首信企业AAA用户手册v.docx
《首信企业AAA用户手册v.docx》由会员分享,可在线阅读,更多相关《首信企业AAA用户手册v.docx(30页珍藏版)》请在冰豆网上搜索。
首信企业AAA用户手册v
首信企业版AAA用户手册
北京首信科技股份有限公司
2010年9月
版本历史
版本号
发布日期
备注
1.0
2008.3.20
初始版本
3.1
2010.9.9
根据3.1.0版本进行修订
第一章首信AAA系统介绍
首信AAA系统是结合目前企业通信市场需求和未来发展趋势推出的一体化认证、计费系统,采用目前最通用的RADIUS协议,为企业提供全面的解决方案。
系统能够对各种应用进行统一集中的用户认证和计费。
首信AAA系统支持的业务范围包括各种VoIP、宽窄带接入(拔号上网、专线上网)、移动数据业务、WLAN等。
首信AAA系统支持分组管理用户;
首信AAA系统支持按用户组授权,包括分配IP地址池标识、用户最大连接数限制、上线时段限制、用户和终端标识绑定;
首信AAA系统支持按用户授权,包括用户有效期、分配静态IP地址、分配IP地址池标识、用户最大连接数限制、上线时段限制、用户和终端标识绑定;
首信AAA系统支持多用户状态设定,包括正常、暂停等;
首信AAA系统支持黑名单功能;
首信AAA系统支持冻结名单,达到密码尝试次数限制后自动加入冻结名单,冻结超过一定时间后自动解除冻结;
首信AAA系统支持通过EXCEL表格批量导入用户数据;
首信AAA系统支持当前在线用户维护;
首信AAA系统支持认证日志、在线日志和操作日志;
首信AAA系统支持认证统计、在线统计;
首信AAA系统支持按角色对管理员进行分组;
首信AAA系统采用WEB管理界面,界面美观,操作方便;
首信AAA系统功能强大,稳定可靠,扩展性强,安全性好,是企业的良好选择。
第二章系统安装和卸载
2.1Windows版本
二.1.1系统安装
首信AAA系统支持Windows2000、WindowsXP和WindowsServer2003操作系统,要求Pentium42.0GHz及以上CPU,1GB以上内存,10GB以上硬盘可用空间。
首信AAA系统安装文件的命名方式为“CapitekAAA-版本-内部版本.exe”(图2.1,注意:
您所获得的是最新版本的软件,版本和内部版本可能和图中不一致)。
(图2.1安装文件信息)
要进行系统安装,请双击安装文件,会弹出安装语言选择界面(图2.2),可以选择简体中文(Chinese(Simplified))和英文(English),此处选择“Chinese(Simplified)”,
(图2.2安装语言选择)
点击“OK”按钮,进入“中文安装向导”页面(图2.3),安装向导的正文标题上有首信
(图2.3安装向导)
AAA系统的版本号,点击“下一步(N)”按钮继续,进入“许可证协议”页面(图2.4),
(图2.4许可证协议)
请认真仔细阅读《首信AAA系统用户许可协议》,只有接受协议才能继续安装,如果接受协议,点击“我接受(I)”按钮继续,进入正在“安装页面”(图2.5),安装程序对首信AAA系统进行安装(图2.5)和配置(图2.6),安装时间一般在3至10分钟之间,根据机器的硬件配置决定,请耐心等待。
(图2.5安装过程)
(图2.6配置AAA系统)
安装程序完成系统配置以后,自动进入“完成安装”页面(图2.7),点击“完成[F]”按钮关闭本页面,安装程序会在“开始菜单”和“桌面”生成快捷方式(图2.8),如果在“完成安装”页面选中了“运行首信AAA系统服务器”,则“完成安装”页面关闭后弹出“首信AAA系统”控制工具(图2.9),如果没有选中,双击桌面上的“首信AAA系统服务器”快捷方式也同样可以运行“首信AAA系统”控制面板,进行服务器控制和许可证管理。
(图2.7安装结束)
(图2.8运行AAA系统)
(图2.9系统服务器)
双击桌面上的“首信AAA系统管理”快捷方式可运行“首信AAA系统管理”界面(图2.10),进行系统管理的操作。
(图2.10系统管理界面)
二.1.2系统卸载
有两种方式可以卸载首信AAA系统,一种是通过“开始”菜单中的“卸载首信AAA系统”(图2.8);另一种是通过“控制面板”中的“添加或删除程序”(图2.11),
(图2.11系统卸载)
选中“首信AAA系统”,点击“删除”按钮。
卸载程序弹出“卸载向导”页面(图2.12),
(图2.12卸载向导)
点击“下一步[N]”,进入“卸载首信AAA系统”页面(图2.13),
(图2.13卸载过程1)
点击“移除(U)”按钮,进入“正在卸载”页面(图2.14),
(图2.14卸载过程2)
卸载完成后自动转到“完成卸载”页面(图2.15),点击“完成(F)”结束。
