AAA 配置手册.docx
《AAA 配置手册.docx》由会员分享,可在线阅读,更多相关《AAA 配置手册.docx(23页珍藏版)》请在冰豆网上搜索。
AAA配置手册
AAA配置手册
1证书认证配置2
1.1客户端证书校验(双因素)2
1.1.1为SPX申请服务器证书2
1.1.2为SPX导入证书3
1.1.3导入CA根证书5
1.1.4设置SPX证书认证选项7
1.1.5申请客户端证书8
1证书认证配置
1.1客户端证书校验(双因素)
客户端证书校验指的是在用户等登陆SPX时,SPX检查客户端是否安装了数字证书,只有安装了正确的数字证书才允许登陆,同时检查用户的用户名和口令。
只有两个条件都满足才能正常登陆,所以称为双因素认证。
1.1.1为SPX申请服务器证书
采用证书认证时,首先要为SPX申请一个服务器证书,该证书需要向证书颁发机构申请。
首先,向证书颁发机构(CA)提交证书申请。
将SPX站点的CSR/Key复制下来,如图所示:
其次,打开证书申请页面,依次选择“申请一个证书”→“高级证书申请”→“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请”。
将SPX的CSR/Key粘贴到文本框中,然后提交申请。
如图所示:
待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”→“保存的证书申请”,按照“Base64编码”格式下载证书。
如图所示:
1.1.2为SPX导入证书
将下载的证书用“记事本”程序打开,如图所示:
将文本中的内容全部复制出来,包括开始标记和结束标记。
然后将这段内容导入到SPX的证书中,同时将这个新导入的证书设置为默认证书。
如图所示:
以上是WebUI方式导入,下面是命令行导入
ENSS-CLI(config)$sslimportcertificate
Entercertificate,use"..."onasingleline,withoutquotestoterminateimport
-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----
...
PEMformat
Certificateimportsuccessful
1.1.3导入CA根证书
想要导入的证书生效,还必须将颁发这个证书的CA根证书导入SPX,这样SPX才能确认证书的依赖关系。
在导入CA根证书前,首先要将根证书的编码格式转换为“Base64编码”然后再导入SPX。
然后在SPX的根证书导入页面将这个证书导入。
如图所示:
命令行导入
ENSS-CLI(config)$sslimportrootca
EnterthetrustedrootCAcertificatefileinPEMformat,
use"..."onasingleline,withoutquotestoterminateimport
-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----
...
importing...pleasewait..
RootCAcertificateimportsuccessful
导入证书后启用SSL
ENSS-CLI(config)$sslsettingsclientauth
ENSS-CLI(config)$sslstart
1.1.4设置SPX证书认证选项
在SPX配置页面打开“EnableClientAuthentication”选项,如图所示:
此时,证书和口令双因素认证在SPX上已经配置完成了。
此时访问SPX会出现“选择数字证书”的提示框,因为没有证书,所以不能访问。
想要正常访问,就需要客户端也申请相应的浏览器证书(必须是为SPX颁发服务器证书的CA),这个证书要与SPX的证书想对应,应该在同一个CA上申请。
1.1.5申请客户端证书
浏览器证书的申请与服务器证书申请类似,在证书申请页面上依次选择“申请一个证书”→“Web浏览器证书”。
在出现的页面上填好相应的注册信息然后提交。
等待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”→“Web浏览器证书”→“安装此证书”。
安装完成后会在客户端的证书下面看到这个证书,证书的主题就是申请证书时填写的内容。
此时,安装了证书的客户端就可以正常访问SPX了。
首先,会出现“选择数字证书“提示框。
选择刚申请的证书,证书正确后会出现SPX登陆界面。
输入用户名和密码完成登陆。
1.2、客户端证书认证
客户端证书认证指的是客户端只要安装了数字证书即可登陆,不再需要用户名和口令。
这种认证方式同样需要为SPX和Web浏览器申请证书,证书的申请、导入和安装与1.1所述相同,这里就不再重复了,不同的地方在于SPX的设置。
1.2.1设置SPX认证方式
在SPX的AAA配置页面中,将认证方法设置为“Cert-Anonymous“。
1.2.2SPX关闭AAA
将SPX的AAA关闭,在关闭AAA之前,首先要关闭站点的“SessionReuse“功能
将上图中的勾去掉即可。
其次,将站点的“AAA“关闭,去掉勾即可。
此时,客户端证书认证已经配置完成,接下来就是为客户端申请Web浏览器证书,方法与1.1中所述相同,申请好证书后就可以访问了。
1.3客户端证书字段校验
客户端证书字段校验是指当用户登陆SPX时,SPX不只判断客户端有无证书,而且针对证书的某个字段进行校验,只有通过校验的用户才能登陆。
