Array spx-AAA配置手册 计算机软件及应用.doc

返回 相似 举报
Array spx-AAA配置手册 计算机软件及应用.doc_第1页
第1页 / 共22页
Array spx-AAA配置手册 计算机软件及应用.doc_第2页
第2页 / 共22页
Array spx-AAA配置手册 计算机软件及应用.doc_第3页
第3页 / 共22页
亲,该文档总共22页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述:
AAA配置手册AAA配置手册1 证书认证配置1.1 客户端证书校验(双因素) 客户端证书校验指的是在用户等登陆SPX时,SPX检查客户端是否安装了数字证书,只有安装了正确的数字证书才允许登陆,同时检查用户的用户名和口令。只有两个条件都满足才能正常登陆,所以称为双因素认证。1.1.1 为SPX申请服务器证书采用证书认证时,首先要为SPX申请一个服务器证书,该证书需要向证书颁发机构申请。首先,向证书颁发机构(CA)提交证书申请。将SPX站点的CSR/Key复制下来,如图所示其次,打开证书申请页面,依次选择“申请一个证书”“高级证书申请”“使用编码的CMC或PKCS 10文件提交一个证书申请,或使用编码的PKCS 7文件续订证书申请”。将SPX的CSR/Key粘贴到文本框中,然后提交申请。如图所示待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”“保存的证书申请”,按照“编码”格式下载证书。如图所示1.1.2 为SPX导入证书 将下载的证书用“记事本”程序打开,如图所示将文本中的内容全部复制出来,包括开始标记和结束标记。然后将这段内容导入到SPX的证书中,同时将这个新导入的证书设置为默认证书。如图所示以上是WebUI方式导入,下面是命令行导入ENSS-CLIconfigssl import certificate Enter certificate, use ... on a single line, without quotes to terminate import-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----...PEM atCertificate import successful1.1.3 导入CA根证书想要导入的证书生效,还必须将颁发这个证书的CA根证书导入SPX,这样SPX才能确认证书的依赖关系。在导入CA根证书前,首先要将根证书的编码格式转换为“编码”然后再导入SPX。然后在SPX的根证书导入页面将这个证书导入。如图所示命令行导入ENSS-CLIconfigssl import rootca Enter the trusted root CA certificate file in PEM at, use ... on a single line, without quotes to terminate import-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----...importing... please wait..Root CA certificate import successful导入证书后启用SSLENSS-CLIconfigssl settings clientauthENSS-CLIconfigssl start1.1.4 设置SPX证书认证选项在SPX配置页面打开“Enable Client Authentication”选项,如图所示此时,证书和口令双因素认证在SPX上已经配置完成了。此时访问SPX会出现“选择数字证书”的提示框,因为没有证书,所以不能访问。想要正常访问,就需要客户端也申请相应的浏览器证书(必须是为SPX颁发服务器证书的CA),这个证书要与SPX的证书想对应,应该在同一个CA上申请。1.1.5 申请客户端证书浏览器证书的申请与服务器证书申请类似,在证书申请页面上依次选择“申请一个证书”“Web浏览器证书”。在出现的页面上填好相应的注册信息然后提交。等待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”“Web浏览器证书”“安装此证书”。 安装完成后会在客户端的证书下面看到这个证书,证书的主题就是申请证书时填写的内容。 此时,安装了证书的客户端就可以正常访问SPX了。首先,会出现“选择数字证书“提示框。选择刚申请的证书,证书正确后会出现SPX登陆界面。输入用户名和密码完成登陆。1.2 客户端证书认证客户端证书认证指的是客户端只要安装了数字证书即可登陆,不再需要用户名和口令。这种认证方式同样需要为SPX和Web浏览器申请证书,证书的申请、导入和安装与1.1所述相同,这里就不再重复了,不同的地方在于SPX的设置。1.2.1 设置SPX认证方式在SPX的AAA配置页面中,将认证方法设置为“Cert-Anonymous“。1.2.2 SPX关闭AAA将SPX的AAA关闭,在关闭AAA之前,首先要关闭站点的“Session Reuse“功能将上图中的勾去掉即可。其次,将站点的“AAA“关闭,去掉勾即可。此时,客户端证书认证已经配置完成,接下来就是为客户端申请Web浏览器证书,方法与1.1中所述相同,申请好证书后就可以访问了。1.3 客户端证书字段校验 客户端证书字段校验是指当用户登陆SPX时,SPX不只判断客户端有无证书,而且针对证书的某个字段进行校验,只有通过校验的用户才能登陆。与1.2相比,这种认证方法更加安全。 同样,这用认证方式也需要为SPX和Web浏览器申请证书,证书的申请、导入和安装与1.1所述相同。