1、 HYPERLINK Arrayy SPPX工程安安裝配置置手冊認證授權(quán)配配置部分分TOC o 1-3 h z uSSL VVPN門門戶Viirtuual Sitte認證證配置1Radiuus 認認證服務務配置3LDAP認認證服務務配置5AD認證服服務配置置8SecurrID動動態(tài)口令令認證配配置9SSL VVPN門門戶Viirtuual Sitte授權(quán)權(quán)配置10LocallDB的的授權(quán)13LDAP服服務器的的授權(quán)15Radiuus服務務器的授授權(quán)17Groupp Maappiing 授權(quán)方方式19SSL VVPN門門戶Virrtuaal SSitee認證配配置Arrayy SSSL VVPN

2、設備Virrtuaal SSitee的接入入支持多多種認證證方式，包包括LoccalDDB、LDAAP、AD、Raddiuss、SeccurIID等。門門戶認證證也可以以關(guān)掉，這這時用戶戶登陸就就不需要要認證了了，當然然，也喪喪失了很很大的安安全性。每每個Virrtuaal SSitee最多可可以配置置四種認認證方法法，用戶戶登陸時時，按照照順序查查找認證證服務，當當?shù)谝环N種認證方方法失敗敗會使用用第二種種認證方方法，直直到成功功或完全全失敗為為止。對對于AD、LDAAP、Raddiuss認證，每每種方法法最多可可以配置置3個認證證服務器器。由于于上一章章已經(jīng)介介紹了LoccalDDB的配置置

3、方法，如如果您只只使用LoccalDDB，可以以越過本本章。本本章我們們主要介介紹其他他幾種認認證方式式的配置置。Site Connfigguraatioon-AAAA-GGeneerallSite Connfigguraatioon-AAAA-MMethhod命令行為：aaa mmethhod rannk autthorrizaatioon mmethhodAutheentiicattionnMethhod：指采用用的認證證方法Rank：是 Virrtuaal SSitee的第幾幾種認證證方法Authoorizzatiion Methhod：定義義了使用用這種認認證方法法時采用用的授權(quán)權(quán)方法

4、，下下章祥述述。如：SP-Deemo (coonfiig)$aaaa meethood llocaaldbb 1 第一種認證證方法采采用LoccalDDB，授授權(quán)使用用LoccalDDB。SP-Deemo (coonfiig)$aaaa meethood lldapp 2 ldaap第二種認證證方法采采用LDAAP服務器器，授權(quán)權(quán)也使用用LDAAP服務器器。Radiuus認證證服務配配置Radiuus認證是是業(yè)界普普遍采用用的認證證協(xié)議，Virrtuaal SSitee采用Raddiuss作認證證服務器器，需要要配置相相應參數(shù)數(shù)及端口口，當然然在SPXX與Raddiuss服務器器中間的的通信要

5、要保持暢暢通，如如果有防防火墻需需要打開開相應端端口。在在配置Raddiuss認證前前，先要要和用戶戶的管理理員詢問問一些Raddiuss服務器器的情況況，包括括：Raddiuss服務認認證端口口，一般般采用UDPP 18812或者是UDPP16445，當然然用戶也也可能使使用別的的端口。另另外還要要詢問服服務器使使用的通通信密鑰鑰。命令行為：aaa mmethhod raddiuss autthorrizaatioon mmethhodaaa rradiius hosst IP：指RRadiius服務器器的IPP地址Port：Radiius服務所所使用的的端口Secreet：SPXX與Rad

6、iius服務器器之間使使用的通通信密鑰鑰Timeoout：超時時設定Retriies：重試試次數(shù)如：SP-Deemo (coonfiig)$aaaa meethood rradiius 2 SP-Deemo (coonfiig)$aaaa raadiuus hhostt 6 18112 raddiuss_seecreet 20 3Site Connfigguraatioon-AAAA-AAuthhentticaatioon-RADDIUSSLDAP認認證服務務配置LDAP是是一種輕輕型目錄錄訪問協(xié)協(xié)議，具具有結(jié)構(gòu)構(gòu)清晰，查查找速度度較快的的特點。Virtual Site采用

