Array SPX工程安装配置基本手册doc 21页Word格式.docx
《Array SPX工程安装配置基本手册doc 21页Word格式.docx》由会员分享,可在线阅读,更多相关《Array SPX工程安装配置基本手册doc 21页Word格式.docx(21页珍藏版)》请在冰豆网上搜索。
SP-Demo(config)$aaamethodlocaldb1
第一种认证方法采用LocalDB,授权使用LocalDB。
SP-Demo(config)$aaamethodldap2ldap
第二种认证方法采用LDAP服务器,授权也使用LDAP服务器。
Radius认证服务配置
Radius认证是业界普遍采用的认证协议,VirtualSite采用Radius作认证服务器,需要配置相应参数及端口,当然在SPX与Radius服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。
在配置Radius认证前,先要和用户的管理员询问一些Radius服务器的情况,包括:
Radius服务认证端口,一般采用UDP1812或者是UDP1645,当然用户也可能使用别的端口。
另外还要询问服务器使用的通信密钥。
aaamethodradius<
rank>
[authorizationmethod]
aaaradiushost<
ip>
<
port>
secret>
timeout>
retries>
IP:
指Radius服务器的IP地址
Port:
Radius服务所使用的端口
Secret:
SPX与Radius服务器之间使用的通信密钥
Timeout:
超时设定
Retries:
重试次数
SP-Demo(config)$aaamethodradius2
SP-Demo(config)$aaaradiushost10.1.10.761812"
radius_secret"
203
Authentication->
RADIUS
LDAP认证服务配置
LDAP是一种轻型目录访问协议,具有结构清晰,查找速度较快的特点。
VirtualSite采用LDAP作认证,同样需要配置一些参数。
所以在作此项配置之前,要先和用户的LDAP管理员作一下沟通,获得一些参数信息,并用LDAPBrowser等客户端工具验证一下,把他的LDAP结构清晰化。
LDAP服务一般采用TCP389端口,基于SSL的协议一般采用636端口。
aaamethodldap<
aaaldaphost<
user_name>
password>
”base”>
[tls]
LDAP服务器IP地址。
Port:
LDAP服务端口
UserName:
有相应LDAPSearch权限的用户名
Password:
查找时上面用户的口令
Base:
从哪一级目录进行查找
aaaldapsearchfilter<
filter>
LDAP查找的Search规则,如:
某属性=<
user>
,其中<
代表用户在登陆SSLVPNVirtualSite输入的字符串,是参数传递。
接下来配置绑定规则,可以选择动态绑定,也可以选择静态绑定,bind是指用户DN的构成规则。
1.动态绑定:
aaaldapbinddynamic
LDAP查找时根据CompleteDistinguishedName,Base信息与searchfilter在上面命令种定义
2.静态绑定:
aaaldapbindstatic<
dn_prefix>
dn_suffix>
dn_prefix:
前缀
dn_suffix:
后缀
<
一起构成了用户DN
SP-Demo(config)$aaamethodldap4
SP-Demo(config)$aaaldaphost10.1.10.76389"
cn=manager,dc=arraytsd,dc=com"
"
secret"
dc=arraytsd,dc=com"
20
SP-Demo(config)$aaaldapsearchfilter"
cn=<
SP-Demo(config)$aaaldapbinddynamic
LDAP
AD认证服务配置
采用ActiveDirectory作认证服务器,需要配置相应参数及TCP端口,当然在SPX与AD服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。
AD的底层也是一个LDAP,所以也同样可以通过LDAP的配置方法配置他。
aaamethodad<
aaaadhost<
mail_domain_name>
SP-Demo(config)$aaamethodad2
SP-Demo(config)$aaaadhost10.1.175.7389“@”
SecurID动态口令认证配置
VirtualSite用securID认证,重要的配置工作在SecurID服务器上,详见SPX手册,在SecurID服务器上生成一个文件,将这个文件导入SPX即可,另外,SecurID认证一定要选择rank1,并且是全局生效。
AceServer和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。
使用SPX的默认路由所指向的interface,作为ACEServer所指定的primaryinterface.,如果其他端口也配置了IP地址,需要将其IP地址作为secondaryinterface,这样采用能够在SPX和AceServer上正确加密数据流。
aaasecuridimport<
url>
SP-Demo(config)#aaasecuridimporthttp:
//10.1.10.33/ace/sdconf.rec
