1、移动云管理员手册V3.3申明本文内容是橙乐移动云管理(以下简称SGA)平台配置。文中资料、说明等相关内容版权归西安橙乐信息技术全部和保留。本文中任何部分未经西安橙乐信息技术(以下简称橙乐)许可,不得转印、影印或复印、发行。本手册仅作为操作使用手册,手册里包含全部内容不提供任何明示或暗示担保。本手册只作为SGA3.0版本使用说明,如需获取其它版本使用手册,请联络服务部获取相关文档。处理方案中所谈及科技产品名称是橙乐商标。方案中包含其它企业注册商标属各商标注册人全部,恕不逐一列明。致谢感谢你使用橙乐产品和使用手册,假如你在使用过程中对我们产品和手册有任何提议或意见,全部能够经过电话、QQ或邮件形式
2、反馈给我们。我们将不胜感激!联络信息办公地址:西安市经济技术开发区凤城九路海博广场C座10层11005室产品咨询热线:售后服务电话:邮箱:邮编:710000- 版权全部 西安橙乐信息技术本手册以系统版本3.2.0.1为例,在win7、IE9情况下进行配置、演示。不一样版本SGA在后台配置会稍有不一样。如有任何疑问,请咨询科技售后获取技术支持。本文约定:描述替换符号举例菜单栏【】应用公布按钮简化成【应用公布】连续菜单栏快捷菜单下快捷配置简化成【快捷菜单】【快捷配置】按钮加粗并加上边框确定按钮简化成确定输入栏如基础配置IP地址简化成IP地址单选框或复选框如网络设置接入方法选项简化成接入方法弹出对话
3、框更改密码网页对话框简化成更改密码网页对话框SGA后台配置中带有“*”标注为必填项。本文如看到 “注:”表示需要您留心,请务必认真阅读。“移动云接入管理平台” 设备在本文描述中全部将以“SGA”字样替换描述。目 录1 产品介绍61.1 概述61.2 用户端环境要求21.3 管理员配置环境要求22 默认配置22.1 快捷菜单42.1.1 快捷配置42.2 应用公布132.2.1 CAB应用132.2.2 TCP应用192.2.3 IP应用212.2.5 移动视频资源292.2.4 单点登录302.2.5 IBOX云盘332.2.6 应用相关配置362.3 用户管理392.3.1系统用户392.3
4、.2系统用户组452.3.3导入/导出用户482.3.4用户注册审批552.3.5 在线用户572.3.6 登录历史统计582.3.7 用户相关配置582.3.8 管理员账户602.4认证和策略632.4.1 登录策略632.4.2 认证服务配置662.4.3 用户端策略822.4.4 移动IP过滤822.5 证书中心822.5.1 CA配置822.5.2 生成证书832.5.3 证书列表862.5.4 证书申请审批862.5.5 证书吊销872.5.6 在线证书状态服务882.6 VPN882.6.1 IPSEC882.6.2 PPTP942.6.3网对网配置972.7 网络配置992.7.
