收藏 分销(赏)
立即下载 开通VIP

ArraySPX工程安装配置基本手册模板.doc

上传人:精*** 文档编号:3033713 上传时间:2024-06-13 格式:DOC 页数:22 大小:780.54KB
下载 相关 举报
ArraySPX工程安装配置基本手册模板.doc_第1页
第1页 / 共22页
ArraySPX工程安装配置基本手册模板.doc_第2页
第2页 / 共22页
ArraySPX工程安装配置基本手册模板.doc_第3页
第3页 / 共22页
ArraySPX工程安装配置基本手册模板.doc_第4页
第4页 / 共22页
ArraySPX工程安装配置基本手册模板.doc_第5页
第5页 / 共22页
点击查看更多>>
资源描述

1、Array SPX工程安装配置手册认证授权配置部分一、 SSL VPN门户Virtual Site认证配置11. Radius 认证服务配置32. LDAP认证服务配置53. AD认证服务配置84. SecurID动态口令认证配置9二、 SSL VPN门户Virtual Site授权配置101. LocalDB授权132. LDAP服务器授权153. Radius服务器授权174. Group Mapping 授权方法19SSL VPN门户Virtual Site认证配置Array SSL VPN设备Virtual Site 接入支持多个认证方法,包含LocalDB、LDAP、AD、Radiu

2、s、SecurID 等。门户认证也能够关掉,这时用户登陆就不需要认证了,当然,也丧失了很大安全性。每个Virtual Site 最多能够配置四种认证方法,用户登陆时,根据次序查找认证服务,当第一个认证方法失败会使用第二种认证方法,直到成功或完全失败为止。对于AD、LDAP、Radius认证,每种方法最多能够配置3个认证服务器。因为上一章已经介绍了LocalDB配置方法,假如您只使用LocalDB,能够越过本章。本章我们关键介绍其它多个认证方法配置。Site Configuration-AAA-GeneralSite Configuration-AAA-Method命令行为:aaa method

3、 rank authorization methodAuthentication Method:指采取认证方法Rank:是 Virtual Site 第多个认证方法Authorization Method:定义了使用这种认证方法时采取授权方法,下章祥述。如:SP-Demo (config)$aaa method localdb 1 第一个认证方法采取LocalDB,授权使用LocalDB。SP-Demo (config)$aaa method ldap 2 ldap第二种认证方法采取LDAP服务器,授权也使用LDAP服务器。Radius认证服务配置Radius认证是业界普遍采取认证协议,Vir

4、tual Site采取Radius 作认证服务器,需要配置对应参数及端口,当然在SPX 和Radius服务器中间通信要保持通畅,假如有防火墙需要打开对应端口。在配置Radius认证前,先要和用户管理员问询部分Radius服务器情况,包含:Radius 服务认证端口,通常采取UDP 1812或 是UDP1645,当然用户也可能使用别端口。另外还要问询服务器使用通信密钥。命令行为:aaa method radius authorization methodaaa radius host IP:指Radius服务器IP地址Port:Radius服务所使用端口Secret:SPX和Radius服务器之

5、间使用通信密钥Timeout:超时设定Retries:重试次数如:SP-Demo (config)$aaa method radius 2 SP-Demo (config)$aaa radius host 10.1.10.76 1812 radius_secret 20 3Site Configuration-AAA-Authentication-RADIUSLDAP认证服务配置LDAP 是一个轻型目录访问协议,含有结构清楚,查找速度较快特点。Virtual Site 采取LDAP作认证,一样需要配置部分参数。所以在作此项配置之前,要先和用户LDAP 管理员作一下沟通,取得部分参数信息,并用L

6、DAP Browser等用户端工具验证一下,把她LDAP结构清楚化。LDAP服务通常采取TCP 389端口,基于SSL 协议通常采取636 端口。命令行为:aaa method ldap authorization methodaaa ldap host tlsIP:LDAP服务器IP地址。Port :LDAP 服务端口User Name:有对应LDAP Search权限用户名Password:查找时上面用户口令Base:从哪一级目录进行查找aaa ldap search filter LDAP查找Search 规则,如:某属性,其中代表用户在登陆SSL VPN Virtual Site输入字