(图2.15卸载结束)
二.1.3许可证获取
首信AAA系统必须在许可证文件的支持下才能够正确运行。
无许可证文件、许可证文件被破坏、许可证文件过期等等会导致系统不能正常工作。
首信AAA系统许可证文件为软件许可证文件,软件许可证文件支持系统正确运行。
软件许可证文件分三种类型:
评估版许可证文件、试用版许可证文件和商业版许可证文件。
首信AAA系统安装后自带评估版许可证文件,评估版有效时间为10天,系统安装10天后评估版许可证文件自动失效。
试用版许可证文件和商业版许可证文件需要向北京首信科技股份有限公司申请。
申请许可证文件的步骤参考“3.1.2许可证管理”一节。
二.2Linux/Unix版本
第一章
第二章
二.1
二.2
二.2.1安装前准备工作
目前很多Linux发行版(例如RedHatEnterpriseLinux(RHEL)、Fedora等)含有SELinux(Security-EnhancedLinux)模块。
首信AAA系统安装前需要检查该系统中是否已经开启SELinux模块,如果开启,需要将之关闭。
二.2.2安装AAA
Linux/Unix环境下的首信AAA系统的命名规则为:
Capitek-AAA-软件发布版本.内部版本-操作系统-硬件构架.bin
下面举例说明Linux/Unix的安装和配置过程。
给软件安装包增加可执行权限
#chmoda+xCapitek-AAA-3.1.0.3648-Linux-i686.bin
执行软件安装,大概执行几分钟安装配置完毕
#./Capitek-AAA-3.1.0.3648-Linux-i686.bin
例如在REHL5.2下执行安装过程如下所示(红色斜体内容为用户输入,黑色内容为终端输出内容),如果安装过程与之类似且未有任何报错,则安装过程正确结束。
#./Capitek-AAA-3.1.0.3648-Linux-i686.bin
########################################
##
#CapitekAAAinstallation#
##
########################################
BeijingCapitekCo.,Ltd.LicenseAgreement
BeijingCapitekCo.,Ltd.("Capitek")ISWILLINGTOLICENSE
THESOFTWAREIDENTIFIEDBELOWTOYOUONLYUPONTHECONDITION
THATYOUACCEPTALLOFTHETERMSCONTAINEDINTHISBINARY
CODELICENSEAGREEMENTANDSUPPLEMENTALLICENSETERMS
(COLLECTIVELY"AGREEMENT").PLEASEREADTHEAGREEMENT
CAREFULLY.BYDOWNLOADINGORINSTALLINGTHISSOFTWARE,YOU
ACCEPTTHETERMSOFTHEAGREEMENT.INDICATEACCEPTANCEBY
SELECTINGTHE"yes"BUTTONATTHEBOTTOMOFTHE
AGREEMENT.IFYOUARENOTWILLINGTOBEBOUNDBYALLTHE
TERMS,SELECTTHE"no"BUTTONATTHEBOTTOMOFTHE
AGREEMENTANDTHEDOWNLOADORINSTALLPROCESSWILLNOT
CONTINUE.
Copyright2008-2015,BeijingCapitekCo.,Ltd.Allrightsreserved.
Doyouagreetotheabovelicenseterms?
[yesorno]
yes
SelectthedirectorywhereyouwouldlikeCapitekAAAtobeinstalled:
1.[/usr/local/capitek/aaa]
2.Exit.
WhereshouldCapitekAAAbeinstalled?
[1-2]
1
Unpacking...
Checksumming...
Extracting...
Installing...
Configuration...
Startingmysqlddaemonwithdatabasesfrom/usr/local/capitek/aaa/data/database/data
STOPPINGserverfrompidfile/usr/local/capitek/aaa/data/database/data/test153.pid
10012717:
11:
16mysqldended
Done.