与1.2相比,这种认证方法更加安全。
同样,这用认证方式也需要为SPX和Web浏览器申请证书,证书的申请、导入和安装与1.1所述相同。
1.3.1设置证书校验字段
在SPX的AAA配置页面中,配置证书认证选项,设置校验字段。
选项下面列出了可以校验的字段,选择其中一个作为校验字段,这里以为例,这个字段是指校验证书中的“姓名“字段。
ValidateMethodUsing的两个选项分别为LocalDB和LDAP,意思是用户建立在LocalDB还是LDAP,用户建立在哪里这里就选择哪个选项,与下面的建立用户对应。
1.3.2设置SPX认证方式
在SPX的AAA配置页面中,将认证方法设置为“Cert-Challenge“。
1.3.3建立用户
在LocalDB或者LDAP中建立相应字段的用户名和口令,用户名就是所校验字段的值。
我们校验的字段是“”,这个字段的值为“sxg”。
所以,应该建立一个用户名为sxg的用户。
此时,客户端证书字段校验就配置完成了,用户登陆时首先会让用户选择数字证书,证书正确后会出现登陆页面,在这个字段中只需要输入密码。
这个密码就是所校验字段的口令(在本例中就是sxg这个用户的口令)输入正确后完成登陆。
对于用户来讲,他并不知道SPX检验的是哪个字段,只知道管理员给他的字段校验密码,因此更加安全。
2LDAP认证配置
2.1LDAP简介
LDAP的英文全称是LightweightDirectoryAccessProtocol,一般简称为LDAP,它是一种轻量目录访问协议,但是一般人们都说:
“把数据存在LDAP中”或者“从LDAP数据库中取出数据”,把LDAP理解成了一种数据库。
实际上LDAP并不是数据库而是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议,或者说“通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据”。
我们暂且将LDAP访问数据库这种方式称为LDAP数据库。
2.2LDAP认证配置
LDAP既可以做认证又可以做授权,这里我们先讲述LDAP做认证的配置。
2.2.1LDAP认证服务器配置
SPX支持与LDAP服务器结合实现认证,这需要在SPX的AAA配置选项下进行设置。
需要指定LDAP服务器的地址、端口等信息才能实现认证。
LDAP认证配置需要以下几项参数:
ServerIP:
LDAP服务器的IP地址
ServerPort:
LDAP提供认证服务的端口
UserName:
具有查询该服务器的用户名
用户名的格式为用户在LDAP服务器中的DN,包括这个用户的BaseDN。
UserPassword:
用户的口令
Base:
目录数据库开始查询的节点
用户从该节点(可以理解为路径下)开始查询。
Timeout:
查询超时时间
UseSSL/TLS:
SPX与LDAP服务器通信是否加密
配置完LDAP认证服务器后还需要配置一下搜索关联选项,就是说用户在SPX登陆页面输入的用户名与LDAP数据库中的用户通过什么条件进行关联,查询的时候将用户输入SPX的“用户名”与LDAP中的哪个字段比对。
一般情况下LDAP中以“uid”作为用户的标识;SPX中用户输入的用户名用标识,所以,将这uid=作为关联条件。
LDAP服务器认证有两种方式:
其一,只要在LDAP服务器上查到了相应的记录就认为用户是合法的;其二,用户不仅可以在LDAP服务器上查到相应记录,而且必须以查询到的用户名和密码登录一次LDAP服务器,可以成功登录的用户才认为是合法的。
在SPX与LDAP结合认证的过程中,针对LDAP的认证方式不同,SPX的配置也有所不同。
不同之处在于,如果LDAP采用第二种方式,SPX必须设置“AuthenticatewithBind”这个选项,绑定方式有静态和动态两种,分别如下:
动态绑定:
静态绑定:
静态绑定需要指定DN前缀和DN后缀,格式如上图所示。
“前缀”+“用户名”+“后缀”共同构成了用户的DN。
2.2.2设置SPX认证方式
在SPX的AAA配置页面中,将认证方法设置为“LDAP“,授权暂留为空。
此时,SPX通过LDAP认证配置完成。
2.3组映射授权配置
上面已经说过,LDAP既可以做认证也可以做授权,但是一般的用法是通过LDAP认证,组映射授权。
首先,要确定LDAP分组依据属性,也就是说LDAP是依据什么分的组(比如说按部门分组或者按职位分组),然后把这个分组依据(部门或职位)对应成LDAP中相应的字段作为LDAP的分组依据属性。
一般情况下使用memberOf这个属性作为分组依据属性,不同情况下这个分组依据属性是不同的,具体按实际情况而定。
其次,在LocalDB中建立分组(个数与LDAP中组的个数对应),将本地组(LocalDB中的组)和外部组(LDAP上的组)对应起来。
另外,在LocalDB中建立一个默认组,作用就是将不属于LDAP上任何组的用户全部对应到这个组中。
经过以上的配置就可以将LDAP上的组对应成LocalDB上的组,然后再通过为本地组授权实现用户的权限设定。
2.4LDAP授权配置
采用LDAP做授权需要扩充LDAP的schema,然后配置需要授权用户的ACL属性赋予相应的权限。
我们以OpenLDAP为例叙述过程,一般需要在slapd.conf中加入include文件:
included:
/openldap/etc/schema/core.schema
included:
/openldap/etc/schema/inetorgperson.schema
included:
/openldap/etc/schema/array.schema
然后在相应目录下放置array.shema文件,内容如下:
#Arrayextendedschema,addedbywuyuepeng
#ArrayNetworksSchema
#casesenstiveurlprefixie*
attributetype(1.3.6.1.4.1.7564.1000.1
NAME'accepturl'
DESC'accepturlexprerssion'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#acceptedsourcenetworkaddresses
#oftheformnetwork/maskeg10.2.0.0/255.255.0.0
attributetype(1.3.6.1.4.1.7564.1000.2
NAME'sourcenet'
DESC'SourceNetworkip/mask'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#casesenstivenetworkpoolname
attributetype(1.3.6.1.4.1.7564.1000.3
NAME'netpool'
DESC'networkpoolsforL3VPN'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#ArrayUserinheartsfrominetOrgPer
objectclass(1.3.6.1.4.1.7564.1000
NAME'ArrayUser'
DESC'ArrayApplianceNetworkUser'
SUPtop
AUXILIARY
MAY(accepturl$sourcenet)
)
#BorrowtheaccepturlandsourcenetfromArrayUser
objectclass(1.3.6.1.4.1.7564.1001
NAME'ArrayGroup'
DESC'ArrayApplianceNetworkGroup'
SUPtop
AUXILIARY
MAY(accepturl$sourcenet$netpool)
)
然后在用户的相应属性增加相应的权限即可:
如:
在accepturl属性赋值为一个ACL:
0http:
10.1.175.7/exchangeANDSP-DemoDENY
3ActiveDirectory认证授权服务配置
3.1ActiveDirectory简介
ActiveDirectory简称AD。
存储关于网络上对象的信息并使这些信息可以用于用户和网络管理员的目录服务。
ActiveDirectory允许网络用户通过单个登录过程访问网络上任意位置允许访问的资源。
该技术可以用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提自下针对相关资源实施访问调用。
ActiveDirectory用户和计算机:
设计为执行日常ActiveDirectory管理任务的管理工具。
这些任务包括创建、删除、修改、移动和设置存储在目录中的对象的权限。
这些对象包括组织单位、用户、联系人、组、计算机、打印机和共享的文件对象。
ActiveDirectory数据模型:
从LDAP数据模型演化而来的模型。
该目录用来保存对象,这些对象代表了由属性描述的各种端口的实体。
在架构中定义了可以存储在目录中的对象和对象的类。
对于对象的每个类,架构都定义了该类的实例所必须拥有的属性,并且该类可以是其的父类(该类可能有的附加属性)。
3.2ActiveDirectory认证配置
由于AD是LDAP的扩展,它的底层也是一个LDAP。
所以,如果AD只是作为认证服务器,在SPX配置上可以通过AD的配置方法来配,也可以通过LDAP的配置方法来配。
但如果AD也要做授权服务器,进行user-to-mapping组映射,在SPX配置上只能通过LDAP的配置方法来配,也就是把AD服务器看作LDAP服务器来配。
在配置AD认证前,先要向AD服务器管理员询问以下几点AD服务器的情况:
1.AD服务器的端口(默认TCP/UDP389)
2.用户所在域的域名(表现为MailDomain,如@)。
SiteConfiguration->AAA->Authentication->ActiveDirectory
如上图所示空白处填入:
ServerIP:
AD服务器的IP地址
ServerPort:
AD服务器的通信端口(默认为TCP/UDP389)
MailDomain:
用户所在域的域名(填写形式为:
@、@等等)
CLI:
aaamethodad[authorizationmethod]
aaaadhost
最多可以配置三个AD认证服务器。
3.3ActiveDirectory授权配置
配置AD做授权服务器,进行user-to-mapping组映射,在SPX配置上只能通过LDAP的配置方法来配,也就是把AD服务器看作LDAP服务器来配。
详细配置见LDAP授权服务配置。
4RADIUS认证授权服务配置
4.1RADIUS简介
ArraySPX可以很好的与通用的RADIUS服务器结合起来对用户进行身份认证。
RADIUS是一种C/S结构的协议,SPX与RADIUS服务器之间的通信是经过加密来传输的,双方使用共享密钥,这个密钥不经过网络传播。
SPX和RADIUS服务器通过UDP协议进行通信,一般情况下,
升级会员 