7、符串,是参数传输。接下来配置绑定规则,能够选择动态绑定,也能够选择静态绑定,bind是指用户DN组成规则。1动态绑定:aaa ldap bind dynamicLDAP查找时依据Complete Distinguished Name,Base 信息和search filter在上面命令种定义2静态绑定:aaa ldap bind static dn_prefix:前缀dn_suffix:后缀 一起组成了用户DN如:SP-Demo (config)$aaa method ldap 4 SP-Demo (config)$aaa ldap host 10.1.10.76 389 cn=manager

8、,dc=arraytsd,dc=com secret dc=arraytsd,dc=com 20 SP-Demo (config)$aaa ldap search filter cn= SP-Demo (config)$aaa ldap bind dynamicSite Configuration-AAA-Authentication-LDAPAD认证服务配置采取Active Directory 作认证服务器,需要配置对应参数及TCP端口,当然在SPX和AD服务器中间通信要保持通畅,假如有防火墙需要打开对应端口。AD底层也是一个LDAP,所以也一样能够经过LDAP配置方法配置她。命令行为:aa

9、a method ad authorization methodaaa ad host 如:SP-Demo (config)$aaa method ad 2SP-Demo (config)$aaa ad host 10.1.175.7 389 “”SecurID动态口令认证配置Virtual Site 用securID认证,关键配置工作在SecurID服务器上,详见SPX手册,在SecurID服务器上生成一个文件,将这个文件导入SPX即可,另外,SecurID认证一定要选择rank1,而且是全局生效。Ace Server和SPX主机名和IP地址对应关系一定要在两台设备上全部能够正确互访到。使用

10、SPX默认路由所指向interface,作为ACE Server所指定primary interface.,假如其它端口也配置了IP地址,需要将其IP地址作为secondary interface,这么采取能够在SPX和Ace Server上正确加密数据流。命令行为:aaa securid import 如:SP-Demo (config)# aaa securid import SP-Demo (config)$aaa method secured authorization method通常SecurID服务器也一样支持Radius协议,假如那您把她看作Radius服务器,也能够根据Rad

11、ius服务认证方法配置她,详见前面章节。SSL VPN门户Virtual Site授权配置授权是SSL VPN一个关键安全功效,Array授权机制是设置用户或组享受特定权限,授权是和认证方法高度相关,不一样认证采取不一样授权方法。如用LDAP 认证,能够经过LDAP服务器授权,也能够经过LocalDB 或是Radius服务器授权。认证授权关系表认证方法可认证可授权LocalDBYYRadiusYY(需要扩展Dictionary)LDAPYY(需要扩展Schema)ADYGroup Mapping或LocalDBSecurIDYNArray SPX授权权限分为几类:授权方法授权内容可授权ACL定

12、义了用户或组享受权限列表SourceNet定义了登陆原地址范围Y(需要扩展Dictionary)NetPool定义了L3VPN所使用地址池Y(需要扩展Schema)UID, GID定义了用户使用NFS功效时用到UID和GID信息Group Mapping或LocalDB其中最关键授权方法是ACL。ACL分为两大类,一类要求了WRM、File Sharing控制规则,另一类定义了ClientApp和L3VPN控制规则。一个用户登陆SSL VPN时它权限能够经过ACL作具体授权。Array SPX缺省是没有ACL配置,这时全部资源对全部用户开放,一旦对某个用户或组配置了一个ACL,则对她需要访问内

13、容权限一定要显示配置成PERMIT,不然不许可访问。对WRM 、File Sharing 生效ACL命令行为: : AND (PERMIT|DENY)Priority:优先级Scheme: 是针对HTTP还是 File SharingHost:目标服务器,支持通配符“*”。Path:路径AND virtual :在global mode配置时只关联到对应Virtual Site上,在Virtual Site Config 模式时,不需要此参数。如:0 http:10.1.175.7/exchange AND intra DENY1 http:* AND intra PERMIT2 file:1