7、LDAP作認證，同樣需要配置一些參數(shù)。所以在作此項配置之前，要先和用戶的LDAP管理員作一下溝通，獲得一些參數(shù)信息，并用LDAP Browser等客戶端工具驗證一下，把他的LDAP結(jié)構(gòu)清晰化。LDAP服務一般采用TCP 389端口，基于SSL的協(xié)議一般采用636端口。命令行為：aaa mmethhod ldaap auuthoorizzatiion metthoddaaa lldapp hoost tllsIP：LDDAP服服務器IP地址。Port：LDAAP服務務端口User Namme：有相應應LDAAPSearrch權(quán)限的的用戶名名Passwwordd：查找找時上面面用戶的的口令Base

8、：從哪一一級目錄錄進行查查找aaa lldapp seearcch ffiltter LDAP查查找的SSearrch規(guī)規(guī)則，如如：某屬屬性，其中代表用用戶在登登陸SSSL VVPNVVirttuall Site輸入的的字符串串，是參參數(shù)傳遞遞。接下來配置置綁定規(guī)規(guī)則，可可以選擇擇動態(tài)綁綁定，也也可以選選擇靜態(tài)態(tài)綁定，binnd是指用用戶DN的構(gòu)成成規(guī)則。1動態(tài)綁綁定：aaa lldapp biind dynnamiicLDAP查查找時根根據(jù)Compplette DDisttingguisshedd Naame，Basse信息息與seaarchh fiilteer在上面面命令種種定義2靜態(tài)綁綁

9、定：aaa lldapp biind staaticc dn_prrefiix：前綴綴dn_suuffiix：后綴綴 一起構(gòu)構(gòu)成了用用戶DN如：SP-Deemo (coonfiig)$aaaa meethood lldapp 4 SP-Deemo (coonfiig)$aaaa lddap hosst 66 3889 cn=mannageer,ddc=aarraaytssd,ddc=ccom ssecrret ddc=aarraaytssd,ddc=ccom 200 SP-Deemo (coonfiig)$aaaa lddap seaarchh fiilteer cn= SP-Deemo (c

10、oonfiig)$aaaa lddap binnd ddynaamiccSite Connfigguraatioon-AAAA-AAuthhentticaatioon-LDAAPAD認證服服務配置置采用Acttivee Diirecctorry作認認證服務務器，需需要配置置相應參參數(shù)及TCP端口，當當然在SPX與AD服務器器中間的的通信要要保持暢暢通，如如果有防防火墻需需要打開開相應端端口。AD的底層層也是一一個LDAAP，所以以也同樣樣可以通通過LDAAP的配置置方法配配置他。命令行為：aaa mmethhod ad autthorrizaatioon mmethhodaaa aad hho

11、stt 如：SP-Deemo (coonfiig)$aaaa meethood aad 22SP-Deemo (coonfiig)$aaaa add hoost 10.1.1175.7 3389 “arrrayydemmo.ccom”SecurrID動態(tài)口口令認證證配置Virtuual Sitee用seccurIID認證，重重要的配配置工作作在SeccurIID服務器器上，詳詳見SPX手冊，在在SeccurIID服務器器上生成成一個文文件，將將這個文文件導入入SPXX即可，另另外，SeccurIID認證一一定要選選擇rannk1，并且且是全局局生效。Ace SServver和SPX的主機機名與

12、IP地址的的對應關(guān)關(guān)系一定定要在兩兩臺設備備上都能能夠正確確的互訪訪到。使使用SPX的默認認路由所所指向的的intterffacee，作為ACEE Seerveer所指定定的priimarry iinteerfaace.，如果果其他端端口也配配置了IP地址，需需要將其其IP地址作作為secconddaryy innterrfacce，這樣樣采用能能夠在SPX和AceServver上正確確加密數(shù)數(shù)據(jù)流。命令行為：aaa ssecuuridd immporrt 如：SP-Deemo (coonfiig)# aaaa ssecuuridd immporrt sdcconff.reecSP-Deemo

