收藏
下载资源下载资源 加入VIP,免费下载

51CTO下载No4Array SPX认证授权基本配置解析.docx

上传人:b****1 文档编号:1204575 上传时间:2023-04-30 格式:DOCX 页数:22 大小:654.26KB
下载 相关 举报
51CTO下载No4Array SPX认证授权基本配置解析.docx_第1页
第1页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第2页
第2页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第3页
第3页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第4页
第4页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第5页
第5页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第6页
第6页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第7页
第7页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第8页
第8页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第9页
第9页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第10页
第10页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第11页
第11页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第12页
第12页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第13页
第13页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第14页
第14页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第15页
第15页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第16页
第16页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第17页
第17页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第18页
第18页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第19页
第19页 / 共22页
51CTO下载No4Array SPX认证授权基本配置解析.docx_第20页
第20页 / 共22页
亲,该文档总共22页,到这儿已超出免费预览范围,如果喜欢就下载吧!
下载资源
资源描述

51CTO下载No4Array SPX认证授权基本配置解析.docx

《51CTO下载No4Array SPX认证授权基本配置解析.docx》由会员分享,可在线阅读,更多相关《51CTO下载No4Array SPX认证授权基本配置解析.docx(22页珍藏版)》请在冰点文库上搜索。

51CTO下载No4Array SPX认证授权基本配置解析.docx

51CTO下载No4ArraySPX认证授权基本配置解析

ArraySPX工程安装配置手册

认证授权配置部分

一、SSLVPN门户VirtualSite认证配置1

1.Radius认证服务配置3

2.LDAP认证服务配置5

3.AD认证服务配置8

4.SecurID动态口令认证配置9

二、SSLVPN门户VirtualSite授权配置10

1.LocalDB的授权13

2.LDAP服务器的授权15

3.Radius服务器的授权17

4.GroupMapping授权方式19

AD只能做认证,不能做授权,授权用LDAP!

SSLVPN门户VirtualSite认证配置

ArraySSLVPN设备VirtualSite的接入支持多种认证方式,包括LocalDB、LDAP、AD、Radius、SecurID等。

门户认证也可以关掉,这时用户登陆就不需要认证了,当然,也丧失了很大的安全性。

每个VirtualSite最多可以配置四种认证方法,用户登陆时,按照顺序查找认证服务,当第一种认证方法失败会使用第二种认证方法,直到成功或完全失败为止。

对于AD、LDAP、Radius认证,每种方法最多可以配置3个认证服务器。

由于上一章已经介绍了LocalDB的配置方法,如果您只使用LocalDB,可以越过本章。

本章我们主要介绍其他几种认证方式的配置。

SiteConfiguration->AAA->General

SiteConfiguration->AAA->Method

命令行为:

aaamethodrank[authorizationmethod]

AuthenticationMethod:

指采用的认证方法

Rank:

是VirtualSite的第几种认证方法

AuthorizationMethod:

定义了使用这种认证方法时采用的授权方法,下章祥述。

如:

SP-Demo(config)$aaamethodlocaldb1

第一种认证方法采用LocalDB,授权使用LocalDB。

SP-Demo(config)$aaamethodldap2ldap

第二种认证方法采用LDAP服务器,授权也使用LDAP服务器。

Radius认证服务配置

Radius认证是业界普遍采用的认证协议,VirtualSite采用Radius作认证服务器,需要配置相应参数及端口,当然在SPX与Radius服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。

在配置Radius认证前,先要和用户的管理员询问一些Radius服务器的情况,包括:

Radius服务认证端口,一般采用UDP1812或者是UDP1645,当然用户也可能使用别的端口。

另外还要询问服务器使用的通信密钥。

命令行为:

aaamethodradius[authorizationmethod]

aaaradiushost

IP:

指Radius服务器的IP地址

Port:

Radius服务所使用的端口

Secret:

SPX与Radius服务器之间使用的通信密钥

Timeout:

超时设定

Retries:

重试次数

如:

SP-Demo(config)$aaamethodradius2

SP-Demo(config)$aaaradiushost10.1.10.761812"radius_secret"203

 