5、1 基础配置992.7.2 路由配置1032.7.3 SNMP配置1052.7.4 DHCP服务器1052.7.5 防火墙配置1062.7.6 网络测试1092.8 系统管理1102.8.1 系统配置1102.8.2 页面定制1132.8.3 消息公告1152.8.4 双机配置1162.8.5 备份/恢复1172.8.6 系统升级1182.8.7 关机重启1212.8.8 日志中心1223 附录1243.1串口下设置说明1243.2 双机热备功效配置说明1281 产品介绍1.1 概述我企业作为国家密码管理局同意商用密码产品生产定点单位和销售许可单位,推出了自主研发移动云产品。现在,手机上应用还
6、是很有不足,应用软件供给商极难在智能手机上开发其应用系统,假如想把WINDOWS平台上应用软件移植到智能手机上,还存在很多技术上难度,底层支持,浏览器支持,兼容性等问题很显著,移动云应用平台给出了很好处理方案,它借由用户端去访问互联网上应用服务器资源,它既能充足利用手机便携性,续航时间和通信能力等众多天生优势,又不要求其含有较高数据处理、计算和存放能力。首先,利用远端“云计算”高速处理能力来处理手机处理能力低下问题;其次,利用“云存放”则能够处理手机存放能力不足问题。移动云软件含有在任何地点、向任何用户交付任何应用能力。它给将基于云资源交付给用户,经过这个应用集中管理平台,不停优化用户应用性能
7、和安全性,以应对不停改变工作负载需求和基础架构可用性。从而使手机用户能够轻松访问其授权应用和程序,能够提供足以媲美当地PC丰富、完整用户体验。移动云软件通常布署方法图1所表示。图 11.2 用户端环境要求移动终端推荐使用操作系统:android 2.3及以上,IOS 4.3及以上。PC推荐使用操作系统:windows xp/win7/win81.3 管理员配置环境要求推荐使用浏览器:IE7,IE8,IE9,IE102 默认配置SGA默认在eth0口和eth1口设置了IP。 eth0口:192.168.0.254/24,eth1口:192.168.1.254/24。SGA后台管理端口默认为:44
8、33,前台登录端口默认为:443。现将设备eth1口接入到网络中,则你电脑也要配置一个192.168.1.X/24网段IP,确保SGA和电脑室相通。打开IE浏览器,输入SGA后台管理地址::4433,则会看到图3登录界面。图 2管理员输入:admin,密码输入:111111,这是设备默认管理员密码。登录成功后,图4所表示:左边为模块区,点击每个模块全部会进入对应模块配置界面。上部为标题栏,能看到系统信息、修改密码、退出按钮,点击系统信息看到就是图4界面,点击修改密码能够修改管理员密码,默认是最低6位,且必需含有字母、数字、特殊字符。退出,退出后台配置界面。图 32.1 快捷菜单可对首次使用系统
9、进行最简配置,实现系统基础可用。2.1.1 快捷配置快捷配置里面包含6个选项卡,分别是【网口配置】,【DNS配置】,【动态域名】,【许可配置】,【时间配置】,【证书配置】,图5所表示。图 4【网口配置】:经过点击对应网口编辑按钮,可修改该网络接口接入方法、IP地址、掩码、默认网关、MTU值、线路权重,也可配置多个虚拟IP地址(即一个网口绑定多IP地址)。图6所表示:图 5接入方法项中,支持3种接入线路方法:静态IP,DHCP,PPPOE。只有静态IP接入方法可配置虚拟IP(即一个网口绑定多IP地址)。只有静态IP和PPPOE接入方法可配置线路权重。“静态IP”,选择接入方法为“静态IP”时,看
10、到图7界面,能够对设备接口配置静态IP、掩码和网关。MTU值请保持默认,勿轻易修改。图 6“DHCP”模式:设备动态获取IP地址,不用手工分配(不提议采取这种方法);“PPPoE”:将设备当网关直接接入到互联网,拥有一条拨号宽带线路,就能够拨号上网,填写由运行商为你提供账户密码登陆,见图8。图 7线路权重:即线路负载均衡,只在有多条线路上网时起作用,该值针对内网经过设备上网用户,调整本线路占整体比重,值越大比重越大。具体举例说明:如eth0为PPPOE拨号上网线路,线路权重设置为3,eth1也为PPPOE拨号上网线路,线路权重设置为7,可了解为2条线路带宽看作一个整体值:10,eth0占整体3