二.2.3系统管理脚本
AAA3.1安装目录的system目录下各脚本文件的功能如下:
startaaadaemon
stopaaadaemon
控制AAA系统脚本
startdbdaemon
stopdbdaemon
控制数据库服务器脚本
aaaas.sh
对AAA后台服务进程进行启动、停止、查询状态
aaaws.sh
对AAAWeb管理进程进行启动、停止、查询状态
aaadb.sh
对数据库进程进行启动、停止、查询状态
第三章服务器控制
Windows版本可以从桌面和开始菜单的“首信AAA系统服务器”快捷方式运行“首信AAA系统”控制工具进行服务器控制。
Linux/Unix版本需要使用脚本进行服务器控制。
三.1Windows版本
第三章
三.1
三.1.1系统控制
“系统控制”页面(图3.1)可以用来启动和停止AAA系统服务,包括AAA数据服务、AAA应用服务和AAA管理服务,其中AAA应用服务和AAA管理服务的运行依赖于AAA数据服务,其中:
AAA数据服务提供存储和维护用户数据的动能;
AAA应用服务提供对用户进行认证、授权和计费的功能;
AAA管理服务提供WEB管理界面的功能。
(图3.1系统控制)
选中相应的服务点击“启动服务”或“停止服务”,可以启动或停止相应的服务,服务的状态会自动进行更新。
点击“刷新服务状态”可以手动更新所有服务的状态,服务状态都是“运行中”表示整个系统处于运行状态。
三.1.2许可证管理
“许可证管理”页面(图3.2)可以用来管理许可证文件,包括生成注册信息文件以及导入软件许可证文件,其中注册信息文件用于申请许可证文件。
(图3.2许可证管理)
要获得试用版或商业版的许可证文件,首先需要生成用于申请许可证需要的注册信息文件,点击“生成注册信息文件”按钮,弹出“生成注册信息文件”对话框(图3.3),点击“保存”按钮,回弹出提示框(图3.4),指示注册信息文件的生成位置。
(图3.3生成注册信息文件)
(图3.4提示框)
把注册信息文件“reginfo.reg”发送给北京首信科技股份有限公司(以下简称首信科技)相关部门,经过核实后,首信科技会把软件许可证文件“license.cer”发给相应得客户。
获得软件许可证文件“license.cer”,需要将它们导入到首信AAA系统,才能使系统正确运行,以下是导入的方法:
(1)点击“许可证管理”页面(图3.2)上的“导入软件许可证文件”按钮,弹出“导入软件许可证文件”对话框(图3.5)选择正确的“license.cer”文件,点击“打开”按钮,会出现提示框(图3.6),导入软件许可证文件完成。
(图3.5导入许可证窗口)
(图3.6导入成功)
导入软件许可证文件后,相应的状态和类型会进行更新(图3.9)。
(图3.9许可证管理)
进入WEB管理系统,如果许可证是正确的,左下角的“服务器信息”的“AAA服务状态”后显示“正在运行”(图3.10),如果许可证是错误的,左下角的“服务器信息”的“AAA服务状态”后用红色显示“无效的许可证”(图3.11)。
(图3.10服务器信息)
(图3.11无效许可证界面)
三.1.3关于
“关于”页面(图3.12)显示首信AAA系统的有关信息,包括版本、内部版本和公司地址等等。
请求首信AAA系统的技术支持时,请一定要包含版本、内部版本。
(图3.12关于)
三.2Linux/Unix版本
三.2
三.2.1系统控制
对于Linux/Unix系统,服务器的服务控制通过脚本来实现。
在/usr/local/capitek/aaa/system/目录下,下列脚本完成服务控制的功能。
●启动系统
启动数据库服务器
#./startdbdaemon
启动AAA系统
#./startaaadaemon
●停止系统
停止AAA系统
#./stopaaadaemon
停止数据库服务器
#./stopdbdaemon
三.2.2许可证申请和安装
Linux/Unix系统的许可证管理方式为:
●申请许可证
执行如下命令
#cd/usr/local/capitek/aaa/system
#./request_license.sh
把生成的tar文件(即注册申请文件,名字含有“-reginfo.tar”)发回公司。
●安装许可证