1.3.1 设置证书校验字段在SPX的AAA配置页面中,配置证书认证选项,设置校验字段。选项下面列出了可以校验的字段,选择其中一个作为校验字段,这里以为例,这个字段是指校验证书中的“姓名“字段。Validate Using的两个选项分别为LocalDB和LDAP,意思是用户建立在LocalDB还是LDAP,用户建立在哪里这里就选择哪个选项,与下面的建立用户对应。1.3.2设置SPX认证方式在SPX的AAA配置页面中,将认证方法设置为“Cert-Challenge“。1.3.3 建立用户 在LocalDB或者LDAP中建立相应字段的用户名和口令,用户名就是所校验字段的值。 我们校验的字段是“”,这个字段的值为“sxg”。所以,应该建立一个用户名为sxg的用户。 此时,客户端证书字段校验就配置完成了,用户登陆时首先会让用户选择数字证书,证书正确后会出现登陆页面,在这个字段中只需要输入密码。这个密码就是所校验字段的口令(在本例中就是sxg这个用户的口令)输入正确后完成登陆。 对于用户来讲,他并不知道SPX检验的是哪个字段,只知道管理员给他的字段校验密码,因此更加安全。2 LDAP认证配置2.1 LDAP简介 LDAP的英文全称是Lightweight Directory Access Protocol,一般简称为LDAP,它是一种轻量目录访问协议,但是一般人们都说“把数据存在LDAP中”或者“从LDAP数据库中取出数据”,把LDAP理解成了一种数据库。实际上LDAP并不是数据库而是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议,或者说“通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据”。 我们暂且将LDAP访问数据库这种方式称为LDAP数据库。2.2 LDAP认证配置 LDAP既可以做认证又可以做授权,这里我们先讲述LDAP做认证的配置。2.2.1 LDAP认证服务器配置 SPX支持与LDAP服务器结合实现认证,这需要在SPX的AAA配置选项下进行设置。需要指定LDAP服务器的地址、端口等信息才能实现认证。LDAP认证配置需要以下几项参数Server IPLDAP服务器的IP地址Server PortLDAP提供认证服务的端口User Name具有查询该服务器的用户名 用户名的格式为用户在LDAP服务器中的DN,包括这个用户的BaseDN。User Password用户的口令Base目录数据库开始查询的节点 用户从该节点(可以理解为路径下)开始查询。Timeout查询超时时间Use SSL/TLSSPX与LDAP服务器通信是否加密配置完LDAP认证服务器后还需要配置一下搜索关联选项,就是说用户在SPX登陆页面输入的用户名与LDAP数据库中的用户通过什么条件进行关联,查询的时候将用户输入SPX的“用户名”与LDAP中的哪个字段比对。一般情况下LDAP中以“uid”作为用户的标识;SPX中用户输入的用户名用USER标识,所以,将这uidUSER作为关联条件。LDAP服务器认证有两种方式其一,只要在LDAP服务器上查到了相应的记录就认为用户是合法的;其二,用户不仅可以在LDAP服务器上查到相应记录,而且必须以查询到的用户名和密码登录一次LDAP服务器,可以成功登录的用户才认为是合法的。在SPX与LDAP结合认证的过程中,针对LDAP的认证方式不同,SPX的配置也有所不同。不同之处在于,如果LDAP采用第二种方式,SPX必须设置“Authenticate with Bind”这个选项,绑定方式有静态和动态两种,分别如下动态绑定 静态绑定 静态绑定需要指定DN前缀和DN后缀,格式如上图所示。“前缀”“用户名”“后缀”共同构成了用户的DN。2.2.2 设置SPX认证方式在SPX的AAA配置页面中,将认证方法设置为“LDAP“,授权暂留为空。此时,SPX通过LDAP认证配置完成。2.3 组映射授权配置上面已经说过,LDAP既可以做认证也可以做授权,但是一般的用法是通过LDAP认证,组映射授权。首先,要确定LDAP分组依据属性,也就是说LDAP是依据什么分的组(比如说按部门分组或者按职位分组),然后把这个分组依据(部门或职位)对应成LDAP中相应的字段作为LDAP的分组依据属性。一般情况下使用memberOf这个属性作为分组依据属性,不同情况下这个分组依据属性是不同的,具体按实际情况而定。其次,在LocalDB中建立分组(个数与LDAP中组的个数对应),将本地组(LocalDB中的组)和外部组(LDAP上的组)对应起来。另外,在LocalDB中建立一个默认组,作用就是将不属于LDAP上任何组的用户全部对应到这个组中。经过以上的配置就可以将LDAP上的组对应成LocalDB上的组,然后再通过为本地组授权实现用户的权限设定。2.4 LDAP授权配置 采用LDAP做授权需要扩充LDAP的schema,然后配置需要授权用户的ACL属性赋予相应的权限。