1、 Array SPX工程安装配置手册 认证授权配置部分 一、 SSL VPN门户Virtual Site认证配置 1 1. Radius 认证服务配置 3 2. LDAP认证服务配置 5 3. AD认证服务配置 8 4. SecurID动态口令认证配置 9 二、 SSL VPN门户Virtual Site授权配置 10 1. LocalDB授权 13 2. LDAP服务器授权 15 3. Radius服务器授权 17 4. Group Mapping 授权方法 19 SSL VPN门户Virtual Site认证配置 Array SSL VPN
2、设备Virtual Site 接入支持多个认证方法,包含LocalDB、LDAP、AD、Radius、SecurID 等。门户认证也能够关掉,这时用户登陆就不需要认证了,当然,也丧失了很大安全性。每个Virtual Site 最多能够配置四种认证方法,用户登陆时,根据次序查找认证服务,当第一个认证方法失败会使用第二种认证方法,直到成功或完全失败为止。对于AD、LDAP、Radius认证,每种方法最多能够配置3个认证服务器。因为上一章已经介绍了LocalDB配置方法,假如您只使用LocalDB,能够越过本章。本章我们关键介绍其它多个认证方法配置。 Site Configuration->AAA
3、>General
Site Configuration->AAA->Method
命令行为:
aaa method
4、lDB。 SP-Demo (config)$aaa method ldap 2 ldap 第二种认证方法采取LDAP服务器,授权也使用LDAP服务器。 Radius认证服务配置 Radius认证是业界普遍采取认证协议,Virtual Site采取Radius 作认证服务器,需要配置对应参数及端口,当然在SPX 和Radius服务器中间通信要保持通畅,假如有防火墙需要打开对应端口。在配置Radius认证前,先要和用户管理员问询部分Radius服务器情况,包含:Radius 服务认证端口,通常采取UDP 1812或 是UDP1645,当然用户也可能使用别端口。另外还要问询服务器使用通信
5、密钥。
命令行为:
aaa method radius
6、0.1.10.76 1812 "radius_secret" 20 3 Site Configuration->AAA->Authentication->RADIUS LDAP认证服务配置 LDAP 是一个轻型目录访问协议,含有结构清楚,查找速度较快特点。Virtual Site 采取LDAP作认证,一样需要配置部分参数。所以在作此项配置之前,要先和用户LDAP 管理员作一下沟通,取得部分参数信息,并用LDAP Browser等用户端工具验证一下,把她LDAP结构清楚化。LDAP服务通常采取TCP 389端口,基于SSL 协议通常采取636
7、 端口。
命令行为:
aaa method ldap
8、 9、ser> 10、>Authentication->LDAP
AD认证服务配置
采取Active Directory 作认证服务器,需要配置对应参数及TCP端口,当然在SPX和AD服务器中间通信要保持通畅,假如有防火墙需要打开对应端口。AD底层也是一个LDAP,所以也一样能够经过LDAP配置方法配置她。
命令行为:
aaa method ad 11、config)$aaa ad host 10.1.175.7 389 “@”
SecurID动态口令认证配置
Virtual Site 用securID认证,关键配置工作在SecurID服务器上,详见SPX手册,在SecurID服务器上生成一个文件,将这个文件导入SPX即可,另外,SecurID认证一定要选择rank1,而且是全局生效。
Ace Server和SPX主机名和IP地址对应关系一定要在两台设备上全部能够正确互访到。使用SPX默认路由所指向interface,作为ACE Server所指定primary interface.,假如其它端口也配置了IP地址, 12、需要将其IP地址作为secondary interface,这么采取能够在SPX和Ace Server上正确加密数据流。
命令行为:
aaa securid import 13、al Site授权配置
授权是SSL VPN一个关键安全功效,Array授权机制是设置用户或组享受特定权限,授权是和认证方法高度相关,不一样认证采取不一样授权方法。如用LDAP 认证,能够经过LDAP服务器授权,也能够经过LocalDB 或是Radius服务器授权。
认证授权关系表
认证方法
可认证
可授权
LocalDB
Y
Y
Radius
Y
Y(需要扩展Dictionary)
LDAP
Y
Y(需要扩展Schema)
AD
Y
Group Mapping或LocalDB
SecurID
Y
N
Array SPX授权权限分为几类:
授 14、权方法
授权内容
可授权
ACL
定义了用户或组享受权限列表
SourceNet
定义了登陆原地址范围
Y(需要扩展Dictionary)
NetPool
定义了L3VPN所使用地址池
Y(需要扩展Schema)
UID, GID
定义了用户使用NFS功效时用到UID和GID信息
Group Mapping或LocalDB
其中最关键授权方法是ACL。ACL分为两大类,一类要求了WRM、File Sharing控制规则,另一类定义了ClientApp和L3VPN控制规则。一个用户登陆SSL VPN时它权限能够经过ACL作具体授权。
Arra 15、y SPX缺省是没有ACL配置,这时全部资源对全部用户开放,一旦对某个用户或组配置了一个ACL,则对她需要访问内容权限一定要显示配置成PERMIT,不然不许可访问。
对WRM 、File Sharing 生效ACL
命令行为:
16、irtual Site上,在Virtual Site Config 模式时,不需要此参数。
如:
0 http:10.1.175.7/exchange AND intra DENY
1 http:* AND intra PERMIT
2 file:10.1.175.7/demo AND intra DENY
3 file:* AND intra PERMIT
我们会在LocalDB授权时给出具体针对不一样用户配置方法。
2.针对ClientApp、L3VPNACL
命令行为:
17、rt] [AND 18、p *:0.0.0.0/0 AND partner DENY
一样,我们会在LocalDB授权时给出具体针对不一样用户配置方法。
LocalDB授权
用LocalDB授权比较简单,只需对对应用户或组配置对应ACL即可。
命令行为:
Global 模式:
localdb acl account 19、nt 20、ocaldb acl account "test" "1 http:* AND SP-Demo PERMIT"
SP-Demo (config)$localdb acl account "test" "0 file:10.1.175.7/demo AND SP-Demo DENY"
SP-Demo (config)$localdb acl account "test" "1 file:* AND SP-Demo PERMIT"