SiteConfiguration->AAA->Authentication->RADIUS

LDAP认证服务配置

LDAP是一种轻型目录访问协议,具有结构清晰,查找速度较快的特点。

VirtualSite采用LDAP作认证,同样需要配置一些参数。

所以在作此项配置之前,要先和用户的LDAP管理员作一下沟通,获得一些参数信息,并用LDAPBrowser等客户端工具验证一下,把他的LDAP结构清晰化。

LDAP服务一般采用TCP389端口,基于SSL的协议一般采用636端口。

命令行为:

aaamethodldap[authorizationmethod]

aaaldaphost<”base”>[tls]

IP:

LDAP服务器IP地址。

Port:

LDAP服务端口

UserName:

有相应LDAPSearch权限的用户名

Password:

查找时上面用户的口令

Base:

从哪一级目录进行查找

aaaldapsearchfilter

LDAP查找的Search规则,如:

某属性=,其中代表用户在登陆SSLVPNVirtualSite输入的字符串,是参数传递。

接下来配置绑定规则,可以选择动态绑定,也可以选择静态绑定,bind是指用户DN的构成规则。

1.动态绑定:

aaaldapbinddynamic

LDAP查找时根据CompleteDistinguishedName,Base信息与searchfilter在上面命令种定义

2.静态绑定:

aaaldapbindstatic

dn_prefix:

前缀

dn_suffix:

后缀

一起构成了用户DN

如:

SP-Demo(config)$aaamethodldap4

SP-Demo(config)$aaaldaphost10.1.10.76389"cn=manager,dc=arraytsd,dc=com""secret""dc=arraytsd,dc=com"20

SP-Demo(config)$aaaldapsearchfilter"cn="

SP-Demo(config)$aaaldapbinddynamic

SiteConfiguration->AAA->Authentication->LDAP

AD认证服务配置

采用ActiveDirectory作认证服务器,需要配置相应参数及TCP端口,当然在SPX与AD服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。

AD的底层也是一个LDAP,所以也同样可以通过LDAP的配置方法配置他。

命令行为:

aaamethodad[authorizationmethod]

aaaadhost

如:

SP-Demo(config)$aaamethodad2

SP-Demo(config)$aaaadhost10.1.175.7389“@”

SecurID动态口令认证配置

VirtualSite用securID认证,重要的配置工作在SecurID服务器上,详见SPX手册,在SecurID服务器上生成一个文件,将这个文件导入SPX即可,另外,SecurID认证一定要选择rank1,并且是全局生效。

AceServer和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。

使用SPX的默认路由所指向的interface,作为ACEServer所指定的primaryinterface.,如果其他端口也配置了IP地址,需要将其IP地址作为secondaryinterface,这样采用能够在SPX和AceServer上正确加密数据流。

命令行为:

aaasecuridimport

如:

SP-Demo(config)#aaasecuridimporthttp:

//10.1.10.33/ace/sdconf.rec

SP-Demo(config)$aaamethodsecured[authorizationmethod]

一般SecurID服务器也同样支持Radius协议,如果那您把他看作Radius服务器,也可以按照Radius服务认证的方法配置他,详见前面章节。

 

SSLVPN门户VirtualSite授权配置

授权是SSLVPN的一个主要的安全功能,Array的授权机制是设置用户或组享有的特定权限,授权是和认证方法高度相关的,不同的认证采用不同的授权方法。

如用LDAP认证,可以通过LDAP服务器授权,也可以通过LocalDB或者是Radius服务器授权。

认证授权关系表

认证方式

可认证

可授权

LocalDB

Y

Y

Radius

Y

Y(需要扩展Dictionary)

LDAP

Y

Y(需要扩展Schema)

AD

Y

GroupMapping或LocalDB

SecurID

Y

N

ArraySPX授权权限分为几类:

授权方式

授权内容

可授权

ACL

定义了用户或组享有的权限列表

SourceNet

定义了登陆的原地址范围

Y(需要扩展Dictionary)

NetPool

定义了L3VPN所使用的地址池

Y(需要扩展Schema)

UID,GID

定义了用户使用NFS功能时用到的UID和GID信息

GroupMapping或LocalDB

其中最主要的授权方式是ACL。

ACL分为两大类,一类规定了WRM、FileSharing的控制规则,另一类定义了ClientApp和L3VPN的控制规则。

一个用户登陆SSLVPN时它的权限可以通过ACL作详细的授权。

ArraySPX缺省是没有ACL配置的,这时所有的资源对所有的用户开放,一旦对某个用户或组配置了一个ACL,则对他需要访问的内容权限一定要显示的配置成PERMIT,否则不允许访问。