我们以OpenLDAP为例叙述过程,一般需要在slapd.conf中加入include文件 include d/openldap/etc/schema/core.schema include d/openldap/etc/schema/inetorgperson.schema include d/openldap/etc/schema/array.schema 然后在相应目录下放置array.shema文件,内容如下 Array extended schema ,added by wuyuepeng ArrayNetworks Schema case senstive url prefix ie * attributetype 1.3.6.1.4.1.7564.1000.1 NAME accepturl DESC accept url exprerssion SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 accepted source network addresses of the network/mask eg 10.2.0.0/255.255.0.0 attributetype 1.3.6.1.4.1.7564.1000.2 NAME sourcenet DESC Source Network ip/mask SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 case senstive network pool name attributetype 1.3.6.1.4.1.7564.1000.3 NAME netpool DESC network pools for L3 VPN SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 Array User inhearts from inetOrgPer objectclass 1.3.6.1.4.1.7564.1000 NAME ArrayUser DESC Array Appliance Network User SUP top AUXILIARY MAY accepturl sourcenet Borrow the accepturl and sourcenet from ArrayUser objectclass 1.3.6.1.4.1.7564.1001 NAME ArrayGroup DESC Array Appliance Network Group SUP top AUXILIARY MAY accepturl sourcenet netpool 然后在用户的相应属性增加相应的权限即可 如 在accepturl属性赋值为一个ACL0 http10.1.175.7/exchange AND SP-Demo DENY 3 Active Directory认证授权服务配置 3.1 Active Directory简介Active Directory简称AD。存储关于网络上对象的信息并使这些信息可以用于用户和网络管理员的目录服务。Active Directory 允许网络用户通过单个登录过程访问网络上任意位置允许访问的资源。该技术可以用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提自下针对相关资源实施访问调用。Active Directory 用户和计算机设计为执行日常 Active Directory 管理任务的管理工具。这些任务包括创建、删除、修改、移动和设置存储在目录中的对象的权限。这些对象包括组织单位、用户、联系人、组、计算机、打印机和共享的文件对象。 Active Directory 数据模型从 LDAP 数据模型演化而来的模型。该目录用来保存对象,这些对象代表了由属性描述的各种端口的实体。在架构中定义了可以存储在目录中的对象和对象的类。对于对象的每个类,架构都定义了该类的实例所必须拥有的属性,并且该类可以是其的父类(该类可能有的附加属性)。3.2 Active Directory认证配置由于AD是LDAP的扩展,它的底层也是一个LDAP。所以,如果AD只是作为认证服务器,在SPX配置上可以通过AD的配置方法来配,也可以通过LDAP的配置方法来配。但如果AD也要做授权服务器,进行user-to-mapping组映射,在SPX配置上只能通过LDAP的配置方法来配,也就是把AD服务器看作LDAP服务器来配。在配置AD认证前,先要向AD服务器管理员询问以下几点AD服务器的情况1. AD服务器的端口(默认TCP/UDP 389)2. 用户所在域的域名(表现为Mail Domain,如)。Site Configuration-AAA-Authentication-Active Directory如上图所示空白处填入Server IPAD服务器的IP地址Server PortAD服务器的通信端口(默认为TCP/UDP 389)Mail Domain用户所在域的域名(填写形式为、等等)CLIaaa ad rank authorization aaa ad host ip port mail_domain_name最多可以配置三个AD认证服务器。3.3 Active Directory授权配置 配置AD做授权服务器,进行user-to-mapping组映射,在SPX配置上只能通过LDAP的配置方法来配,也就是把AD服务器看作LDAP服务器来配。详细配置见LDAP授权服务配置。4 RADIUS 认证授权服务配置4.1 RADIUS简介Array SPX 可以很好的与通用的RADIUS服务器结合起来对用户进行身份认证。 RADIUS是一种C/S结构的协议,SPX与RADIUS服务器之间的通信是经过加密来传输的,双方使用共享密钥,这个密钥不经过网络传播。SPX和RADIUS服务器通过UDP协议进行通信,一般情况下,RADIUS服务器的UDP 1812端口或UDP 1645负责认证,当然用户也可能使用别的UDP端口。RADIUS的工作原理用户接入NAS Net Access Server,SPX这时充当NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始。4.2 RADIUS认证配置在配置RADIUS认证前,先要向RADIUS服务器管理员询问以下几点RADIUS服务器的情况3. RADIUS服务器的认证端口(默认UDP 1812)4. RADIUS服务器的通信密钥。