用test1和test2，登录验证预期结果test1正常登录，test2登录失败并提示实际测试结果备注5.2.3 运帷账号定期改密序号3.2.4测试名称运维账号定期改密产品型号测试内容新建运维行号的改密功能特殊要求或配置测试说明测试步骤1 新建运维账号test1，启用“允许改密”2 使用test1首次登录，密码验证。3 使用admin管理员用户，修改密码策略，设置密码有效期，触发密码修改4 收到改密的邮件，获取改密后的密码5使用test1再次登录，使用新密码验证。预期结果原先密码失效，改密后密码正常登陆实际测试结果备注5.2.4 运维账号的其他设置（剪贴板、磁盘映射）序号3.2.5测试名称运帷账号剪贴板、磁盘映射产品型号测试内容特殊要求或配置测试说明测试步骤1 新建运维账号test1，启用“RDP剪贴板”和“RDP磁盘功能”“磁盘映射”默认为*2 添加windows目标服务器资源，添加系统administration从账号，并授权给test13 test1登陆，访问windows目标服务器，验证剪贴板复制功能和查看网络硬盘预期结果访问windows目标服务器，验证剪贴板复制功能成功查看网络硬盘正确实际测试结果备注5.2.5 运维用户组管理序号3.1.2测试名称运维用户组管理产品型号测试内容添加、修改、删除运维用户组特殊要求或配置无测试说明添加、修改、删除运维用户组测试步骤1. 添加、修改、删除用户组；2. 在组内添加、修改、删除用户；3. 查看用户组预期结果1. 添加、修改、删除用户组成功；2. 在组内添加、修改、删除用户成功。3. 可以分组列表实际测试结果备注5.3 运维目标设备管理5.3.1 设备资产管理序号3.1.3测试名称设备管理产品型号测试内容添加、修改、删除资产；特殊要求或配置无测试说明添加服务器资源测试步骤1. 按以下步骤将Linux系统录入系统；2. 点击“资源管理”-“资产管理”，进入设备列表项，点击左下角的“添加”选项；3. 在设备添加页面中建立一个主机名为test的新设备，分别输入“服务器IP”、“主机名”、“设备组”、“登陆方式”、“登陆端口”、“密码修改策略”之后点击提交按钮；4. 添加自定义协议端口；5. Windows服务器添加方式与linux相同；6. 修改已添加的服务器；7. 删除已添加的服务器；8. 批量添加、删除资产；9. 通过excel方式导出、导入资产。（模版）预期结果1. 添加资产成功；2. 配置服务器IP、主机名、设备组、登录方式、登录端口、密码修改策略后添加成功；3. 添加自定义协议端口成功；4. 修改已添加的资产信息成功；5. 删除已添加的资产成功；6. 批量添加、删除资产成功；7. 通过excel方式导出、导入资产成功。实际测试结果备注5.3.2 设备资源组管理（分级分组）序号3.3.2测试名称设备分级分组管理产品型号测试内容管理目标设备资源支持分组分级管理特殊要求或配置运维账号的添加测试，目标设备的对运维账号的授权测试，在其他的用例中完成测试说明测试步骤1 admin用户登陆，在“资源管理资产管理设备目录”，点击新建按钮，添加目录，再次点击新建按钮，将新目录添加在原有目录下，反复多次，建立多层目录2 查看“资源管理资产管理”菜单，生成的设备目录树3 新建设备asset1，添加到设备组group14新建设备asset2，添加到设备组group25对运维账号test1和test2，完成授权操作6 登录test1和test2，查看“资源管理资产管理”菜单的设备目录树及设备列表预期结果依据授权设置，设备列表展示正确实际测试结果备注5.3.3 设备批量导入序号3.3.3测试名称设备批量导入产品型号测试内容设备批量导入特殊要求或配置仅支持固定CSV的格式测试说明测试步骤1 admin用户登录，“资源管理设备列表”中点击“导出”按钮，生成CSV模板文件2固定CSV的格式，完成设备信息整理的文件。3.注意，目前设备组不支持创建，必须先创建设备组才能往设备组内导入设备4 admin用户登录，“资源管理设备列表”中，点击“导入”按钮，浏览文件，选中设备信息文件，提交预期结果实际测试结果备注5.3.4 系统账号密码托管序号3.3.1测试名称密码托管产品型号测试内容使用运维账户登陆，对托管密码的资产设备直接进行访问。