13、 (coonfiig)$aaaa meethood ssecuuredd aauthhoriizattionn meethood一般SeccurIID服務器器也同樣樣支持Raddiuss協(xié)議，如如果那您您把他看看作Raddiuss服務器器，也可可以按照照Raddiuss服務認認證的方方法配置置他，詳詳見前面面章節(jié)。SSL VVPN門戶Virrtuaal SSitee授權(quán)配配置授權(quán)是SSSL VVPN的一個個主要的的安全功功能，Arrray的授權(quán)權(quán)機制是是設置用用戶或組組享有的的特定權(quán)權(quán)限，授授權(quán)是和和認證方方法高度度相關(guān)的的，不同同的認證證采用不不同的授授權(quán)方法法。如用用LDAAP認證證，可以

14、以通過LDAAP服務器器授權(quán)，也也可以通通過LoccalDDB或者者是Raddiuss服務器器授權(quán)。認證授權(quán)關(guān)關(guān)系表認證方式可認證可授權(quán)LocallDBYYRadiuusYY(需要擴擴展Dicctioonarry)LDAPYY(需要擴擴展Schhemaa)ADYGroupp Maappiing或LoccalDDBSecurrIDYNArrayy SPPX授權(quán)權(quán)權(quán)限分為為幾類：授權(quán)方式授權(quán)內(nèi)容可授權(quán)ACL定義了用戶戶或組享享有的權(quán)權(quán)限列表表SourcceNeet定義了登陸陸的原地地址范圍圍Y(需要擴擴展Dicctioonarry)NetPoool定義了L33VPNN所使用用的地址址池Y(需要擴擴

15、展Schhemaa)UID, GIDD定義了用戶戶使用NFS功能時時用到的的UID和GID信息Groupp Maappiing或LoccalDDB其中最主要要的授權(quán)權(quán)方式是是ACL。ACL分為兩兩大類，一類規(guī)定了WRM、g的控制規(guī)則，另一類定義了ClientApp和L3VPN的控制規(guī)則。一個用戶登陸SSL VPN時它的權(quán)限可以通過ACL作詳細的授權(quán)。Arrayy SPPX缺省省是沒有有ACL配置的的，這時時所有的的資源對對所有的的用戶開放放，一旦旦對某個個用戶或或組配置置了一個個ACL，則對對他需要要訪問的的內(nèi)容權(quán)權(quán)限一定定要顯示示的配置置成PERRMITT，否則則不允許許訪問。對WRM、生效

16、的ACLL命令行為： : ANDD (PEERMIIT|DDENYY)Priorrityy：優(yōu)先先級Schemme:是是針對HHTTPP還是Host：目標服服務器，支支持通配配符“*”。Path：路徑AND vvirttuall：在globaalmodee配置時時只關(guān)聯(lián)聯(lián)到相應應的Virttuall Sitee上，在Virttuall Sitee Conffig 模式時時，不需需要此參參數(shù)。如：0 htttp:110.11.1775.77/exxchaangee ANND iintrra DDENYY1 htttp:* ANND iintrra PPERMMIT2 ANND iintrra D

17、DENYY3 fille:* ANND iintrra PPERMMIT我們會在LLocaalDBB授權(quán)時時給出具具體針對對不同用用戶的配配置方法法。2針對CClieentAApp、L3VPPN的ACLL命令行為： ip :/:poort AAND PPERMMIT|DENNYPriorrityy 優(yōu)先級Protoocoll 針對那那種IP協(xié)議，可可以時TTCP、UDPP或prootoccol nummberr，*代表所所有協(xié)議議。Host_IP：目目標服務務器Netmaask：掩碼碼Port：端口號號AND vvirttuall：在glooball moode配置時時只施加加在那個個virr

18、tuaail sitte，在virrtuaal ssitee coonfiig模式式時，不不需要此此參數(shù)如：0 ip *:110.11.1775.00/2555.2255.2555.0 ANDD paartnner PERRMITT1 ip *:00/0 ANDD paartnner DENNY同樣，我們們會在LoccalDDB授權(quán)時時給出具具體針對對不同用用戶的配配置方法法。LocallDB的授權(quán)權(quán)用LocaalDBB授權(quán)比比較簡單單，只需需對相應應用戶或或組配置置相應ACL即可。命令行為：Globaal模式式：localldb acll acccouunt localldb

19、acll grroupp Virtuual Sitee模式：localldb acll acccouunt localldb acll grroupp 如：用戶的策略略SP-Deemo (coonfiig)$aaaa onn SP-Deemo (coonfiig)$aaaa meethood llocaaldbb 1 SP-Deemo (coonfiig)$loccalddb aaccoountt tesst “passs“SP-Deemo (coonfiig)$loccalddb aacl acccounnt tesst 0 htttp:110.11.1775.77/exxchaangee