先要在RADIUS服务器上添加一个客户端SPX(SPX作为认证客户端代理登陆SSL VPN的用户向RADIUS服务器进行身份认证),SPX与RADIUS服务器之间的通信需要设定好一个“通信密钥”。Site Configuration-AAA-Authentication-RADIUS上图所示的空白处依次填入Server IPRADIUS服务器的IP地址Server PortRADIUS服务器的认证端口Secret PasswordSPX与RADIUS的通信密钥,Timeout超时设定Retries超时后,重试次数CLIaaa radius rank authorization aaa radius host ip port secret timeout retries最多可以设定三个RADIUS服务器做认证服务故障冗余。如果设定了认证服务故障冗余,当SPX在设定的重试次数内没有收到当前服务器的响应,SPX就会向下一个RADIUS服务器请求身份认证。如果在当前服务器没有找到登陆用户的合法登陆信息,SPX就返回用户登陆出错信息,不再向下一个RADIUS服务器请求身份认证。如果所有的RADIUS服务器都没有响应,SPX就会选择下一个配置的认证方法进行身份认证(例如,在RADIUS认证方法后面,还配置了LocalDB认证方法,这时就会选择LocalDB认证方法进行身份认证)。这对最终用户来说是透明的。RADIUS服务器管理员必须及时同步更新所有配置的冗余RADIUS服务器的用户信息。 4.3 RADIUS 授权配置如果您使用RADIUS做认证,缺省是采用RADIUS服务器作授权,即将ACL作为RADIUS服务器用户的相应属性来进行授权,这时需要扩充RADIUS的Dictionary。如果您的认证服务器和RADIUS授权服务器不是一台机器,那您需要单独配置RADIUS授权服务器。 配置RADIUS授权服务器跟配置RADIUS认证服务器基本相同。在相应空白处填入RADIUS的IP地址、认证端口、通信密钥、超时时间、重试次数。详细见RADIUS认证服务配置。CLIaaa radius rank authorization aaa radius authorize host ip port secret timeout retries然后就是扩充RADIUS服务器的Dictionary,将ACL的属性定义加进去,进而配置用户的相应属性进行ACL授权。扩充的Dictionary文件内容如下 Array Networks http// borrowed from snmpd, may lead to trouble later VENDOR Array-Networks 7564 Array Netorks Extensions ATTRIBUTE Accept-Acls 1 string Array-Networks ATTRIBUTE SourceNets 2 string Array-Networks ATTRIBUTE memberUid 3 integer Array-Networks ATTRIBUTE memberGid 4 string Array-Networks ATTRIBUTE NetPool 5 string Array-Networks 然后在用户的相应属性增加相应的权限即可 如某用户的相应属性 Foo Auth-Type Local, Password “foobar” Accept-Acls 0 http*/ AND all PERMIT, SourceNets “10.2.0.0/255.255.0.0” uidNumber 2063, gidNumber 1000 1020 2300Group Mapping 授权方式有的用户用RADIUS认证,但他们又不想修改这些服务器,加上Array的授权属性。这时我们可以抓取这些服务器的组信息放到LocalDB上,将这些认证服务器的组映射到LocalDB的相应组进行授权。首先要找到RADIUS哪个属性是他的组属性,然后当这个属性等于某个值时映射到LocalDB特定组上。例如,我们常用的是RADIUS协议的25号属性Class。CLIaaa radius group attr (attr指代表组的属性)aaa localdb group default groupname (若组映射不成功,这个用户所属的缺省组) aaa map group external_group internal_group (当某用户attr的值为External Group时,我们将他映射到localdb Local Group 组进行授权)假设,在授权RADIUS服务器上有一个组设定为财务组(组名为Group-finance),记录的是财务人员的身份信息,该组的25号属性的值是“finance”。对应的,在SPX上的LocalDB,我们建一个组“Local-finance”。Group-finance相当于外部组External Group,Local-finance相当于内部组Local Group。如上图,在进行组映射时,“External Group Name”处我们填的不是外部组名“Group-finance”,而是外部组的组属性的值“finance”(25号属性值)。相应的在下图的“RADIUS Attribute ID”处填25。若上述组映射不成功,我们也可以设定一个缺省组(Default组),让其登陆进来并映射到Default组,否则SPX向用户返回登陆错误信息,禁止其登陆。组映射完后,我们需要利用ACL来对相关组的访问权限进行控制。
展开阅读全文

最新标签

网站客服QQ:89258806
电脑版 |冰点文库版权所有
经营许可证:鄂ICP备14012071号-5