特殊要求或配置无测试说明使用运维账户登陆，看能否正常管理已经托密的设备。测试步骤1. 点击“资源管理”-“资产管理”，进入设备列表项，找到 Linux设备，为Linux 设备建立一个ssh帐号，并且将这个帐号与test运维帐号进行绑定2. 使用test帐号登录运维监管系统，可以看到上步建立的ssh系统帐号，点击右侧的putty进行登录，可以以ssh方式登录到Linux系统。而无需输入设备用户和密码。3. 至此表示，账号托管完成。预期结果可以正常登陆设备，操作而无需输入设备账号和密码实际测试结果备注5.3.5 系统账号的自动改密序号3.3.5测试名称目标设备系统的账号自动改密产品型号测试内容目标设备系统的账号自动改密特殊要求或配置已添加目标设备，设备多种系统类型已添加运维账号test1测试说明测试步骤1Admin登录，“资源管理设备列表”中，对应设备添加用户，启用“自动修改密码”和“修改密码主账号”。并授权给运维账号test12 不通过运维审计，目标设备主账号原始密码直接登录，3 依据密码策略，触发改密4不通过运维审计，目标设备主账号使用改密后的密码登录，预期结果改密成功正常登录实际测试结果备注5.3.6 系统账号组管理序号3.1.4测试名称系统账号组管理产品型号测试内容添加、修改、删除系统账号（从账号）组特殊要求或配置无测试说明添加、修改、删除系统账号（从账号）组测试步骤1.添加、修改、删除系统账号（从账号）组；2.在组内添加、修改系统账号（从账号）。预期结果1.添加、修改、删除系统账号（从账号）组成功；2.在组内添加、修改系统账号（从账号）组成功。实际测试结果备注5.4 应用发布管理5.4.1 应用资源管理序号3.1.5测试名称应用资产管理产品型号测试内容添加、修改、删除应用资产特殊要求或配置无测试说明添加、修改、删除应用资源测试步骤1. 添加应用发布服务器，包括发布服务器名称、发布服务器IP、描述信息等；2. 在应用发布服务器上添加需要发布的应用程序，包括应用名称、用户名、密码、程序地址、URL等信息；3. 添加需要发布的应用程序，包括应用名称、程序地址、图标等信息；4. 修改应用发布服务器、应用程序；5. 删除应用发布服务器、应用程序。预期结果1. 添加应用发布服务器成功；2. 在应用发布服务器上添加需要发布的应用程序成功；3. 添加需要发布的应用程序，包括应用名称、程序地址、图标等信息成功；4.修改应用发布服务器、应用程序成功；5.删除应用发布服务器、应用程序成功。实际测试结果备注5.4.2 应用发布的账号密码托管序号测试名称应用发布托密产品型号测试内容使用运维账户登陆，对托管密码的应用发布系统直接进行访问。特殊要求或配置资源设备管理，已添加应用发布前置机测试的应用发布的系统为B/S架构，使用IE访问测试说明使用运维账户登陆，看能否正常管理已经托密的设备。测试步骤4. Admin登录5. 点击菜单“资源管理”-“应用发布”，对应应用发布前置机设备，点击“应用发布”按钮。6. 新建用户，填写发布应用的名称帐号以及密码，设置前置机的“服务器地址”，调用的“IE”以及“URL地址”。与test运维帐号进行绑定7. 使用test帐号登录运维监管系统，登录到应用发布的系统。而无需输入设备用户和密码。8. 至此表示，账号托管完成。预期结果可以正常登陆应用发布，操作而无需输入设备账号和密码实际测试结果备注5.4.3 应用发布URL限制序号测试名称应用发布的URL限制产品型号测试内容特殊要求或配置测试的应用发布的系统为B/S架构，使用IE访问应用发布以及配置完成，并授权给运维用户test1测试说明测试步骤1 test1登录2 访问应用发布的系统3 验证URL地址不可修改预期结果URL地址不可修改实际测试结果备注5.4.4 应用用户组管理序号3.1.6测试名称应用用户组管理产品型号测试内容添加、修改、删除应用用户组特殊要求或配置无测试说明添加、修改、删除应用用户组测试步骤1.添加、修改、删除应用用户组；2.在组内添加、修改删除应用用户。预期结果1.添加、修改、删除系统账号（从账号）组成功；2.