11、0%,eth1占整体70%,即内网用户经过设备上网,数据流会从这2条线路分别出去,30%数据会走eth0出去,70%数据会走eth1出去。这一说法只是一个大约数据流分配走向,具体不会有那么正确。【DNS配置】:配置DNS服务器IP地址,使设备能正常解析域名,图9:图 8【动态域名】:页面图10所表示,系统默认内置了希网和花生壳2个无偿域名用户端。图 9以下以希网网络(.com)域名为例:图 10用户账号:希网网站上,您申请域名所登录有效账号;登录密码:希网网站上,您申请域名所登录账号密码;描述:可不填;绑定接口:绑定一个能够连接外网设备接口;动态域名:您将绑定在设备上有效域名;更新频率:设置系
12、统将每几分钟去更新该域名所对应设备公网IP地址;自动开启:勾选上启用后,系统每次开启将自动开启该域名用户端;提交后,如需要立即启用该域名用户端,需要在返回页,操作项下点击开启。花生壳(.net)域名配置以下:图 11用户账号:花生壳网站上,您申请域名所登录有效账号;登录密码:花生壳网站上,您申请域名所登录账号密码;描述:可为空;绑定接口:绑定一个能够连接外网设备接口;Web服务地址:花生壳Web服务地址,可不做修改;DDNS服务器:花生壳DDNS服务器地址,可不做修改;自动开启:勾选上启用后,系统每次开启将自动开启该域名用户端;提交后,如需要立即启用该域名用户端,需要在返回页,操作项下点击开启
13、。图 12注:请勿在无技术人员情况下,随意修改序列号里信息。【时间设置】:默认自动同时时间,如时间不对,需要手工同时系统时间,以下图14:图 13注:在配置时间服务器同时之前,请确定您设备和外网是连通,而且配置了有效DNS。【证书配置】选项卡出厂时,设备上有一套自建证书文件,包含CA根证,服务器证书,证书销毁列表,可进入CA配置页面查看证书信息,图15:用户能够不修改此证书,直接使用。设备支持多CA认证(三个CA),还能够在此配置其它CA信息。图 14用户假如要修改证书,可点击更新CA配置,进入以下界面:注意:在配置证书时候,请务必先在【系统管理】【系统配置】【时间设置】里,将时间设置正确。证
14、书创建方法分两种:一、自建证书,二、导入第三方签发证书。我们选择自建证书,用户只要填写好下面信息,点提交,系统便可依据您提交信息生成CA根证书。图 15CA根证书生成后,会自动跳转到服务器证书生成界面,图17:图 16用户填写好需要填写信息,确定后,将会自动重启系统服务,用户可刷新页面重新回到CA配置页面,可查看到您刚才生成证书信息,自建证书生成将会自动为CA根证生成证书销毁列表。注:自建CA和自建服务器证书必需一气呵成,该次自建证书生成才会有效。假如用户有自己一套证书,也能够在系统上导入自己证书,选择导入第三方签发证书出现以下界面:系统支持X509,P12,P7B格式根证书导入,注意:根证书
15、只有导入私钥文件,才能在系统里面证书生成页面生成用户证书。假如不需要经过系统生成、签发和导入CA根证匹配用户证书,可不导入根证书私钥。服务器证书导入支持X509和P12格式,服务器证书可不导入。需要注意是:服务器证书一定要是上面导入根证书签发。尤其注意:服务器私钥文件不支持WINDOWS系统证书机构下生成.pvk格式文件,您能够在WINDOWS系统证书机构生成一个P12格式服务器证书导入到系统里面。假如是WINDOWS下生成服务器证书,请在生成证书时候,选择类型为“服务器证书”,用户端证书类型是不能在此作为服务器证书导入。证书销毁列表配置可不做配置,假如用户需要导入证书销毁列表,需要注意是:该
16、证书销毁列表一定要和上面导入服务器证书和CA根证书相匹配,而且证书销毁列表生成时间不能过期,不然系统将会提醒导入第三方证书不成功。假如用户导入根证书是带私钥,提交后,系统为该CA根证书生成证书销毁列表。图 172.2 应用公布2.2.1 CAB应用CAB应用里面包含4个选项卡,分别是【CAB应用公布】、【CAB应用分组】、【CAB服务器】、【CAB服务配置】。【CAB应用公布】选项卡页面图19所表示:条件过滤,可针对已经公布CAB应用资源,依据名称,描述,状态进行单独、组合、模糊、正确等查询。图 18添加/配置CAB应用资源,点添加后,出现图20、21配置界面(分为基础信息、通用配置、PC端配