对WRM、FileSharing生效的ACL

命令行为:

:

[AND](PERMIT|DENY)

Priority:

优先级

Scheme:

是针对HTTP还是FileSharing

Host:

目标服务器,支持通配符“*”。

Path:

路径

ANDvirtual:

在globalmode配置时只关联到相应的VirtualSite上,在VirtualSiteConfig模式时,不需要此参数。

如:

0http:

10.1.175.7/exchangeANDintraDENY

1http:

*ANDintraPERMIT

2file:

10.1.175.7/demoANDintraDENY

3file:

*ANDintraPERMIT

我们会在LocalDB授权时给出具体针对不同用户的配置方法。

2.针对ClientApp、L3VPN的ACL

命令行为:

ip:

[/][:

port][AND]{PERMIT|DENY}

Priority–优先级

Protocol–针对那种IP协议,可以时TCP、UDP或protocolnumber,*代表所有协议。

Host_IP:

目标服务器

Netmask:

掩码

Port:

端口号

ANDvirtual:

在globalmode配置时只施加在那个virtuailsite,在virtualsiteconfig模式时,不需要此参数

如:

0ip*:

10.1.175.0/255.255.255.0ANDpartnerPERMIT

1ip*:

0.0.0.0/0ANDpartnerDENY

同样,我们会在LocalDB授权时给出具体针对不同用户的配置方法。

LocalDB的授权

用LocalDB授权比较简单,只需对相应用户或组配置相应ACL即可。

命令行为:

Global模式:

localdbaclaccount

localdbaclgroup

VirtualSite模式:

localdbaclaccount

localdbaclgroup

如:

用户的策略

SP-Demo(config)$aaaon

SP-Demo(config)$aaamethodlocaldb1

SP-Demo(config)$localdbaccount"test"“pass“

SP-Demo(config)$localdbaclaccount"test""0http:

10.1.175.7/exchangeANDSP-DemoDENY"

SP-Demo(config)$localdbaclaccount"test""1http:

*ANDSP-DemoPERMIT"

SP-Demo(config)$localdbaclaccount"test""0file:

10.1.175.7/demoANDSP-DemoDENY"

SP-Demo(config)$localdbaclaccount"test""1file:

*ANDSP-DemoPERMIT"

SP-Demo(config)$localdbaclaccount"test""2ip*:

10.1.175.0/255.255.255.0ANDSP-DemoPERMIT"

SP-Demo(config)$localdbaclaccount"test""3ip*:

0.0.0.0/0ANDSP-DemoDENY“

组的策略:

localdbnetpoolgroup

地址池分配

localdbsourcenetgroup

登陆原地址限制

很多种认证方法都可以通过LocalDB授权,不过这时一般需要用户名一一对应。

如采用LDAP认证,LocalDB授权,要求LDAP服务器上的帐号和LocalDB上的帐号对应,如果LocalDB上没有这个帐号,需要用DefaultGroup作在LocalDB上没有的帐号的授权。

如:

SP-Demo(config)$aaaon

SP-Demo(config)$aaaradiusaccountingoff

SP-Demo(config)$aaamethodad1localdb

SP-Demo(config)$aaaadhost10.1.10.31389"@"

SP-Demo(config)$aaalocaldbgroupdefault"arraygroup"

SP-Demo(config)$aaalocaldbauthorizationusedefault

LDAP服务器的授权

如果您使用LDAP认证,缺省是采用LDAP服务器作授权,即将ACL作为LDAP服务器用户的相应属性来进行授权,这时需要扩充LDAP的schema。

如果您的认证服务器和LDAP授权服务器不是一台机器,那您需要单独配置LDAP授权服务器。

LDAP授权命令行为:

SP-Demo(config)$aaamethodldap

SP-Demo(config)$aaaldapauthorizehost[tls]