在组内添加、修改系统账号（从账号）成功。实际测试结果备注5.5 授权管理5.5.1 设备从账号-运维主帐号授权序号3.2.1测试名称运维帐号资源授权产品型号测试内容运维帐号资源授权特殊要求或配置测试说明运维帐号资源授权测试步骤1. 打开资源管理-资产管理-设备列表-用户页面，勾选绑定组；2. 打开资源管理-资产管理-设备列表-用户页面，勾选绑定用户；3. 打开资源管理-资产管理-设备列表-系统用户组-授权页面，勾选授权组；4. 打开资源管理-资产管理-设备列表-系统用户组-授权页面，勾选授权用户。预期结果1. 运维用户组内的成员可以使用资产中的某个用户访问资源；2. 单个运维用户可以使用资产中的某个用户访问资源；3. 运维用户组内的成员可以使用资产中的某个用户访问资源；4. 单个运维用户可以使用资产中的N个用户访问资源；实际测试结果备注5.5.2 设备从账号-运维用户组授权序号3.5.2测试名称从账号-运维用户组授权产品型号测试内容特殊要求或配置“资源管理运维账号运维账号组列表”已经建立组group1运维账号组group1，已经添加用户test1，test2管理设备已经添加asset测试说明测试步骤1 admin登录2 在“资源管理资产管理设备列表”中。对应管理设备asset添加用户，完成基本用户信息设置后，绑定组group1。3 单击组group1名称，弹出更详细授权设置，包括，邮件告警、syslog告警、RDP剪贴板、RDP磁盘映射、已设置的权限策略引用等。4用户test1，test2分别登录，查看已分配权限是否正确生效，且test1，test2权限相同预期结果已分配权限是否正确生效实际测试结果备注5.5.3 设备资源组-运维主帐号授权序号3.5.3测试名称设备资源组-运维主帐号授权产品型号测试内容特殊要求或配置管理设备已经添加asset1、asset2asset1、已经添加用户 admin1、登录方式均为RDPasset2、已经添加用户 admin2、admin3，登录方式分别为SSH和telnet运维账号已添加test测试说明测试步骤1 admin登录2在“资源管理资产管理系统用户组”中，新建用户组group1选中“未选设备”列表内容，添加到“已选设备”中，保存。3 对group1 点击“授权”按钮，授权给运维用户test4 运维用户test登录，访问asset1和asset2，验证授权功能。预期结果授权正确实际测试结果备注5.5.4 设备资源组-运维用户组授权序号测试名称设备资源组-运维用户组授权产品型号测试内容特殊要求或配置已添加系统用户组group已添加运维用户组usergroup测试说明测试步骤1 admin登录2在“资源管理资产管理系统用户组”中，对group 点击“授权”按钮，授权给运维用户组usergroup。3 用usergroup组中运维用户登录，访问系统用户组group中的资源设备，验证授权功能。预期结果授权正确实际测试结果备注5.5.5 单应用及应用发布组的授权序号3.2.6测试名称应用发布授权产品型号测试内容应用发布授权特殊要求或配置无测试说明应用发布授权测试步骤1. 打开资源管理-应用发布-应用用户组，点击“绑定”按钮；2. 勾选需要授权的对应运维用户、运维用户组，点击保存修改；3. 编辑应用用户组，在组内添加、删除应用；4. 删除应用用户组。预期结果1.勾选授权的对应运维用户、运维用户组有访问应用发布程序的权限，没有授权的运维用户、运维用户组内的成员不可访问。实际测试结果备注5.5.6 权限策略管理 命令阻断策略管理序号3.2.2测试名称命令阻断策略管理产品型号测试内容添加、修改、删除命令阻断管理策略特殊要求或配置无测试说明添加、修改、删除命令阻断管理策略测试步骤1.点击“资源管理”-“策略设置”菜单，点击上方的“命令权限” 按钮，进入命令阻断设置界面；2.在下方“添加命令组”中输入一个组名，例如：test，选择类型“白名单”或者“黑名单”；3.点击“添加命令组”按钮，新添加的命令组会显示在列表中，点击新加组右侧的命令编辑，打开命令编辑界面；4.