17、置和移动用户端配置。能够依据需要选择对应选项配置后使用):图 19图 20基础信息名称:CAB应用资源在系统和用户界面显示名称。描述:可为空。排序优先级:值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。启用:是否启用该资源。通用配置是PC端和移动云用户端使用时全部必需配置选项以下:通用配置应用账户:能够采取“使用登录设备账号”和“设置默认账号”“使用登录设备账号”:如选择这一项,表示应用账户直接使用SGA设备内账户进行登录,此种情况下需要iCylanAPP在对应服务器自动创建对应含有远程桌面登录权限账号进行匹配使用,用户会自动登录对应CAB应用资源。此种方法,Windows登录和
18、SGA前台共用一套账号和密码。 “使用默认账号”:如选择这一项,表示应用账户能够使用终端服务器上含有远程桌面登录权限账号自动登录使用。登录域:假如公布cab服务器是域中心服务器或是已经加入域服务器,需要填写域名。登录后工作目录:登录CAB应用后开启程序工作目录。登录后开启程序:登录CAB应用后开启实施程序名。中止会话保持:远程连接中止时将会话保持,可设置为:不保持、一直保持和设定保持时长。图标:该资源在用户端显示图标。自定义图标可在【应用公布】【应用相关配置】【图标管理】模块页面上传。PC端配置,配置后只适适用于登录PC前台用户使用,以下:使用方法:CAB应用所走隧道方法。有TCP,IP,内网
19、方法三个选择项。是否隐藏:勾选后,在用户有权限访问该资源情况下,用户登录前台将不会显示该资源。是否自动弹出:即一登录进移动云PC前台页面,立即弹出该应用页面,不用用户手工点击。移动用户端配置,配置后只适适用于登录移动用户端用户使用,以下:工作目录1,2,3:登录CAB应用后开启程序工作目录。开启程序1,2,3:登录CAB应用后开启实施程序名。上述两项配置后,在移动云用户端能够同时启用多个应用程序关联SSO:关联对应SSO(单点登录)资源,再配合科技iCylanAPP Server使用。能够直接用手持终端登录SSO资源,第一次输入用户名和密码后,以后访问无需再次输入即可登录使用。强制使用服务器配
20、置:强制使用在SGA后台配置分辨率等信息。关联CAB服务器:CAB资源关联到多个CAB服务器后,自动启用服务器负载均衡应用必需要关联CAB服务器!CAB服务器需要在【CAB服务器】选项卡中配置后才能显示,而且CAB负载均衡依据是:网络利用率/CPU使用率/内存使用率, 不包含登录用户数)【CAB应用分组】选项卡:将多个应用分到一个指定组,在前台访问后,应用会在一个分组里。图 21【CAB服务器选项卡】页面图23所表示:图 22只有在此处添加了CAB服务器后,CAB应用公布页面中关联CAB服务器栏才有对应信息出现。而且必需要添加CAB服务器才能正常使用CAB应用。添加/配置CAB服务器,点添加后
21、,出现以下配置界面:图 23基础信息 名称:在CAB应用公布页面中“关联CAB服务器”栏显示服务器名称。描述:可为空。启用:是否启用该资源。通用配置CAB服务器地址:要公布CAB应用服务器IP地址。 iserver端口:iserver侦听端口,默认是19221端口PC端配置共享打印机:选择是否共享用户打印机,分别有3个选择项:共享全部,共享默认,不共享。使用WINDOWS组合键: 有在远程计算机上,在当地计算机上,在全屏模式下三种选项。当地设备映射(PC端)将当地电脑磁盘映射到服务器,能够实现远端文件保留到当地【CAB服务配置】选项卡,图27所表示:图 24配置信息:同时当地用户账号到CAB服
22、务器(开启后,设备上用户将自动同时到CAB服务器上)、同时用户账号时不带前缀(如遇同名账号,CAB服务器上原账号密码会被替换),而且在【用户管理】【系统用户】【系统用户】选项卡中会显示同时全部按钮,图28:图 25也能够经过此处,把全部SGA用户一次性同时到iserver服务器上。2.2.2 TCP应用条件过滤,可针对已经公布TCP应用资源,依据名称,描述,地址类型,状态进行单独、组合、模糊、正确等查询。图 26添加/配置TCP隧道资源,点添加后,出现以下配置界面:图 27基础信息名称:TCP隧道资源在系统和用户界面显示名称。描述:可为空。排序优先级:值越大在前台资源列表中显示位置越靠前,不填