20、ANND SSP-DDemoo DDENYYSP-Deemo (coonfiig)$loccalddb aacl acccounnt tesst 1 htttp:* ANND SSP-DDemoo PEERMIITSP-Deemo (coonfiig)$loccalddb aacl acccounnt tesst 0 ANND SSP-DDemoo DEENYSP-Deemo (coonfiig)$loccalddb aacl acccounnt tesst 1 fille:* ANND SSP-DDemoo PEERMIITSP-Deemo (coonfiig)$locaaldbb accl

21、 aaccoountt ttestt 2 iip *:100.1.1755.0/2555.2555.2255.0 AAND SP-Demmo PEERMIITSP-Deemo (coonfiig)$loccalddb aacl acccounnt tesst 3 ip *:00/0 ANDD SPP-Deemo DENNY“組的策略：localldb nettpoool ggrouup 地址池分配配localldb souurceenett grroupp 登陸原地址址限制很多種認證證方法都都可以通通過LoccalDDB授權(quán)權(quán)，不過過這時一一般需要要用戶名名一一對對應。如如采用L

22、LDAPP認證，LLocaalDBB授權(quán)，要要求LDDAP服服務器上上的帳號號和LoocallDB上上的帳號號對應，如如果LoocallDB上上沒有這這個帳號號，需要要用Defaaultt Grouup作在在LocaalDBB上沒有有的帳號號的授權(quán)權(quán)。如：SP-Deemo (coonfiig)$aaaa onn SP-Deemo (coonfiig)$aaaa raadiuus aaccoounttingg offf SP-Deemo (coonfiig)$aaa metthodd add 1 loccalddbSP-Deemo (coonfiig)$aaaa add hoost 10.1.1

23、10.331 3389 mmainn.arrrayy.coomSP-Deemo (coonfiig)$aaaa loocalldb grooup deffaullt arrrayggrouupSP-Deemo (coonfiig)$aaaa loocalldb autthorrizaatioon uuseddefaaulttLDAP服服務器的的授權(quán)如果您使用用LDAPP認證，缺缺省是采采用LDAAP服務器器作授權(quán)權(quán)，即將將ACL作為LDAAP服務器器用戶的的相應屬屬性來進進行授權(quán)權(quán)，這時時需要擴擴充LDAAP的schhemaa。如果果您的認認證服務務器和LLDAPP授權(quán)服服務器不不是一臺臺機器

24、，那那您需要要單獨配配置LDDAP授授權(quán)服務務器。LDAP授授權(quán)命令令行為：SP-Deemo(connfigg)$aaaa metthodd lldappSP-Deemo(connfigg)$aaaa ldaap aauthhoriize hosst tlss具體參數(shù)概概念參見見上一章章中LDDAP認認證部分分。SP-Deemo(connfigg)$aaaa ldaap aauthhoriize seaarchh fiilteer 具體參數(shù)概概念參見見上一章章中LDAAP認證證部分。然后主要的的任務是是配置LDAAP服務器器，首先先擴充LDAAP服務器器的schhemaa，然后后配置需需要授權(quán)

25、權(quán)用戶的的ACL屬性賦賦予相應應的權(quán)限限。我們以OppenLLDAPP為例敘敘述過程程，一般般需要在在slaapd.connf中加入inccludde文件：incluudedd:/oopennldaap/eetc/schhemaa/coore.schhemaaincluudedd:/oopennldaap/eetc/schhemaa/innetoorgppersson.schhemaaincluudedd:/oopennldaap/eetc/schhemaa/arrrayy.scchemma然后在相應應目錄下下放置arrray.sheema文件，內(nèi)內(nèi)容如下下：#Arraay eexteende

26、ed sscheema ,adddedd byy wuuyueepenng# ArrrayNNetwworkks SScheema# casse ssensstivve uurl preefixx iee *.arrraynnetwworkks.nnet/marrkettinggattriibuttetyype ( 75644.10000.1NAME accceppturrlDESC accceppt uurl expprerrssiionSYNTAAX 14666.1115.1121.1.226 )# accceptted souu