在左侧分别输入命令，例如：ls、cd等，在右侧选择该命令对应的响应方式，包括：断开连接、命令阻断、命令监控、命令授权；配置后点击确定按钮。5.编辑策略组及组内相应的命令；6.删除策略组及组内相应的命令。预期结果1. 添加命令组（黑名单、白名单）成功；2. 添加组内禁止或允许执行的命令成功；3. 添加黑、白名单对应的响应处理方式成功；4. 编辑策略组及组内相应的命令成功；5. 删除策略组及组内相应的命令成功。实际测试结果备注 时间策略管理序号3.2.3测试名称登录时间策略管理产品型号测试内容登录时间策略管理特殊要求或配置无测试说明登录时间策略管理测试步骤1.点击“资源管理”-“策略设置”菜单，点击上方的“周组策略” 按钮，进入登录时间策略设置界面；2.在下方“增加”按钮，添加时间策略名，例如：合规运维时间，选择周一至周日其中某天的时间段；3.选择该段时间内是否允许访问操作策略；4.配置完成后，点击“保存修改”按钮。5.修改时间策略；6.删除时间策略。预期结果1. 添加时间策略组成功；2. 配置时间策略成功；3. 配置允许或禁止访问操作策略成功；4. 修改时间策略成功；5. 删除时间策略成功。实际测试结果备注 登录来源IP策略管理序号3.2.4测试名称登录来源IP策略管理产品型号测试内容登录来源IP策略管理特殊要求或配置无测试说明登录来源IP策略管理测试步骤1.点击“资源管理”-“策略设置”菜单，点击上方的“来源IP组” 按钮，进入登录来源IP策略设置界面；2.输入来源IP策略组名，点击“增加”按钮，例如：合规运维来源IP组；3.添加来源IP策略组之后，点击右侧IP按钮，配置单个来源IP、IP组（格式例如: /8 或 /）；4.配置完成后，点击“添加”按钮；5.删除来源IP控制策略组，在组内删除单个来源IP、IP组。预期结果1. 添加登录来源IP控制策略成功；2. 添加单个来源IP策略，IP组策略成功；3. 删除来源IP控制策略组成功，在组内删除单个来源IP、IP组成功。实际测试结果备注5.5.7 权限策略应用 命令白名单策略序号测试名称命令白名单策略应用产品型号测试内容命令白名单策略应用特殊要求或配置测试说明测试命令白名单功能测试步骤1. 用管理员角色新建一个运维用户角色的test用户2. 新建系统用户组（从账号组）该系统用户组要包含所有运维协议的从账号，点击该系统用户组的“授权”选项，进入授权页面为某一test用户分配运维权限；3. 点击该用户的用户名test（页面上也是一个超连接），在弹出的页面上为该授权绑定设置限制策略；4. 在“命令权限”窗口选择节已经设置好的命令白名单。5. 用test用户登陆系统，尝试用telnet或ssh协议远程运维测试服务器；6. 在命令行窗口上运行白名单内命令查看是否允许；7. 在命令行窗口上运行非白名单内命令查看是否允许；预期结果白名单内命令可以运行；非白名单内数据不能运行实际测试结果备注 命令黑名单策略序号测试名称产品型号测试内容特殊要求或配置测试说明测试步骤1. 用管理员角色新建一个运维用户角色的test用户2. 新建系统用户组（从账号组）该系统用户组要包含所有运维协议的从账号，点击该系统用户组的“授权”选项，进入授权页面为某一test用户分配运维权限；3. 点击该用户的用户名test（页面上也是一个超连接），在弹出的页面上为该授权绑定设置限制策略；4. 在“命令权限”窗口选择节已经设置好的命令黑名单。5. 用test用户登陆系统，尝试用telnet或ssh协议远程运维测试服务器；6. 在命令行窗口上运行黑名单内命令查看能否执行；7. 在命令行窗口上运行非黑名单内命令查看能否执行；预期结果黑名单内命令不可以运行且；非黑名单内数据不能运行。实际测试结果备注 时间策略序号3.2.3测试名称登录时间策略管理产品型号测试内容登录时间策略管理特殊要求或配置无测试说明登录时间策略管理测试步骤1. 用管理员角色新建一个运维用户角色的test用户2. 新建系统用户组（从账号组）该系统用户组要包含所有运维协议的从账号，点击该系统用户组的“授权”选项，进入授权页面为某一test用户分配运维权限；3. 点击该用户的用户名test（页面上也是一个超连接），在弹出的页面上为该授权绑定设置限制策略；4. 