23、或为0则按默认排序。启用:是否启用该TCP隧道资源。配置参数地址类型:有IP地址或域名,网段,子网三个选项。选择不一样地址类型,下面将会有对应填写项出来。1. 假如选择地址类型为“IP地址或域名”,则会出现协议类型、IP地址或域名、URL输入框;2. 假如选择地址类型为“网段”,则会出现起始IP、结束IP、端口方法输入框;3. 假如选择地址类型为“子网”,则会出现主机号、子网掩码、端口方法输入框;协议类型:只有在地址类型选择IP地址时候,才有协议类型选择,共有10项可供选择:http,ftp,smtp,pop3,imap,RDP,Telnet,SSH,https,others。注意:只有公布协
24、议类型为http、https或ftp,用户前台显示才会是个可直接点击链接。IP地址或域名:应用服务器IP地址或域名。注意:如填写域名,一定要在用户端域名配置页配置,用户才能正常使用。目录:该项只在协议类型选择http、https、ftp时显示。在公布http、https和ftp链接有后缀时用。格式为:/news/a.html。端口方法:有单个端口,端口区间,端口序列三个选择项。端口号:依据端口方法选择,可填写单个、一段连续、或不连续端口。是否隐藏:勾选后,在用户有权限访问该TCP应用资源情况下,用户登录前台将不会显示该TCP隧道资源。是否自动弹出:即一登录进页面,立即弹出该应用页面,不用用户手
25、工点击。仅限IE形式和资源管理器形式打开页面。图标:该资源在前台显示图标。自定义图标可在【应用公布】【应用相关配置】【图标管理】模块页面上传。现在TCP应用已经支持在用户端上访问。2.2.3 IP应用条件过滤,可针对已经公布IP隧道应用资源,依据名称,描述,地址类型,状态进行单独、组合、模糊、正确等查询。图 28添加/配置IP应用资源,点击添加后,弹出以下配置界面:图 29基础信息名称:IP隧道资源在系统和用户界面显示名称。描述:可为空。排序优先级:值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。启用:是否启用该IP隧道资源。配置参数地址类型:有IP地址或域名,网段,子网三个选项
26、。选择不一样地址类型,下面将会有对应填写项出来。1. 假如选择地址类型为“IP地址或域名”,则会出现协议类型、IP地址或域名、URL输入框;2. 假如选择地址类型为“网段”,则会出现起始IP、结束IP、端口方法输入框;3. 假如选择地址类型为“子网”,则会出现主机号、子网掩码、端口方法输入框;协议类型:只有在地址类型选择IP地址时候,才有协议类型选择,共有10项可供选择:http,https,ftp,smtp,pop3,imap,rdp,Telnet,SSH,smb,other。注意:只有公布协议类型为http、https、ftp,smb,用户前台显示才会是个可直接点击链接。IP地址或域名:应
27、用服务器IP地址或域名。如填写域名在【网络配置】【用户端域名解析】页面找不到对应项,在提交完这个IP资源配置后,将自动弹出用户端域名解析配置页面,管理员填写好后确定即可。注意:一定要在用户端域名解析配置页配置该域名和IP对应关系,用户才能正常使用。目录:该项只在协议类型选择http,https、ftp,smb时显示。在公布http、https、ftp,smb应用链接有后缀时用。格式:http、https、ftp,smb格式比如:/news/a.html;文件共享格式比如:software 。端口方法:有单个端口,端口区间,端口序列三个选择项。端口号:依据端口方法选择,可填写单个、一段连续、或不