获得许可证文件后,解压缩,并安装许可证及重启AAA服务
#mvlicense.cer/usr/local/capitek/aaa/license
第四章系统管理
可以从桌面和开始菜单的“首信AAA系统管理”快捷方式运行首信AAA系统WEB管理界面(图4.1)。
(图4.1IE系统管理界面)
网络上的其它机器可以用“http:
//服务器IP地址:
5050”网址访问首信AAA系统管理界面。
例如服务器的IP地址为“192.168.0.101”,则可以在浏览器中通过输入网址“http:
//192.168.0.101:
5050”访问首信AAA系统管理界面(图4.2)。
(图4.2FireFox系统管理界面)
“首信AAA系统管理”支持MicrosoftInternetExplorer6.x/7.x和MozillaFirefox2.x/3.x浏览器,最佳的显示分辨率为1024x768。
“首信AAA系统管理”预设的超级管理员为“admin”,密码为“admin”,第一次登录后请立即修改密码。
四.1界面布局概述
首信AAA系统管理典型的界面如图4.3所示,主要分标题栏、导航栏、状态栏和功能区,其中:
(图4.3界面布局)
(1)标题栏在界面的最上方,显示公司的标志、软件名称、当前登录的管理员,并且可以通过点击“注销”退出管理界面;
(2)导航栏在界面的左上方,包含两级菜单,一级菜单包含“管理权限”、“用户管理”、“系统管理”、“日志统计”和“帮助”等类别,点击不同的一级菜单会出现相应的二级菜单,点击二级菜单在右边的功能区会出现相应的操作界面;
(3)状态栏在界面的左下方,显示服务器的信息,包含AAA应用服务的运行状态和运行时间;
(4)功能区在在界面的右方,功能区一般又分为查询栏、列表栏和详细信息栏等,其中
●查询栏在功能区的上方,可以通过不同的组合进行模糊查询;
●列表栏在功能区的中间,显示查询的结果;
●详细信息栏在功能区的下方,显示在列表栏中选中对象的详细信息。
四.2管理权限
四.2.1管理员角色
管理员角色定义了管理系统特定的一组功能模块的权限,凡属于相同管理员角色的管理员将拥有相同的管理权限。
每一个功能模块都会出现在权限列表中,通过配置不同的功能列表组合可以定义多个管理员角色。
管理员角色管理提供了查询,添加,修改和删除功能。
点击导航栏的“管理员角色”,在功能窗口中将出现管理员角色列表,如图4.4所示:
(图4.4管理员角色列表)
管理员角色列表显示了当前系统的所有管理员角色,包括内置超级管理员角色,内置用户管理员角色以及内置系统管理员角色。
注意:
内置的管理员角色信息不可更改。
●查询
进入管理员角色页面,管理员角色列表将列出所有已经定义的管理员角色,点击想要查看的角色名称,管理员角色列表下方将出现此管理员角色的详细信息,如图4.5所示:
(图4.5管理员详细信息)
在详细信息面板中,角色名显示了当前从管理员角色列表中选中的角色名称,描述为此管理员角色的附加描述信息,权限列表中列举了系统所有的功能模块,功能模块之前的复选框被选中表示此角色拥有此功能模块的管理权限。
●添加
点击管理员角色列表面板右下方的“添加”按钮,管理员角色列表下方将出现添加管理员角色的详细信息面板,按照提示完成相应的信息填写,注意在为此角色分配权限时,请根据实际需要为此角色分配适当的功能模块。
小提示:
在添加新的管理员角色时,可以使用现有的角色作为模板进行添加。
比如,可以选中已有的管理员角色,在列表下方将出现此选中的管理员角色的详细信息,修改其中的角色名称修改为所要添加的角色名称,将描述信息更改为所要添加的角色的描述,然后为将要添加的角色分配相应的功能模块,点击“详细信息”面板右下方的“添加为新角色”按钮即可。
●修改
在管理员角色列表中选中将要更改的角色名称,管理员角色列表下方将出现所选中的管理员角色的详细信息,在此详细信息面板中修改此角色的信息。
修改完成后,点击面板右下方的“确认修改”按钮即可。
注意:
1.内置的管理员角色信息不可以更改。
2.如果对角色的功能模块进行了调整,则属于此角色的管理员在下一次登录时,将使用调整后的权限列表所配置的功能模块
3.如果仅对选中的角色信息进行更改,则在修正信息后,请确认点击“确认修改”按钮,而不要点击“添加为新角色”按钮!