SP-Demo(config)$aaamethodsecured[authorizationmethod]
一般SecurID服务器也同样支持Radius协议,如果那您把他看作Radius服务器,也可以按照Radius服务认证的方法配置他,详见前面章节。
SSLVPN门户VirtualSite授权配置
授权是SSLVPN的一个主要的安全功能,Array的授权机制是设置用户或组享有的特定权限,授权是和认证方法高度相关的,不同的认证采用不同的授权方法。
如用LDAP认证,可以通过LDAP服务器授权,也可以通过LocalDB或者是Radius服务器授权。
认证授权关系表
认证方式
可认证
可授权
LocalDB
Y
Radius
Y(需要扩展Dictionary)
Y(需要扩展Schema)
AD
GroupMapping或LocalDB
SecurID
N
ArraySPX授权权限分为几类:
授权方式
授权内容
ACL
定义了用户或组享有的权限列表
SourceNet
定义了登陆的原地址范围
NetPool
定义了L3VPN所使用的地址池
UID,GID
定义了用户使用NFS功能时用到的UID和GID信息
其中最主要的授权方式是ACL。
ACL分为两大类,一类规定了WRM、FileSharing的控制规则,另一类定义了ClientApp和L3VPN的控制规则。
一个用户登陆SSLVPN时它的权限可以通过ACL作详细的授权。
ArraySPX缺省是没有ACL配置的,这时所有的资源对所有的用户开放,一旦对某个用户或组配置了一个ACL,则对他需要访问的内容权限一定要显示的配置成PERMIT,否则不允许访问。
对WRM、FileSharing生效的ACL
priority>
scheme>
:
host>
path>
[AND<
virtual>
](PERMIT|DENY)
Priority:
优先级
Scheme:
是针对HTTP还是FileSharing
Host:
目标服务器,支持通配符“*”。
Path:
路径
ANDvirtual:
在globalmode配置时只关联到相应的VirtualSite上,在VirtualSiteConfig模式时,不需要此参数。
0http:
10.1.175.7/exchangeANDintraDENY
1http:
*ANDintraPERMIT
2file:
10.1.175.7/demoANDintraDENY
3file:
我们会在LocalDB授权时给出具体针对不同用户的配置方法。
2.针对ClientApp、L3VPN的ACL
ip<
protocol>
host_ip>
[/<
netmask>
][:
port][AND<
virtual_site_id>
]{PERMIT|DENY}
Priority–优先级
Protocol–针对那种IP协议,可以时TCP、UDP或protocolnumber,*代表所有协议。
Host_IP:
目标服务器
Netmask:
掩码
端口号
在globalmode配置时只施加在那个virtuailsite,在virtualsiteconfig模式时,不需要此参数
0ip*:
10.1.175.0/255.255.255.0ANDpartnerPERMIT
1ip*:
0.0.0.0/0ANDpartnerDENY
同样,我们会在LocalDB授权时给出具体针对不同用户的配置方法。
LocalDB的授权
用LocalDB授权比较简单,只需对相应用户或组配置相应ACL即可。
Global模式:
localdbaclaccount<
virtual_database_name>
account_name>
ACL>
localdbaclgroup<
group_name>
VirtualSite模式:
localdbaclaccount<
localdbaclgroup<
用户的策略
SP-Demo(config)$aaaon
SP-Demo(config)$localdbaccount"
test"
“pass“
SP-Demo(config)$localdbaclaccount"
10.1.175.7/exchangeANDSP-DemoDENY"
*ANDSP-DemoPERMIT"
0file:
10.1.175.7/demoANDSP-DemoDENY"
1file:
2ip*:
10.1.175.0/255.255.255.0ANDSP-DemoPERMIT"
3ip*:
0.0.0.0/0ANDSP-DemoDENY“
组的策略:
localdbnetpoolgroup<
pool_id>
地址池分配
localdbsourcenetgroup<
groupname>
登陆原地址限制
很多种认证方法都可以通过LocalDB授权,不过这时一般需要用户名一一对应。
如采用LDAP认证,LocalDB授权,要求LDAP服务器上的帐号和LocalDB上的帐号对应,如果LocalDB上没有这个帐号,需要用DefaultGroup作在LocalDB上没有的帐号的授权。
SP-Demo(config)$aaaradiusaccountingoff
SP-Demo(config)$aaamethodad1localdb
SP-Demo(config)$aaaadhost10.1.10.31389"
@"
SP-Demo(config)$aaalocaldbgroupdefault"
arraygroup"
SP-Demo(config)$aaalocaldbauthorizationusedefault
LDAP服务器的授权
如果您使用LDAP认证,缺省是采用LDAP服务器作授权,即将ACL作为LDAP服务器用户的相应属性来进行授权,这时需要扩充LDAP的schema。