14、0.1.175.7/demo AND intra DENY3 file:* AND intra PERMIT我们会在LocalDB授权时给出具体针对不一样用户配置方法。2针对ClientApp、L3VPNACL命令行为: ip :/:port AND PERMIT|DENYPriority 优先级 Protocol 针对那种IP协议,能够时TCP、UDP或protocol number,*代表全部协议。Host_IP:目标服务器Netmask:掩码Port:端口号AND virtual :在global mode配置时只施加在那个virtuail site ,在virtual site con

15、fig 模式时,不需要此参数如:0 ip *:10.1.175.0/255.255.255.0 AND partner PERMIT1 ip *:0.0.0.0/0 AND partner DENY一样,我们会在LocalDB授权时给出具体针对不一样用户配置方法。LocalDB授权用LocalDB授权比较简单,只需对对应用户或组配置对应ACL即可。命令行为:Global 模式:localdb acl account localdb acl group Virtual Site 模式:localdb acl account localdb acl group 如:用户策略SP-Demo (con

16、fig)$aaa on SP-Demo (config)$aaa method localdb 1 SP-Demo (config)$localdb account test “pass“SP-Demo (config)$localdb acl account test 0 http:10.1.175.7/exchange AND SP-Demo DENYSP-Demo (config)$localdb acl account test 1 http:* AND SP-Demo PERMITSP-Demo (config)$localdb acl account test 0 file:10.

17、1.175.7/demo AND SP-Demo DENYSP-Demo (config)$localdb acl account test 1 file:* AND SP-Demo PERMITSP-Demo (config)$localdb acl account test 2 ip *:10.1.175.0/255.255.255.0 AND SP-Demo PERMITSP-Demo (config)$localdb acl account test 3 ip *:0.0.0.0/0 AND SP-Demo DENY“组策略:localdb netpool group 地址池分配loc

18、aldb sourcenet group 登陆原地址限制很多个认证方法全部能够经过LocalDB授权,不过这时通常需要用户名一一对应。如采取LDAP认证,LocalDB授权,要求LDAP服务器上帐号和LocalDB上帐号对应,假如LocalDB上没有这个帐号,需要用Default Group 作在LocalDB上没有帐号授权。如:SP-Demo (config)$aaa on SP-Demo (config)$aaa radius accounting off SP-Demo (config)$aaa method ad 1 localdbSP-Demo (config)$aaa ad hos

19、t 10.1.10.31 389 SP-Demo (config)$aaa localdb group default arraygroupSP-Demo (config)$aaa localdb authorization usedefaultLDAP服务器授权假如您使用LDAP认证,缺省是采取LDAP服务器作授权,立即ACL作为LDAP服务器用户对应属性来进行授权,这时需要扩充LDAPschema。假如您认证服务器和LDAP授权服务器不是一台机器,那您需要单独配置LDAP授权服务器。LDAP授权命令行为:SP-Demo(config)$aaa method ldapSP-Demo(conf

20、ig)$aaa ldap authorize host tls具体参数概念参见上一章中LDAP认证部分。SP-Demo(config)$aaa ldap authorize search filter 具体参数概念参见上一章中LDAP认证部分。然后关键任务是配置LDAP服务器,首先扩充LDAP服务器schema,然后配置需要授权用户ACL属性给予对应权限。我们以OpenLDAP为例叙述过程,通常需要在slapd.conf中加入include文件:included:/openldap/etc/schema/core.schemaincluded:/openldap/etc/schema/inet

21、orgperson.schemaincluded:/openldap/etc/schema/array.schema然后在对应目录下放置array.shema文件,内容以下:#Array extended schema ,added by wuyuepeng# ArrayNetworks Schema# case senstive url prefix ie *attributetype ( 1.3.6.1.4.1.7564.1000.1NAME accepturlDESC accept url exprerssionSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

