Array SPX工程安装配置基本手册doc 21页Word格式.docx

Array SPX工程安装配置基本手册doc 21页Word格式.docx

《Array SPX工程安装配置基本手册doc 21页Word格式.docx》由会员分享，可在线阅读，更多相关《Array SPX工程安装配置基本手册doc 21页Word格式.docx（21页珍藏版）》请在冰豆网上搜索。

SP-Demo（config）$aaamethodlocaldb1

第一种认证方法采用LocalDB，授权使用LocalDB。

SP-Demo（config）$aaamethodldap2ldap

第二种认证方法采用LDAP服务器，授权也使用LDAP服务器。

Radius认证服务配置

Radius认证是业界普遍采用的认证协议，VirtualSite采用Radius作认证服务器，需要配置相应参数及端口，当然在SPX与Radius服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。

在配置Radius认证前，先要和用户的管理员询问一些Radius服务器的情况，包括：

Radius服务认证端口，一般采用UDP1812或者是UDP1645，当然用户也可能使用别的端口。

另外还要询问服务器使用的通信密钥。

aaamethodradius<

rank>

[authorizationmethod]

aaaradiushost<

ip>

<

port>

secret>

timeout>

retries>

IP：

指Radius服务器的IP地址

Port：

Radius服务所使用的端口

Secret：

SPX与Radius服务器之间使用的通信密钥

Timeout：

超时设定

Retries：

重试次数

SP-Demo（config）$aaamethodradius2

SP-Demo（config）$aaaradiushost10.1.10.761812"

radius_secret"

203

Authentication->

RADIUS

LDAP认证服务配置

LDAP是一种轻型目录访问协议，具有结构清晰，查找速度较快的特点。

VirtualSite采用LDAP作认证，同样需要配置一些参数。

所以在作此项配置之前，要先和用户的LDAP管理员作一下沟通，获得一些参数信息，并用LDAPBrowser等客户端工具验证一下，把他的LDAP结构清晰化。

LDAP服务一般采用TCP389端口，基于SSL的协议一般采用636端口。

aaamethodldap<

aaaldaphost<

user_name>

password>

”base”>

[tls]

LDAP服务器IP地址。

Port：

LDAP服务端口

UserName：

有相应LDAPSearch权限的用户名

Password：

查找时上面用户的口令

Base：

从哪一级目录进行查找

aaaldapsearchfilter<

filter>

LDAP查找的Search规则，如：

某属性＝<

user>

，其中<

代表用户在登陆SSLVPNVirtualSite输入的字符串，是参数传递。

接下来配置绑定规则，可以选择动态绑定，也可以选择静态绑定，bind是指用户DN的构成规则。

1．动态绑定：

aaaldapbinddynamic

LDAP查找时根据CompleteDistinguishedName，Base信息与searchfilter在上面命令种定义

2．静态绑定：

aaaldapbindstatic<

dn_prefix>

dn_suffix>

dn_prefix：

前缀

dn_suffix：

后缀

<

一起构成了用户DN

SP-Demo（config）$aaamethodldap4

SP-Demo（config）$aaaldaphost10.1.10.76389"

cn=manager,dc=arraytsd,dc=com"

"

secret"

dc=arraytsd,dc=com"

20

SP-Demo（config）$aaaldapsearchfilter"

cn=<

SP-Demo（config）$aaaldapbinddynamic

LDAP

AD认证服务配置

采用ActiveDirectory作认证服务器，需要配置相应参数及TCP端口，当然在SPX与AD服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。

AD的底层也是一个LDAP，所以也同样可以通过LDAP的配置方法配置他。

aaamethodad<

aaaadhost<

mail_domain_name>

SP-Demo（config）$aaamethodad2

SP-Demo（config）$aaaadhost10.1.175.7389“@”

SecurID动态口令认证配置

VirtualSite用securID认证，重要的配置工作在SecurID服务器上，详见SPX手册，在SecurID服务器上生成一个文件，将这个文件导入SPX即可，另外，SecurID认证一定要选择rank1，并且是全局生效。

AceServer和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。

使用SPX的默认路由所指向的interface，作为ACEServer所指定的primaryinterface.，如果其他端口也配置了IP地址，需要将其IP地址作为secondaryinterface，这样采用能够在SPX和AceServer上正确加密数据流。

aaasecuridimport<

url>

SP-Demo（config）#aaasecuridimporthttp:

//10.1.10.33/ace/sdconf.rec

SP-Demo（config）$aaamethodsecured[authorizationmethod]