27、rcee neetwoork adddresssess# of thee foorm nettworrk/mmaskk egg 0/2555.2255.0.00attriibuttetyype ( 75644.10000.2NAME soourcceneetDESC Soourcce NNetwworkk ipp/maaskSYNTAAX 14666.1115.1121.1.226 )# casse ssensstivve nnetwworkk poool nammeattriibuttetyype ( 11.3.6

28、.75644.10000.3NAME neetpooolDESC neetwoork poools forr L33 VPPNSYNTAAX 14666.1115.1121.1.226 )#Arraay UUserr innheaartss frrom ineetOrrgPeerobjecctcllasss ( .44.1.75664.110000NAME ArrrayyUseerDESC Arrrayy Apppliiancce NNetwworkk UsserSUP ttopAUXILLIARRYMAY ( acccepptur

29、rl $ soourcceneet )# Borrroww thhe aacceeptuurl andd soourcceneet ffromm ArrrayyUseerobjecctcllasss ( .44.1.75664.110011NAME ArrrayyGrooupDESC Arrrayy Apppliiancce NNetwworkk GrrouppSUP ttopAUXILLIARRYMAY ( accceppturrl $ soourcceneet $ neetpoool )然后在用戶戶的相應應屬性增增加相應應的權(quán)限限即可：如：在acceeptuurl屬性賦賦值

30、為一一個ACL：0 hhttpp:100.1.1755.7/excchannge ANDD SPP-Deemo DENNYRadiuus服務器器的授權(quán)權(quán)同LDAPP授權(quán)一一樣，如如果您使使用Raddiuss做認證證，缺省省是采用用Raddiuss服務器器作授權(quán)權(quán)，即將將ACL作為Raddiuss服務器器用戶的的相應屬屬性來進進行授權(quán)權(quán)，這時時需要擴擴充Raddiuss的Dicctioonarry。如果果您的認認證服務務器和Raddiuss授權(quán)服服務器不不是一臺臺機器，那那您需要要單獨配配置Raddiuss授權(quán)服服務器。Radiuus授權(quán)命命令行為為：SP-Deemo (coonfiig)$aa

31、aa meethood raddiussSp-Deemo (coonfiig)$aaaa lddap autthorrizee hoost 具體參數(shù)概概念參見見上一章章中Raadiuus認證證部分。然后就是擴擴充Raddiuss服務器器的Dicttionnaryy，將ACL的屬性性定義加加進去，進進而配置置用戶的的相應屬屬性進行行ACL授權(quán)。擴擴充的DDicttionnaryy文件內(nèi)內(nèi)容如下下：#Arraay NNetwworkks# borrrowwed froom ssnmppd, mayy leead to trooublle llateerVENDOORArrrayy-Neetwoor

32、kss 75564# Arrray Nettorkks EExteensiionssATTRIIBUTTE AAcceept-Aclls1strringgArrray-NettworrksATTRIIBUTTE SSourrceNNetss 2sstriingAArraay-NNetwworkksATTRIIBUTTE mmembberUUid 3 inttegeer Arrray-NettworrksATTRIIBUTTE mmembberGGid 4 strringg AArraay-NNetwworkksATTRIIBUTTE NNetPPooll 5 sttrinng Arrray-N

33、ettworrks然后在用戶戶的相應應屬性增增加相應應的權(quán)限限即可：如某用戶的的相應屬屬性：Foo AAuthh-Tyype = LLocaal, Passswoord =“fooobarr”Acceppt-AAclss = 0 htttp:*/ AAND alll PEERMIIT,SourcceNeets =“10.2.00.0/2555.2555.00.0”uidNuumbeer = 20063,gidNuumbeer = 110000 10020 23000Groupp Maappiing授授權(quán)方式式有的用戶用用Raddiuss、AD、LDAAP認證，他他們又不不想修改改這些服服務器，加加上Arrray的授權(quán)權(quán)屬性。這時我們可以抓取這些服務器的組信息放到LocalDB上，將這些認證服務器的組映射到LocalDB的相應組進行授權(quán)。首先要找到到Raddiuss、AD、LDAAP那個屬屬性是他他的組屬屬性，然然后當這這個屬性性等于某某個值時時映射到到L