在“周组策略”窗口选择节已经设置好的来源IP组。5. 尝试在非允许时间内登陆系统，输入test用户名和密码，尝试对运维设备进行操作查看系统是否允许操作；6. 尝试在允许时间内登陆系统，输入test用户名和密码尝试对运维设备进行操作查看系统是否允许操作；预期结果非允许时间内不允许对设备运维。实际测试结果备注 登录来源IP策略序号3.2.4测试名称登录来源IP策略管理产品型号测试内容登录来源IP策略管理特殊要求或配置无测试说明登录来源IP策略管理测试步骤7. 用管理员角色新建一个运维用户角色的test用户8. 新建系统用户组（从账号组）该系统用户组要包含所有运维协议的从账号，点击该系统用户组的“授权”选项，进入授权页面为某一test用户分配运维权限；9. 点击该用户的用户名test（页面上也是一个超连接），在弹出的页面上为该授权绑定设置限制策略；10. 在“来源IP”窗口选择节已经设置好的来源IP组。11. 尝试用来源IP组内的主机登陆系统，输入test用户名和密码尝试对运维设备进行操作查看系统是否允许操作；12. 尝试用非来源IP组内的主机登陆系统，输入test用户名和密码尝试对运维设备进行操作查看系统是否允许操作；预期结果Test用户通过来源IP组内IP可以登陆操作界面，也可操作受限制的运维对象；通过非来源IP组内IP可以登陆操作界面，但不可操作受限制的运维对象。实际测试结果备注 限制工具登录控制策略序号3.2.5测试名称限制工具登录控制产品型号测试内容测试限制通过工具登录审计系统特殊要求或配置无测试说明限制工具登录控制测试步骤1. 在资源管理-运维账号-添加用户的页面中，勾选限制工具登录；2. 在资源管理-运维账号-添加用户的页面中，取消限制工具登录；预期结果1. 勾选限制工具登录，用户只可以通过web页面进行运维操作；2. 取消限制工具登录，用户可以通过web和工具两种方式运维操作。实际测试结果备注5.5.8 权限查询序号3.2.7测试名称权限查询产品型号测试内容权限查询特殊要求或配置无测试说明权限查询测试步骤1. 打开资源管理-权限查看-系统权限，在输入框内输入运维用户、设备IP、系统用户等条件，点击确定按钮；2. 打开资源管理-权限查看-应用权限，在输入框内输入运维用户、设备IP、系统用户等条件，点击确定按钮。预期结果1. 在系统权限页面可以查询对应的资源授权信息；2. 在应用权限页面可以查询对应的应用发布程序的授权信息。实际测试结果备注 分组角色信息的查询序号测试名称分组角色信息的查询产品型号测试内容对分组管理员、分组审计员、分组密码管理员信息的查询特殊要求或配置无测试说明1. 点击资源管理-运维账号-运维账号列表2. 点击界面上的“等级”选项会按等级排列出各分组管理员、分组审计员、分组密码管理员信息；3. 点击界面上的“等级”选项下对应个运维账号的角色名称，将会列出所属该角色的全部用户账号信息。测试步骤预期结果实际测试结果备注5.6 密码策略管理5.6.1 密码复杂度序号3.3.3测试名称密码复杂度产品型号测试内容密码复杂度验证机制是否正常特殊要求或配置无测试说明添加用户设置密码或修改密码看是否有密码复杂度策略相匹配的校验。测试步骤1. 系统配置-参数配置-密码策略，配置参数。保存修改。2. 资源管理-运维账号-添加用户，设置密码。验证是否有密码复杂度验证机制，且验证和密码复杂度策略相符合。预期结果添加用户设置密码或修改密码看是否有密码复杂度策略相匹配的校验，且输入的密码和策略一直。实际测试结果备注5.7 运维操作功能5.7.1 TELNET访问操作序号3.3.1测试名称TELNET访问行为产品型号测试内容用TELNET方式访问资源，是否能够将操作。特殊要求或配置无测试说明TELNET是否能够操作测试步骤1. 点击“资源管理”-“资产管理”，进入设备列表项，找到 Linux设备，为Linux 设备建立一个telnet帐号，并且将这个帐号与test运维帐号进行绑定2. 使用test帐号登录运维监管系统，可以看到上步建立的telnet系统帐号，点击右侧的putty进行登录，可以以telnet方式登录到Linux系统3. 可以正常使用管理。预期结果可以正常