一般SecurID服务器也同样支持Radius协议，如果那您把他看作Radius服务器，也可以按照Radius服务认证的方法配置他，详见前面章节。

SSLVPN门户VirtualSite授权配置

授权是SSLVPN的一个主要的安全功能，Array的授权机制是设置用户或组享有的特定权限，授权是和认证方法高度相关的，不同的认证采用不同的授权方法。

如用LDAP认证，可以通过LDAP服务器授权，也可以通过LocalDB或者是Radius服务器授权。

认证授权关系表

认证方式

可认证

可授权

LocalDB

Y

Radius

Y（需要扩展Dictionary）

Y（需要扩展Schema）

AD

GroupMapping或LocalDB

SecurID

N

ArraySPX授权权限分为几类：

授权方式

授权内容

ACL

定义了用户或组享有的权限列表

SourceNet

定义了登陆的原地址范围

NetPool

定义了L3VPN所使用的地址池

UID,GID

定义了用户使用NFS功能时用到的UID和GID信息

其中最主要的授权方式是ACL。

ACL分为两大类，一类规定了WRM、FileSharing的控制规则，另一类定义了ClientApp和L3VPN的控制规则。

一个用户登陆SSLVPN时它的权限可以通过ACL作详细的授权。

ArraySPX缺省是没有ACL配置的，这时所有的资源对所有的用户开放，一旦对某个用户或组配置了一个ACL，则对他需要访问的内容权限一定要显示的配置成PERMIT，否则不允许访问。

对WRM、FileSharing生效的ACL

priority>

scheme>

:

host>

path>

[AND<

virtual>

]（PERMIT|DENY）

Priority：

优先级

Scheme:

是针对HTTP还是FileSharing

Host：

目标服务器，支持通配符“*”。

Path：

路径

ANDvirtual：

在globalmode配置时只关联到相应的VirtualSite上，在VirtualSiteConfig模式时，不需要此参数。

0http:

10.1.175.7/exchangeANDintraDENY

1http:

*ANDintraPERMIT

2file:

10.1.175.7/demoANDintraDENY

3file:

我们会在LocalDB授权时给出具体针对不同用户的配置方法。

2．针对ClientApp、L3VPN的ACL

ip<

protocol>

host_ip>

[/<

netmask>

][:

port][AND<

virtual_site_id>

]{PERMIT|DENY}

Priority–优先级

Protocol–针对那种IP协议，可以时TCP、UDP或protocolnumber，*代表所有协议。

Host_IP：

目标服务器

Netmask：

掩码

端口号

在globalmode配置时只施加在那个virtuailsite，在virtualsiteconfig模式时，不需要此参数

0ip*:

10.1.175.0/255.255.255.0ANDpartnerPERMIT

1ip*:

0.0.0.0/0ANDpartnerDENY

同样，我们会在LocalDB授权时给出具体针对不同用户的配置方法。

LocalDB的授权

用LocalDB授权比较简单，只需对相应用户或组配置相应ACL即可。

Global模式：

localdbaclaccount<

virtual_database_name>

account_name>

ACL>

localdbaclgroup<

group_name>

VirtualSite模式：

localdbaclaccount<

localdbaclgroup<

用户的策略

SP-Demo（config）$aaaon

SP-Demo（config）$localdbaccount"

test"

“pass“

SP-Demo（config）$localdbaclaccount"

10.1.175.7/exchangeANDSP-DemoDENY"

*ANDSP-DemoPERMIT"

0file:

10.1.175.7/demoANDSP-DemoDENY"

1file:

2ip*:

10.1.175.0/255.255.255.0ANDSP-DemoPERMIT"

3ip*:

0.0.0.0/0ANDSP-DemoDENY“

组的策略：

localdbnetpoolgroup<

pool_id>

地址池分配

localdbsourcenetgroup<

groupname>

登陆原地址限制

很多种认证方法都可以通过LocalDB授权，不过这时一般需要用户名一一对应。

如采用LDAP认证，LocalDB授权，要求LDAP服务器上的帐号和LocalDB上的帐号对应，如果LocalDB上没有这个帐号，需要用DefaultGroup作在LocalDB上没有的帐号的授权。

SP-Demo（config）$aaaradiusaccountingoff

SP-Demo（config）$aaamethodad1localdb

SP-Demo（config）$aaaadhost10.1.10.31389"

@"

SP-Demo（config）$aaalocaldbgroupdefault"

arraygroup"

