sa配置.ppt

sa配置.ppt

《sa配置.ppt》由会员分享，可在线阅读，更多相关《sa配置.ppt（82页珍藏版）》请在冰豆网上搜索。

环境拓扑,X=StudentNumber（0116）,Linux,172.27.10.80Telnet,SSH,FTP,NFS,HTTP,HTTP-PROXY,Win2K,AD,CAserver172.27.10.10,172.27.10.0/24,SerialConnection,SA172.27.10.4,clientWin2K,172.27.10.20,SA172.27.10.3,clientWin2K,172.27.10.10X,初始配置,出厂恢复,为什么要学习出厂恢复真正初始化一台设备LICENSE到期后，需要初始化，可以使用原有的LICENSE（5.0以下的版本）初始化设备的步骤FactoryRestore设备，设备重新启动初始化配置（网络配置，证书配置，管理员配置）WEB登陆，升级系统软件添加LICENSE,通过串口进行初始化配置,通过串口进行网络配置,通过串口进行管理员配置,自签名证书配置,LAB1:

通过串口进行初始化配置,管理员登陆,软件升级,TaskGuide,缺省系统设定,重新安装后，许多的IVE功能组件都有相关的初始配置用户可以用*/作为初始登陆界面，并且试验Usersauthenticationrealm建有初始的“users”realm利用SystemLocal认证服务器有一条rolemappingrule：

mapsalluserstotheUsersrole建有本地授权服务器SystemLocal建有Usersrole可以进行WebandWindowsFiles的访问为Usersrole开放了相关的WebandWindowsFiles的访问资源对象,AdminUI,系统配置,配置SA的步骤,配置SA的步骤网络配置IP地址，DNS，路由，host等。

认证服务器的配置配置用户要使用的认证服务器（本地的或者第三方的）可以多个认证服务器用户角色的配置（ROLE）具有相同权限的同一组用户权限分配的基础，所有的访问控制策略都是基于ROLE用户区域的配置（REALM）使用相同的认证服务器的同一组用户该组用户根据访问权限的不同，映射成不同的ROLE,配置SA的步骤（续）,配置SA的步骤资源访问策略的配置（resourcepolicy）对于目标资源的访问控制，如WEB服务器，文件服务器等针对于ROLE的访问权限控制（某个ROLE有何种访问权限）用户登陆的配置（signinpolicy）定制用户登陆界面（提供缺省界面）定制用户登陆URL（缺省为*/）用户的安全性检查（可选）定制HOSTCHECK策略定制CACHECLEANER策略,配置实例,用户需求无认身份证服务器内部有WEB，SSH服务器两个用户用户分别有不同的访问权限,配置步骤,1.添加本地认证服务器mylocalserver，2.添加用户:

user1:

123456user2:

1234563.定义两个ROLE,role1WEB服务role2,WEB服务和ssh4.定义一个REALM:

myrealm,采用认证服务器mylocalserver，定义ROELmapping策略ifusername=user1maptorole1ifusername=user2maptorole25.资源访问策略的定制，可以通过角色中的自动允许完成6。

定义SIGN-INPOLCIY,sign-inURL:

*/sign-inpage:

defaultpageRealm:

myrealm7.用户通过https:

/10.0.0.2登陆，输入身份信息，OK,配置的导入导出,二进制配置的导入导出配置的导入导出configfile用户的导入导出useraccount导入的信息包含LICENSE的信息XML形式导入导出可以按照不同的配置类型导出导出的配置为明文，可认的，可以修改必须在同一版本间导入导出对下列情形有用增加大量的用户修改大量的配置，如认证服务器，用户或其他建立一个配置模板,配置认证服务器,配置身份认证服务器,我们将练习本地认证服务器AD服务器证书服务器anonymous认证服务器,配置本地认证服务器,添加本地认证服务器Signing-inservers通过选择IVEauthentication，建立Newserver输入认证服务器名localserver，对密码的相关要求可以添加多个本地认证服务器增加用户进入localserveruser，添加用户添加REALM，使用添加的本地认证服务器UserAuthentication建立新的Realms：

localrealm通过ROLEMAPPING实现授权进入localrealmrolemapping，建立新的规则,配置AD认证服务器,添加AD认证服务器Signing-inservers通过选择ActiveDirectory/WindowsNT，建立Newserver输入AD的相关信息，名称，IP,Domain,管理员可以添加多个AD认证服务器添加REALM，使用添加的AD认证服务器通过ROLEMAPPING实现授权可以基于AD的相关属性，如组等，进行授权,配置证书认证服务器,添加证书认证服务器通过选择CertificateServer,建立Newserver输入证书服务器的名称加入IVE的证书，在ConfigurationCertificateTrustClientCA中加入配置证书的其他属性，如CRL等添加REALM，使用添加的证书认证服务器通过ROLEMAPPING实现授权实现USBKEY方式的身份认证，KEY中包含了用户的CA,配置anonymous认证服务器,添加anonymous认证服务器通过选择Anonymousserver,建立Newserver添加REALM，使用添加的anonymous认证服务器通过ROLEMAPPING实现授权安全性不高，用户都可以使用也存在最大并发用户的限制一般在自动化测试中使用,配置用户角色role,role,General选择该角色可以使用哪些服务，打勾Sourceip配置SA对内发起连接时，采用的源IP地址Sessionoption超时，COOKIE的相关选项UIoption用户成功登陆后的界面设置Restriction用户登陆，获得该角色的其他条件如果不符合，则不能获取该ROLE的权限添加BOOKMARK,当用户登陆成功后，呈现给用户一个包含所有BOOKMARK的界面,GeneralOverview,WebBookmarks,FilesWindowsBookmarks,J-SAM,JavaApplet修改本地的host文件在loopback地址进行连接的侦听将数据包封装成SSL格式，转发给IVE适合于基于静态的TCP端口的应用支持如下服务:

MicrosoftMAPILotusNotesCitrixNFuseNetBIOSFileBrowsing,J-SAMAddApplication,J-SAMOptions,W-SAM,ActiveXControlWindows-32agent透明的重定向系统请求基于单个的应用（客户端进程）基于单个主机或网络（hostname/iprange）截获相关的应用数据Socket连接调用DNS查询,W-SAMAddApplication,W-SAMAddServer,W-SAMOptions,NetworkConnect,基于SSL的网络层的远程访问类似IPSEC，用的是https或者UDP可以穿越防火墙或者代理设备跨平台的支持在主机上安装一个虚拟的PPPadapter需要管理员权限支持隧道分割和不分割的模式,NetworkConnect,Telnet/SSHClient,Telnet/SSHSessions（Bookmarks）,TerminalServices,TerminalServicesSessions,配置Resourcepolicy,Resourcepolicy,对目标访问资源的访问控制针对多种访问方式，有不同的控制策略access,访问控制，各种访问方式都有access在ROLE中添加的自动允许访问的策略，在这里会有体现名称目标的资源控制的方式，允许或拒绝，或者detail应用到的ROLE,特殊的Resourcepolicy,Webcache缺省对所有的WEB内容，修改HTTP头的CACHE选项，在客户端不保留CACHE对于某些文件无法正常下载，不修改CACHE对于无法在WEB页面点击“回退”，不修改CACHE对于有的WEB页面中的图片无法正常显示，需要增大CACHEOPTION中的值,特殊的Resourcepolicy,WebJavaJAVA的连接不同于基本的WEB设置JAVA连接的IP地址和端口号Codesigning:

缺省IVE用自己的证书对经IVE转发的javaapplet进行签名，由于其不是客户端可信的证书，会在客户端产生警告信息，要消除警告信息，可以上载服务器的证书到IVE上，利用这个证书对javaapplet进行签名。

上传一个APPLET到IVE上，可以做成BOOKMARK,以后点击这个BOOKMARK,就可以运行这个APPLET,特殊的Resourcepolicy,WebRemoteSSOSAML单点登陆RemoteHeader/cookiesaml,特殊的Resourcepolicy,WebLauchJSAM用户在登陆某个页面的时候，自动启动JSAM点击IVE上的某个BOOKMARK在IVE的主页上输入某个URL在用户的IE的URL栏中输入，无效！

在管理员不希望用户在平时使用JSAM的情形,特殊的Resourcepolicy,WebrewritingSelectiveRewriting系统缺省对所有的内容进行改写需要不进行改写的情况如果希望通过SAM/NC进行WEB的访问，实现了利用BOOKMARK，进行SAM/NC访问如果希望访问外部的服务器时不进行重写Passthroughproxy对WEB页面进行最小的改写IP地址或者端口映射需要修改防火墙的安全策略,特殊的Resourcepolicy,WebproxySA通过另外的代理服务器实现对其他WEB服务器的访问定义代理服务器（IP地址和端口）定义哪些WEB服务器需要通过代理服务器访问对于内部用户通过代理上网的客户，可能用到。

特殊的Resourcepolicy,NCNetworkConnectConnectionProfiles定义NC模式下，客户端的地址池静态地址池DHCP定义NC的传输模式TCP443UDP定义NC的加密算法定义NC的压缩定义NC的DNS设置（如果需要内部的DNS）定义NC的代理设置,特殊的Resourcepolicy,NCSplitTunnelingPolicies在role中指定是否进行隧道分割隧道分割对于指定的地址，通过NC进行通讯对于其他地址，直接连接,几个问题,1.如何限制系统管理员只能从指定的地址登陆？

回答:

1,对管理员的登陆进行限制Administratorauthenticationadminuserauthenticationpolicysourceip输入允许访问的地址或者网段是否可以对管理员做其他的限制密码属性？

数字证书？

客户端软件？

主机安全状况？

2.如何允许普通用户更改密码，怎样更改密码？

回答:

2,对于本地认证服务器Baseline需要在两个地方设置，允许密码管理认证服务器：

sign-inserverlocalserver（你定义的认证服务器）settingpaswordmanagementRealm:

localrealmauthenticationpolicypassw