●删除
在管理员角色列表中,选中将要删除的角色名称之前的复选框,点击“删除”按钮即可。
注意:
1.在将一个管理员角色删除之后,所有属于此角色的管理员将失去此角色拥有的功能模块。
2.内置的管理员角色不可以删除。
四.2.2管理员
管理员是用于登录管理系统的标识,它在此管理系统中是唯一的。
一个管理员可以属于多个管理员角色,但至少属于一个管理员角色。
当一个管理员属于多个管理员角色时,此管理员拥有的功能模块权限是所有管理员角色拥有的功能模块的并集。
管理系统提供对管理员信息的查询、添加、更改和删除操作,用户可以方便的对管理员信息进行管理,下面将介绍如何对管理员进行以上操作。
●查询
打开管理员页面,页面将显示系统中已经存在的管理员信息,如图4.6所示:
(图4.6查询)
系统默认在进入管理员管理页面时,将列出所有的管理员,每一页显示5条信息,如果查看下一页信息,请点击右下方相应的页码即可。
如果您想查询符合某些条件的管理员,请在管理员查询面板中输入此管理员的查询条件,点击右侧的“查询”按钮,则管理员列表中将出现符合查询条件的管理员。
如果查看某个管理员的详细信息,请在管理员列表中点击想要查看的管理员用户名,则在管理员列表的下面将出现此管理员的详细信息面板,如图4.7所示:
(图4.7详细信息)
在详细信息面板上有三个标签页,分别是管理员的基本信息、管理员隶属的角色以及管理员可以管理的用户组。
下面将详细介绍每个标签页的具体含义。
1.基本信息
基本信息页描述了此管理员的基本信息,其中用户名所指的是登录系统所使用的用户名,密码为登录系统时所使用的密码,姓名是此管理员的真实姓名,它的目的是便于查询和管理。
状态是指管理员是否可用,其中启用状态是此管理员可以正常登录此管理系统,禁用为此管理员不可以登录系统。
电话、电子邮件和备注是为了方便管理所附加的信息。
2.角色
角色页列出了系统已经配置的管理员角色,其中管理员角色的含义请详见4.2.1管理员角色一节。
可以为管理员选择一个或多个角色。
3.管理的用户组
管理员的用户组页面主要是针对管理员可以管理哪些AAA用户组以及属于这些AAA用户组的AAA用户,也就是说只有为管理员分配了可以管理的AAA用户组,此管理员才能管理“用户管理”中相应的用户组以及属于这些用户组的AAA用户。
超级管理员组的管理员不受此功能限制。
●添加
点击管理员角色列表面板右下方的“添加”按钮,管理员角色列表下方将出现添加管理员角色的详细信息面板,依次填写好所要添加的管理员的基本信息、角色和管理的用户组(可选),点击详细信息面板右下方的“添加为新的管理员”按钮即可。
●修改
在管理员列表中选中将要更改的用户名称,管理员列表下方将出现所选中的管理员的详细信息,在此详细信息面板中修改此角色的信息。
修改完成后,点击面板右下方的“确认修改”按钮即可。
注意:
内置的管理员帐户不可以更改用户名。
●删除
在管理员列表中,选中将要删除的角色名称之前的复选框,点击“删除”按钮即可。
注意:
内置的管理员帐户不可以删除。
四.2.3个人信息
个人信息主要是提供本次登陆管理员的个人信息的修改,窗口如图4.8所示:
(图4.8管理员个人信息修改)
四.3用户管理
用户管理主要是对AAA用户的管理。
四.3.1用户组
用户组是一个用来管理AAA用户的抽象概念,它可以给属于同一个AAA用户组的AAA用户设置一些公共属性。
包括下面将要提到的接入授权设定和接入限制设定。
请点击导航条中“用户组”,在页面右侧中将显示“用户组列表”,在列表中列出了管理系统中已经配置好的用户组,点击列表中的用户组名,则会显示出所选用户组的详细信息。
如图4.9所示:
(图4.9用户组界面)
在详细信息面板中包括四个标签页:
基本信息、接入授权、接入限制和扩展。
下面分别介绍这四个标签页的含义。
1.基本信息
基本信息页包括用户组名和用户组的描述。
2.接入授权
接入授权标签页主要设置是否从NAS地址池为此用户组分配IP地址。
3.接入限制
接入限制包括并发限制、时段限制和绑定管理三个部分,其中并发限制主要是限制一个用户最多可以同时发起的连接数,时段限制限制用户的上线时间,绑定管理限制用户是否只能使用自己的终端。
4.扩展
扩展可以根据情况添加VRF和DNS设备。
每种类设备可以添加0或多个。
四.3.2用户
用户是使用AAA业务的主体,它在此管理系统中是唯一的。
可以为用户指定一个且最多一个用户组,也可以不指定。
不指定用户组的用户默认归为“未加入组”中
升级会员 