SP-Demo（config）$aaalocaldbauthorizationusedefault

LDAP服务器的授权

如果您使用LDAP认证，缺省是采用LDAP服务器作授权，即将ACL作为LDAP服务器用户的相应属性来进行授权，这时需要扩充LDAP的schema。

如果您的认证服务器和LDAP授权服务器不是一台机器，那您需要单独配置LDAP授权服务器。

LDAP授权命令行为：

SP-Demo（config）$aaamethod<

ldap

SP-Demo（config）$aaaldapauthorizehost<

base>

具体参数概念参见上一章中LDAP认证部分。

SP-Demo（config）$aaaldapauthorizesearchfilter<

然后主要的任务是配置LDAP服务器，首先扩充LDAP服务器的schema，然后配置需要授权用户的ACL属性赋予相应的权限。

我们以OpenLDAP为例叙述过程，一般需要在slapd.conf中加入include文件：

included:

/openldap/etc/schema/core.schema

/openldap/etc/schema/inetorgperson.schema

/openldap/etc/schema/array.schema

然后在相应目录下放置array.shema文件，内容如下：

#Arrayextendedschema,addedbywuyuepeng

#ArrayNetworksSchema

#casesenstiveurlprefixie*

attributetype（1.3.6.1.4.1.7564.1000.1

NAME'

accepturl'

DESC'

accepturlexprerssion'

SYNTAX1.3.6.1.4.1.1466.115.121.1.26）

#acceptedsourcenetworkaddresses

#oftheformnetwork/maskeg10.2.0.0/255.255.0.0

attributetype（1.3.6.1.4.1.7564.1000.2

sourcenet'

SourceNetworkip/mask'

#casesenstivenetworkpoolname

attributetype（1.3.6.1.4.1.7564.1000.3

netpool'

networkpoolsforL3VPN'

#ArrayUserinheartsfrominetOrgPer

objectclass（1.3.6.1.4.1.7564.1000

ArrayUser'

ArrayApplianceNetworkUser'

SUPtop

AUXILIARY

MAY（accepturl$sourcenet）

）

#BorrowtheaccepturlandsourcenetfromArrayUser

objectclass（1.3.6.1.4.1.7564.1001

ArrayGroup'

ArrayApplianceNetworkGroup'

MAY（accepturl$sourcenet$netpool）

然后在用户的相应属性增加相应的权限即可：

在accepturl属性赋值为一个ACL：

10.1.175.7/exchangeANDSP-DemoDENY

Radius服务器的授权

同LDAP授权一样，如果您使用Radius做认证，缺省是采用Radius服务器作授权，即将ACL作为Radius服务器用户的相应属性来进行授权，这时需要扩充Radius的Dictionary。

如果您的认证服务器和Radius授权服务器不是一台机器，那您需要单独配置Radius授权服务器。

Radius授权命令行为：

SP-Demo（config）$aaamethod<

radius

Sp-Demo（config）$aaaldapauthorizehost<

具体参数概念参见上一章中Radius认证部分。

然后就是扩充Radius服务器的Dictionary，将ACL的属性定义加进去，进而配置用户的相应属性进行ACL授权。

扩充的Dictionary文件内容如下：

#

#ArrayNetworks

#borrowedfromsnmpd,mayleadtotroublelater

VENDORArray-Networks7564

#ArrayNetorksExtensions

ATTRIBUTEAccept-Acls1stringArray-Networks

ATTRIBUTESourceNets2stringArray-Networks

ATTRIBUTEmemberUid3integerArray-Networks

ATTRIBUTEmemberGid4stringArray-Networks

ATTRIBUTENetPool5stringArray-Networks

如某用户的相应属性：

FooAuth-Type=Local,Password=“foobar”

Accept-Acls="

*/ANDallPERMIT"

SourceNets=“10.2.0.0/255.255.0.0”

uidNumber=2063,

gidNumber="

100010202300"

GroupMapping授权方式

有的用户用Radius、AD、LDAP认证，他们又不想修改这些服务器，加上Array的授权属性。

这时我们可以抓取这些服务器的组信息放到LocalDB上，将这些认证服务器的组映射到LocalDB的相应组进行授权。

首先要找到Radius、AD、LDAP那个属性是他的组属性，然后当这个属性等于某个值时映射到LocalDB特定组上。

如AD上的这个属性就是memberOf属性。

aaaldapgroup<

attr>

若是LDAP，<

指代表组的属性。

aaaradiusgroup<

若是Radius，<

aaalocaldbgroupdefault<

若组映射不成功，这个用户所属的缺省组。

aaamapgroup<

exter