28、连续端口。是否隐藏:勾选后,在用户有权限访问该IP应用资源情况下,用户登录前台将不会显示该IP隧道资源。是否自动弹出:即一登录进PC前台页面,立即弹出该应用页面,不用用户手工点击。仅限IE形式和资源管理器形式打开页面。图标:该资源在前台显示图标。自定义图标可在【应用公布】【应用相关配置】【图标管理】模块页面上传。【隧道服务配置】选项卡,可配置IP隧道模式和虚拟网络和选择是否启用全隧道模式。隧道应用有三种工作模式:1、NAT模式,2、路由模式,3、网桥模式。NAT模式下,会将用户端源IP转换为设备分发虚拟IP地址和服务器通信,图33所表示;图 30路由模式下,不会改变用户端源IP地址,需要在服务
29、器端做个路由,即到用户端虚拟网络IP包走我们设备接口出去,图34所表示;图 31网桥模式下,用户端直接分配和设备接口同网段IP地址,系统这时将是透明模式(类似交换机),用户端直接用分配内网IP地址和服务器通信,图30所表示;图 32注:NAT和路由模式下提议该虚拟网络不要跟用户端网络和服务端网络一样,以免造成IP地址冲突。掩码书写一定要和虚拟网络处填写网络号对应,不然将无法保留,提醒掩码错误。网桥模式IP地址范围一定要跟网卡IP地址在一个网段,而且是内网没有使用过IP段。NAT模式和路由模式全部需要在隧道路由配置页面配置和设备同网段路由规则,该路由是下发到用户端;网桥模式可不配置用户端路由,仅
30、在我们设备端有多网段情况下才需要配置;注:网桥模式下,您会在【网络配置】【基础配置】【网络接口】信息里面看到对应设备接口地址消失了。启用全隧道模式后,会出现短时间断网现象,连接后,全部用户端访问全部走隧道出去。(注意:现在版本需要配置隧道路由)【隧道路由】选项卡,经过隧道接入用户端,假如需要访问某个网段里服务器,需要在这里添加对应路由配置。假如您在虚拟网络配置页面里面配置是NAT模式或路由模式,则需要在这里配置用户端路由,包含设备本身所在网段,如需要访问设备本身所在网段,需要把该网段路由公布出来。假如是单一网络结构,即我们设备端只有一个网段,在网桥模式下,则不需要配置用户端路由。图36所表示:
31、图 33添加/配置隧道路由,点添加后,出现以下配置界面:图 34【虚拟IP导出/绑定】选项卡。图38所表示: 图 35在此页面能够先导出虚拟IP列表,根据列表格式编辑新虚拟IP列表。注:若导入文本中包含汉字字符,需转换为UTF-8格式文本文件。只有私有用户才拥有手动设置虚拟ip功效。图 36【虚拟IP列表】选项卡。图40所表示:在此页面能够先显示虚拟IP列表,并对对应虚拟IP进行绑定或解除绑定。 图 372.2.5 移动视频资源在移动端能够将摄像头视频资源公布出来,供实时查看。基础信息名称:移动视频资源在系统和用户界面显示名称。描述:可为空。排序优先级:值越大在前台资源列表中显示位置越靠前,不
32、填或为0则按默认排序。启用:是否启用该IP隧道资源。配置参数URL地址:视频资源地址。是否隐藏:勾选后,在用户有权限访问该IP应用资源情况下,用户登录前台将不会显示该IP隧道资源。是否自动弹出:即一登录进PC前台页面,立即弹出该应用页面,不用用户手工点击。仅限IE形式和资源管理器形式打开页面。图标:该资源在前台显示图标。自定义图标可在【应用公布】【应用相关配置】【图标管理】模块页面上传。图 382.2.4 单点登录单点登录使用是需要您本身能访问该单点登录所公布资源前提下使用,即您要能经过本身网络,TCP应用或隧道应用下能访问到该资源,才能正常使用单点登录打开您所要访问系统。这里着重介绍【助手配
33、置】模块,模板配置和助手配置原理相通,如需要配置单点登录,提议使用【助手配置】完成。【助手配置】模块首先你需要下载助手配置助手,能够在【单点登录】【助手配置】页面点击下载配置助手下载,录制好相关应用对应XML文件。在下载助手工具中会有具体操作说明。图 39添加/配置助手配置资源,点添加后,出现图41配置界面:图 40基础信息资源名称:助手配置资源在系统和用户界面显示名称。描述:可为空。排序优先级:值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。是否启用:是否启用该助手配置资源。上传录制XML文件:浏览选择制作好XML文件路径并选择此文件上传。登录账号填写方法:该方法有三种:1)用