具体参数概念参见上一章中LDAP认证部分。

SP-Demo(config)$aaaldapauthorizesearchfilter

具体参数概念参见上一章中LDAP认证部分。

然后主要的任务是配置LDAP服务器,首先扩充LDAP服务器的schema,然后配置需要授权用户的ACL属性赋予相应的权限。

我们以OpenLDAP为例叙述过程,一般需要在slapd.conf中加入include文件:

included:

/openldap/etc/schema/core.schema

included:

/openldap/etc/schema/inetorgperson.schema

included:

/openldap/etc/schema/array.schema

然后在相应目录下放置array.shema文件,内容如下:

#Arrayextendedschema,addedbywuyuepeng

#ArrayNetworksSchema

#casesenstiveurlprefixie*

attributetype(1.3.6.1.4.1.7564.1000.1

NAME'accepturl'

DESC'accepturlexprerssion'

SYNTAX1.3.6.1.4.1.1466.115.121.1.26)

#acceptedsourcenetworkaddresses

#oftheformnetwork/maskeg10.2.0.0/255.255.0.0

attributetype(1.3.6.1.4.1.7564.1000.2

NAME'sourcenet'

DESC'SourceNetworkip/mask'

SYNTAX1.3.6.1.4.1.1466.115.121.1.26)

#casesenstivenetworkpoolname

attributetype(1.3.6.1.4.1.7564.1000.3

NAME'netpool'

DESC'networkpoolsforL3VPN'

SYNTAX1.3.6.1.4.1.1466.115.121.1.26)

#ArrayUserinheartsfrominetOrgPer

objectclass(1.3.6.1.4.1.7564.1000

NAME'ArrayUser'

DESC'ArrayApplianceNetworkUser'

SUPtop

AUXILIARY

MAY(accepturl$sourcenet)

#BorrowtheaccepturlandsourcenetfromArrayUser

objectclass(1.3.6.1.4.1.7564.1001

NAME'ArrayGroup'

DESC'ArrayApplianceNetworkGroup'

SUPtop

AUXILIARY

MAY(accepturl$sourcenet$netpool)

然后在用户的相应属性增加相应的权限即可:

如:

在accepturl属性赋值为一个ACL:

0http:

10.1.175.7/exchangeANDSP-DemoDENY

Radius服务器的授权

同LDAP授权一样,如果您使用Radius做认证,缺省是采用Radius服务器作授权,即将ACL作为Radius服务器用户的相应属性来进行授权,这时需要扩充Radius的Dictionary。

如果您的认证服务器和Radius授权服务器不是一台机器,那您需要单独配置Radius授权服务器。

Radius授权命令行为:

SP-Demo(config)$aaamethodradius

Sp-Demo(config)$aaaldapauthorizehost

具体参数概念参见上一章中Radius认证部分。

然后就是扩充Radius服务器的Dictionary,将ACL的属性定义加进去,进而配置用户的相应属性进行ACL授权。

扩充的Dictionary文件内容如下:

#

#ArrayNetworks

#

#borrowedfromsnmpd,mayleadtotroublelater

VENDORArray-Networks7564

#ArrayNetorksExtensions

ATTRIBUTEAccept-Acls1stringArray-Networks

ATTRIBUTESourceNets2stringArray-Networks

ATTRIBUTEmemberUid3integerArray-Networks

ATTRIBUTEmemberGid4stringArray-Networks

ATTRIBUTENetPool5stringArray-Networks

然后在用户的相应属性增加相应的权限即可:

如某用户的相应属性:

FooAuth-Type=Local,Password=“foobar”

Accept-Acls="0http:

*/ANDallPERMIT",

SourceNets=“10.2.0.0/255.255.0.0”

uidNumber=2063,

gidNumber="100010202300"

GroupMapping授权方式

有的用户用Radius、AD、LDAP认证,他们又不想修改这些服务器,加上Array的授权属性。

这时我们可以抓取这些服务器的组信息放到LocalDB上,将这些认证服务器的组映射到LocalDB的相应组进行授权。

首先要找到Radius、AD、LDAP那个属性是他的组属性,然后当这个属性等于某个值时映射到LocalDB特定组上。

如AD上的这个属性就是memberOf属性。

命令行为:

aaaldapgroup

若是LDAP,指代表组的属性。

aaaradiusgroup

若是Radius,指代表组的属性。

aaalocaldbgroupdefault

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 人文社科 > 法律资料

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2