SP-Demo (config)$localdb acl account "test" "2 ip *:10.1.175.0/255.255.255.0 AND 21、SP-Demo PERMIT"
SP-Demo (config)$localdb acl account "test" "3 ip *:0.0.0.0/0 AND SP-Demo DENY“
组策略:
localdb netpool group 22、ocalDB上帐号对应,假如LocalDB上没有这个帐号,需要用Default Group 作在LocalDB上没有帐号授权。
如:
SP-Demo (config)$aaa on
SP-Demo (config)$aaa radius accounting off
SP-Demo (config)$aaa method ad 1 localdb
SP-Demo (config)$aaa ad host 10.1.10.31 389 "@"
SP-Demo (config)$aaa localdb group default "arraygroup"
SP-Demo (con 23、fig)$aaa localdb authorization usedefault
LDAP服务器授权
假如您使用LDAP认证,缺省是采取LDAP服务器作授权,立即ACL作为LDAP服务器用户对应属性来进行授权,这时需要扩充LDAPschema。假如您认证服务器和LDAP授权服务器不是一台机器,那您需要单独配置LDAP授权服务器。
LDAP授权命令行为:
SP-Demo(config)$aaa method 24、 25、ma/core.schema
include d:/openldap/etc/schema/inetorgperson.schema
include d:/openldap/etc/schema/array.schema
然后在对应目录下放置array.shema文件,内容以下:
#Array extended schema ,added by wuyuepeng
# ArrayNetworks Schema
# case senstive url prefix ie *
attributetype ( 1.3.6.1.4.1.7564.1000.1
NAME 'ac 26、cepturl'
DESC 'accept url exprerssion'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
# accepted source network addresses
# of the form network/mask eg 10.2.0.0/255.255.0.0
attributetype ( 1.3.6.1.4.1.7564.1000.2
NAME 'sourcenet'
DESC 'Source Network ip/mask'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.2 27、6 )
# case senstive network pool name
attributetype ( 1.3.6.1.4.1.7564.1000.3
NAME 'netpool'
DESC 'network pools for L3 VPN'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
#Array User inhearts from inetOrgPer
objectclass ( 1.3.6.1.4.1.7564.1000
NAME 'ArrayUser'
DESC 'Array Appliance Network Us 28、er'
SUP top
AUXILIARY
MAY ( accepturl $ sourcenet )
)
# Borrow the accepturl and sourcenet from ArrayUser
objectclass ( 1.3.6.1.4.1.7564.1001
NAME 'ArrayGroup'
DESC 'Array Appliance Network Group'
SUP top
AUXILIARY
MAY ( accepturl $ sourcenet $ netpool )
)
然后在用户对应属性增加对应权限即可: 29、
如:
在accepturl属性赋值为一个ACL:0 http:10.1.175.7/exchange AND SP-Demo DENY
Radius服务器授权
同LDAP授权一样,假如您使用Radius做认证,缺省是采取Radius服务器作授权,立即ACL作为Radius服务器用户对应属性来进行授权,这时需要扩充RadiusDictionary。假如您认证服务器和Radius授权服务器不是一台机器,那您需要单独配置Radius授权服务器。
Radius授权命令行为:
SP-Demo (config)$aaa method 30、 31、
# Array Netorks Extensions
ATTRIBUTE Accept-Acls 1 string Array-Networks
ATTRIBUTE SourceNets 2 string Array-Networks
ATTRIBUTE memberUid 3 integer Array-Networks
ATTRIBUTE memberGid 4 string Array-Networks
ATTRIBUTE NetPool 5 string Array-Networks
然后在 32、用户对应属性增加对应权限即可:
如某用户对应属性:
Foo Auth-Type = Local, Password = “foobar”
Accept-Acls = "0 http:*/ AND all PERMIT",
SourceNets = “10.2.0.0/255.255.0.0”
uidNumber = 2063,
gidNumber = "1000 1020 2300"
Group Mapping 授权方法
有用户用Radius、AD、LDAP认证,她们又不想修改这些服务器,加上Array授权属性。这时我们能够抓取这些服务器组信息放到LocalDB上 33、将这些认证服务器组映射到LocalDB对应组进行授权。
首先要找到Radius、AD、LDAP那个属性是她组属性,然后当这个属性等于某个值时映射到LocalDB特定组上。如AD上这个属性就是memberOf属性。
命令行为:
aaa ldap group 34、up> 35、onfig)$aaa on
SP-Demo (config)$aaa method ad 2 ldap
SP-Demo (config)$aaa ldap authorize host 10.1.1033 389 "wuyp" " wuyppass" "dc=arraydemo,dc=com" 30
SP-Demo (config)$aaa ad host 10.1.10.33 389 "@"
SP-Demo (config)$aaa ldap bind dynamic
SP-Demo (config)$aaa ldap authorize search filter "sAMAccountName=