34、户首次访问之前预先设置。选择该项,前台用户第一次访问该助手单点登录资源,会弹出用户名密码等信息录入页面,填写好后,下次再访问时,即直接用第一次录入信息登录公布系统。2)自动填写为登录此设备账户名和密码。图38:可复选适用这么使用用户类型。图 41选择该项后,前台用户第一次访问该助手单点登录资源,会弹出录入信息框,不过用户不需要录入用户名密码,只需要录入其它信息即可,填写好后,下次再访问时,即直接用登录SGA前台账户和密码来登录该单点登录资源系统。3)自动从资源认证用户数据库获取并填写。该功效可直接从第三方数据库中取账户密码作为单点登录资源登录账户密码。图39:该项要和下面将介绍资源认证用户数据
35、库和资源账户关联结合使用。图 42用户数据库:该处选择,需要先在【资源认证用户数据库】模块先建立数据库资源。登录账户名关联:此处有三项选择:手动配置关联,同名关联,自定义规则关联。可查看旁边查看说明链接了解其使用。其中手动配置关联需要结合资源账户关联模块使用。该关联配置是将要用在单点登录资源数据库账户和SGA系统账户做关联。点击查看说明,图44:图 43是否隐藏:勾选后,用户登录前台将不会显示该助手配置资源。是否自动弹出:即一登录进SGA前台页面,立即弹出该应用页面,不用用户手工点击。图标:该资源在前台显示图标。自定义图标可在【应用公布】【图标管理】模块页面上传。2.2.5 IBOX云盘用户使
36、用PC或手机用户端访问服务器时,支持从该服务器下载文件,远程打开而且支持从当地上传文件到服务器端。配置以下图45所表示:图 44图 45启用IBOX:勾选后,即可启用该功效。用户独立配置:未勾选话,那么全部用户IBOX信息全部是在这里配置,假如勾选,那么IBOX信息会在【用户管理】【系统用户】【系统用户】看到图47配置界面。IBOX云打开主机: IBOX打开远程文件调用服务器地址。图 46存放系统类型:默认选择windows文件服务器。假如有专门存放文件网络文件服务器,能够选择IP地址:该存放服务器内网地址目录:存放上传下载文件文件夹目录。注意:windows文件服务器目录格式:sharedo
37、c,网络文件服务器目录格式:/share/doc用户名:能访问到该服务器用户密码:能访问到该服务器用户对应密码登录域:假如要登录该服务器域则填写该服务器登录域状态:显示绿色字体已挂载则表示成功挂载了ibox,红色字体未挂载则表示没有成功挂载ibox。以上信息配置好后,使用手机用户端登录前台地址, 比如以ipad为例,在服务器地址栏输入,用户名密码输入demo/111111,登录进入资源列表后,选择【文件中心】,以下图所表示:图 47注:假如在移动云管理平台没有配置对应信息或未授权使用该功效,该手机用户端ibox页面将不会显示任何信息2.2.6 应用相关配置包含【图标管理】,【内网主机】,【内网
38、域名服务器】三个选项卡,为了配合配置隧道应用使用,图49所表示:图 48【图标管理】选项卡,会内置部分应用图标在设备里,方便使用。能够自由添加符合尺寸要求图片。内置图标图46所表示:图 49【内网主机】和【内网域名服务器】两个选项卡,关键实现功效:应用公布里面如公布资源以域名形式公布,需要配置此项。以下多个情况配置方法:1)服务器端内部有DNS 服务器,用户端在连进我们设备后需要由该DNS 服务器来解析相关域名;或管理员指定某个域名对应某个IP 地址,用户端在连进我们设备后,需要经过这个域名访问正确定位到固定服务器。这时只需要在该页面下把内部DNS服务器地址填写上即可。2)接入网络没有内部DN
39、S服务器,只需要将固定域名对应固定IP情况下。这时需要在该页面下把我们设备本机地址填写上,即127.0.0.1,然后到【网络配置】【基础配置】【主机解析】选项卡下配置IP和域名对应关系即可。3)如应用公布里面资源是公布外网域名地址,如,一样也需要配置该页面,只需要将公网DNS服务器地址填写上即可,因为全部公布资源,不管内外网资源,只要是用户经过前台访问,全部会走隧道去访问,不会走用户当地网络。【内网主机】选项卡以下图:条件过滤,可针对已经公布资源,依据主机名称,IP 地址,状态进行单独、组合、模糊、正确等查询。图 50点击添加,出来图52界面,配置主机名称,IP地址、选择。图 51主机名称:用