22、# accepted source network addresses# of the form network/mask eg 10.2.0.0/255.255.0.0attributetype ( 1.3.6.1.4.1.7564.1000.2NAME sourcenetDESC Source Network ip/maskSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )# case senstive network pool nameattributetype ( 1.3.6.1.4.1.7564.1000.3NAME netpoolDESC network

23、pools for L3 VPNSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )#Array User inhearts from inetOrgPerobjectclass ( 1.3.6.1.4.1.7564.1000NAME ArrayUserDESC Array Appliance Network UserSUP topAUXILIARYMAY ( accepturl $ sourcenet )# Borrow the accepturl and sourcenet from ArrayUserobjectclass ( 1.3.6.1.4.1.7564.1

24、001NAME ArrayGroupDESC Array Appliance Network GroupSUP topAUXILIARYMAY ( accepturl $ sourcenet $ netpool )然后在用户对应属性增加对应权限即可:如:在accepturl属性赋值为一个ACL:0 http:10.1.175.7/exchange AND SP-Demo DENYRadius服务器授权同LDAP授权一样,假如您使用Radius做认证,缺省是采取Radius服务器作授权,立即ACL作为Radius服务器用户对应属性来进行授权,这时需要扩充RadiusDictionary。假如您认

25、证服务器和Radius授权服务器不是一台机器,那您需要单独配置Radius授权服务器。Radius授权命令行为:SP-Demo (config)$aaa method radiusSp-Demo (config)$aaa ldap authorize host 具体参数概念参见上一章中Radius认证部分。然后就是扩充Radius服务器Dictionary,将ACL属性定义加进去,进而配置用户对应属性进行ACL授权。扩充Dictionary文件内容以下:#Array Networks# borrowed from snmpd, may lead to trouble laterVENDORAr

26、ray-Networks 7564# Array Netorks ExtensionsATTRIBUTE Accept-Acls 1 string Array-NetworksATTRIBUTE SourceNets 2 string Array-NetworksATTRIBUTE memberUid 3 integer Array-NetworksATTRIBUTE memberGid 4 string Array-NetworksATTRIBUTE NetPool 5 string Array-Networks然后在用户对应属性增加对应权限即可:如某用户对应属性:Foo Auth-Type

27、 = Local, Password = “foobar”Accept-Acls = 0 http:*/ AND all PERMIT,SourceNets = “10.2.0.0/255.255.0.0”uidNumber = 2063,gidNumber = 1000 1020 2300Group Mapping 授权方法有用户用Radius、AD、LDAP认证,她们又不想修改这些服务器,加上Array授权属性。这时我们能够抓取这些服务器组信息放到LocalDB上,将这些认证服务器组映射到LocalDB对应组进行授权。首先要找到Radius、AD、LDAP那个属性是她组属性,然后当这个属性

28、等于某个值时映射到LocalDB特定组上。如AD上这个属性就是memberOf属性。命令行为:aaa ldap group 若是LDAP,指代表组属性。aaa radius group 若是Radius,指代表组属性。aaa localdb group default 若组映射不成功,这个用户所属缺省组。aaa map group 当某用户值为external_group时,我们将她映射到localdb internal_group 组进行授权。以AD 举例:我们将AD看成一个LDAP授权服务器来进行配置。SP-Demo (config)$localdb group group1SP-Demo

29、 (config)$localdb group group2SP-Demo (config)$localdb acl group group1 0 http:10.1.10.55/ AND SP-Demo DENYSP-Demo (config)$aaa on SP-Demo (config)$aaa method ad 2 ldapSP-Demo (config)$aaa ldap authorize host 10.1.1033 389 wuyp wuyppass dc=arraydemo,dc=com 30 SP-Demo (config)$aaa ad host 10.1.10.33

30、389 SP-Demo (config)$aaa ldap bind dynamicSP-Demo (config)$aaa ldap authorize search filter sAMAccountName=SP-Demo (config)$aaa ldap group memberOfSP-Demo (config)$aaa localdb group default group2SP-Demo (config)$aaa map group partner gruop1“当某个用户属于partner这个组时则根据group1授权属性来进行控制,若不等于partner这个组则映射成缺省组group2来进行授权。

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服