如果您的认证服务器和LDAP授权服务器不是一台机器,那您需要单独配置LDAP授权服务器。
LDAP授权命令行为:
SP-Demo(config)$aaamethod<
ldap
SP-Demo(config)$aaaldapauthorizehost<
base>
具体参数概念参见上一章中LDAP认证部分。
SP-Demo(config)$aaaldapauthorizesearchfilter<
然后主要的任务是配置LDAP服务器,首先扩充LDAP服务器的schema,然后配置需要授权用户的ACL属性赋予相应的权限。
我们以OpenLDAP为例叙述过程,一般需要在slapd.conf中加入include文件:
included:
/openldap/etc/schema/core.schema
/openldap/etc/schema/inetorgperson.schema
/openldap/etc/schema/array.schema
然后在相应目录下放置array.shema文件,内容如下:
#Arrayextendedschema,addedbywuyuepeng
#ArrayNetworksSchema
#casesenstiveurlprefixie*
attributetype(1.3.6.1.4.1.7564.1000.1
NAME'
accepturl'
DESC'
accepturlexprerssion'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#acceptedsourcenetworkaddresses
#oftheformnetwork/maskeg10.2.0.0/255.255.0.0
attributetype(1.3.6.1.4.1.7564.1000.2
sourcenet'
SourceNetworkip/mask'
#casesenstivenetworkpoolname
attributetype(1.3.6.1.4.1.7564.1000.3
netpool'
networkpoolsforL3VPN'
#ArrayUserinheartsfrominetOrgPer
objectclass(1.3.6.1.4.1.7564.1000
ArrayUser'
ArrayApplianceNetworkUser'
SUPtop
AUXILIARY
MAY(accepturl$sourcenet)
)
#BorrowtheaccepturlandsourcenetfromArrayUser
objectclass(1.3.6.1.4.1.7564.1001
ArrayGroup'
ArrayApplianceNetworkGroup'
MAY(accepturl$sourcenet$netpool)
然后在用户的相应属性增加相应的权限即可:
在accepturl属性赋值为一个ACL:
10.1.175.7/exchangeANDSP-DemoDENY
Radius服务器的授权
同LDAP授权一样,如果您使用Radius做认证,缺省是采用Radius服务器作授权,即将ACL作为Radius服务器用户的相应属性来进行授权,这时需要扩充Radius的Dictionary。
如果您的认证服务器和Radius授权服务器不是一台机器,那您需要单独配置Radius授权服务器。
Radius授权命令行为:
SP-Demo(config)$aaamethod<
radius
Sp-Demo(config)$aaaldapauthorizehost<
具体参数概念参见上一章中Radius认证部分。
然后就是扩充Radius服务器的Dictionary,将ACL的属性定义加进去,进而配置用户的相应属性进行ACL授权。
扩充的Dictionary文件内容如下:
#
#ArrayNetworks
#borrowedfromsnmpd,mayleadtotroublelater
VENDORArray-Networks7564
#ArrayNetorksExtensions
ATTRIBUTEAccept-Acls1stringArray-Networks
ATTRIBUTESourceNets2stringArray-Networks
ATTRIBUTEmemberUid3integerArray-Networks
ATTRIBUTEmemberGid4stringArray-Networks
ATTRIBUTENetPool5stringArray-Networks
如某用户的相应属性:
FooAuth-Type=Local,Password=“foobar”
Accept-Acls="
*/ANDallPERMIT"
SourceNets=“10.2.0.0/255.255.0.0”
uidNumber=2063,
gidNumber="
100010202300"
GroupMapping授权方式
有的用户用Radius、AD、LDAP认证,他们又不想修改这些服务器,加上Array的授权属性。
这时我们可以抓取这些服务器的组信息放到LocalDB上,将这些认证服务器的组映射到LocalDB的相应组进行授权。
首先要找到Radius、AD、LDAP那个属性是他的组属性,然后当这个属性等于某个值时映射到LocalDB特定组上。
如AD上的这个属性就是memberOf属性。
aaaldapgroup<
attr>
若是LDAP,<
指代表组的属性。
aaaradiusgroup<
若是Radius,<
aaalocaldbgroupdefault<
若组映射不成功,这个用户所属的缺省组。
aaamapgroup<
exter