40、户要访问域名或主机名称;类型:固定IP 类型即给上面主机名称对应一个固定IP 地址,该IP 地址在下面IP 地址项填写;DNS 解析类型即把上面主机名称解析工作交由DNS 服务器做,然后把解析后主机名称和IP 地址对应关系下发到用户机,DNS 服务器指定可在“用户端域名服务器“或【网络配置】【基础配置】【域名服务器】下配置,假如这两个地址全部有配置域名服务器,对于用户端主机名称解析,用户端域名服务器优先级高于【基础配置】【域名服务器】。IP 地址:只在类型选择为固定IP 地址时填写,在用户机上,该IP 地址将对应上面配置主机名称被写入用户机hosts 文件里面。启用:是否启用该资源。【内网域名
41、服务器】页面图53:该配置页必需和内网主机配置结合使用。图 52配置用户端域名服务器:勾选该项,将启用用户端域名服务器。首选DNS 服务器:勾选上配置用户端域名服务器后,该项为必填项,填写DNS 服务器IP 地址。备用DNS 服务器:选填项,填写备用DNS 服务器IP 地址。2.3 用户管理2.3.1系统用户条件过滤,可针对已经存在系统用户,依据名称,所属用户组,用户类型,认证类型,真实姓名,描述,证书序列号,状态进行单独、组合、模糊、正确等查询。图 53点击添加,出现图55、56界面:图 54图 55用户基础信息用户名:用户登录前台登录名称。真实姓名:可为空。E-Mail:该项需要在【认证和
42、策略】【认证服务配置】勾选启用邮箱认证服务才会出现。描述:可为空账号期限:账号能够使用有效年限。默认是目前时间+,用户在该期限内能够正常使用,超出该期限,帐号为过期状态,用户无法用该帐号登录。账户选项:勾选“启用该用户”,该帐号为启用状态,能够正常使用,没有勾选,该帐号为禁用状态,用户无法使用该帐号。勾选“私有账户”,新建用户默认勾选。即同一时间,该账户只能一个用户登录,除非在【认证和策略】【登录策略】勾选许可私有账户反复登录后,才许可私有用户也能同时多终端登录。匿名账户选项需要在【认证和策略】【登录策略】下,勾选匿名访问策略项才会出现。认证策略用户类型:该处能选择用户类型共有7个,除当地用户
43、外,其它类型需要勾选【认证和策略】【认证服务器】配置下相关认证服务才会出现。在此出现6种用户类型有:当地用户,LDAP用户,RADIUS用户,数据库用户, HTTP用户,当地令牌认证用户,手机令牌认证用户。认证选项:有用户名/密码和数字证书两个复选框,全部勾选后,会显示认证方法同时使用(用户登录时必需同时使用用户名/密码认证和数字证书这两种认证方法才能认证经过)、任选一个(用户可任意选择使用用户名/密码认证和数字证书中一个)辅助认证方法:可灵活选择是否启用硬件特征码绑定、短信验证和令牌认证等功效。勾选启用硬件特征码绑定选项后,在下面认证信息框中会有“登录硬件特征码”绑定信息显示。认证信息: 密
44、码和确定密码:是用户名/密码认证方法要使用密码选择证书类型:作为数字证书认证证书选择类型,可选择X509证书和P12证书这两种证书类型其它配置:TCP限速:该功效可限制该用户每次登录前台资源访问页面使用隧道流量,仅限TCP协议流量。(单位:KB/s,为0表示不限制)TCP流量总量限制:该功效项可根据每日,每七天,每个月来限制该用户使用隧道总TCP协议流量。登录硬件特征码:假如用户所属组勾选使用机器码绑定策略,则用户首次登录时,系统会自动采集用户电脑上CPU,网卡等信息来生成唯一标识该电脑特征码并自动绑定。绑定后,持有这个特征码对应电脑,平板或手机才能使用这个账户进行登录。该功效使用说明:第一次
45、配置时,管理员只需在系统用户组把绑定硬件特征码勾上即可。用户在第一次成功登录后,设备会对应登录用户统计下第一个使用该账户登录电脑特征码信息到缓存区,当硬件特征码发生改变时,能够保留,但需要审批才能使用新硬件特征码登录。虚拟IP:私有账户默认开启该功效。该项需要和IP隧道结合使用,即在使用IP隧道资源时分配虚拟IP地址能够给每个用户绑定固定虚拟IP地址。为了预防IP地址冲突,绑定虚拟IP用户全部强制为私有账户。而且管理员在配置时一定要注意不要把IP段第一个地址分配给任何用户(如10.8.0.1),因为第一个虚拟IP地址将给设备使用。同时也要注意一个用户对应一个固定虚拟IP,相同虚拟IP地址不要绑在不一样用户上。虚拟I