Array SPX工程安装配置基本手册doc 21页.docx
《Array SPX工程安装配置基本手册doc 21页.docx》由会员分享,可在线阅读,更多相关《Array SPX工程安装配置基本手册doc 21页.docx(21页珍藏版)》请在冰豆网上搜索。
ArraySPX工程安装配置基本手册doc21页
ArraySPX工程安装配置手册
认证授权配置部分
一、SSLVPN门户VirtualSite认证配置1
1.Radius认证服务配置3
2.LDAP认证服务配置5
3.AD认证服务配置8
4.SecurID动态口令认证配置9
二、SSLVPN门户VirtualSite授权配置10
1.LocalDB的授权13
2.LDAP服务器的授权15
3.Radius服务器的授权17
4.GroupMapping授权方式19
SSLVPN门户VirtualSite认证配置
ArraySSLVPN设备VirtualSite的接入支持多种认证方式,包括LocalDB、LDAP、AD、Radius、SecurID等。
门户认证也可以关掉,这时用户登陆就不需要认证了,当然,也丧失了很大的安全性。
每个VirtualSite最多可以配置四种认证方法,用户登陆时,按照顺序查找认证服务,当第一种认证方法失败会使用第二种认证方法,直到成功或完全失败为止。
对于AD、LDAP、Radius认证,每种方法最多可以配置3个认证服务器。
由于上一章已经介绍了LocalDB的配置方法,如果您只使用LocalDB,可以越过本章。
本章我们主要介绍其他几种认证方式的配置。
SiteConfiguration->AAA->General
SiteConfiguration->AAA->Method
命令行为:
aaamethodrank[authorizationmethod]
AuthenticationMethod:
指采用的认证方法
Rank:
是VirtualSite的第几种认证方法
AuthorizationMethod:
定义了使用这种认证方法时采用的授权方法,下章祥述。
如:
SP-Demo(config)$aaamethodlocaldb1
第一种认证方法采用LocalDB,授权使用LocalDB。
SP-Demo(config)$aaamethodldap2ldap
第二种认证方法采用LDAP服务器,授权也使用LDAP服务器。
Radius认证服务配置
Radius认证是业界普遍采用的认证协议,VirtualSite采用Radius作认证服务器,需要配置相应参数及端口,当然在SPX与Radius服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。
在配置Radius认证前,先要和用户的管理员询问一些Radius服务器的情况,包括:
Radius服务认证端口,一般采用UDP1812或者是UDP1645,当然用户也可能使用别的端口。
另外还要询问服务器使用的通信密钥。
命令行为:
aaamethodradius[authorizationmethod]
aaaradiushost
IP:
指Radius服务器的IP地址
Port:
Radius服务所使用的端口
Secret:
SPX与Radius服务器之间使用的通信密钥
Timeout:
超时设定
Retries:
重试次数
如:
SP-Demo(config)$aaamethodradius2
SP-Demo(config)$aaaradiushost10.1.10.761812"radius_secret"203
SiteConfiguration->AAA->Authentication->RADIUS
LDAP认证服务配置
LDAP是一种轻型目录访问协议,具有结构清晰,查找速度较快的特点。
VirtualSite采用LDAP作认证,同样需要配置一些参数。
所以在作此项配置之前,要先和用户的LDAP管理员作一下沟通,获得一些参数信息,并用LDAPBrowser等客户端工具验证一下,把他的LDAP结构清晰化。
LDAP服务一般采用TCP389端口,基于SSL的协议一般采用636端口。
命令行为:
aaamethodldap[authorizationmethod]
aaaldaphost<”base”>[tls]
IP:
LDAP服务器IP地址。
Port:
LDAP服务端口
UserName:
有相应LDAPSearch权限的用户名
Password:
查找时上面用户的口令
Base:
从哪一级目录进行查找
aaaldapsearchfilter
LDAP查找的Search规则,如:
某属性=,其中代表用户在登陆SSLVPNVirtualSite输入的字符串,是参数传递。
接下来配置绑定规则,可以选择动态绑定,也可以选择静态绑定,bind是指用户DN的构成规则。
1.动态绑定:
aaaldapbinddynamic
LDAP查找时根据CompleteDistinguishedName,Base信息与searchfilter在上面命令种定义
2.静态绑定:
aaaldapbindstatic
dn_prefix:
前缀
dn_suffix:
后缀
一起构成了用户DN
如:
SP-Demo(config)$aaamethodldap4
SP-Demo(config)$aaaldaphost10.1.10.76389"cn=manager,dc=arraytsd,dc=com""secret""dc=arraytsd,dc=com"20
SP-Demo(config)$aaaldapsearchfilter"cn="
SP-Demo(config)$aaaldapbinddynamic
SiteConfiguration->AAA->Authentication->LDAP
AD认证服务配置
采用ActiveDirectory作认证服务器,需要配置相应参数及TCP端口,当然在SPX与AD服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。
AD的底层也是一个LDAP,所以也同样可以通过LDAP的配置方法配置他。
命令行为:
aaamethodad[authorizationmethod]
aaaadhost
如:
SP-Demo(config)$aaamethodad2
SP-Demo(config)$aaaadhost10.1.175.7389“@”
SecurID动态口令认证配置
VirtualSite用securID认证,重要的配置工作在SecurID服务器上,详见SPX手册,在SecurID服务器上生成一个文件,将这个文件导入SPX即可,另外,SecurID认证一定要选择rank1,并且是全局生效。
AceServer和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。
使用SPX的默认路由所指向的interface,作为ACEServer所指定的primaryinterface.,如果其他端口也配置了IP地址,需要将其IP地址作为secondaryinterface,这样采用能够在SPX和AceServer上正确加密数据流。
命令行为:
aaasecuridimport
如:
SP-Demo(config)#aaasecuridimporthttp:
//10.1.10.33/ace/sdconf.rec
SP-Demo(config)$aaamethodsecured[authorizationmethod]
一般SecurID服务器也同样支持Radius协议,如果那您把他看作Radius服务器,也可以按照Radius服务认证的方法配置他,详见前面章节。
SSLVPN门户VirtualSite授权配置
授权是SSLVPN的一个主要的安全功能,Array的授权机制是设置用户或组享有的特定权限,授权是和认证方法高度相关的,不同的认证采用不同的授权方法。
如用LDAP认证,可以通过LDAP服务器授权,也可以通过LocalDB或者是Radius服务器授权。
认证授权关系表
认证方式
可认证
可授权
LocalDB
Y
Y
Radius
Y
Y(需要扩展Dictionary)
LDAP
Y
Y(需要扩展Schema)
AD
Y
GroupMapping或LocalDB
SecurID
Y
N
ArraySPX授权权限分为几类:
授权方式
授权内容
可授权
ACL
定义了用户或组享有的权限列表
SourceNet
定义了登陆的原地址范围
Y(需要扩展Dictionary)
NetPool
定义了L3VPN所使用的地址池
Y(需要扩展Schema)
UID,GID
定义了用户使用NFS功能时用到的UID和GID信息
GroupMapping或LocalDB
其中最主要的授权方式是ACL。
ACL分为两大类,一类规定了WRM、FileSharing的控制规则,另一类定义了ClientApp和L3VPN的控制规则。
一个用户登陆SSLVPN时它的权限可以通过ACL作详细的授权。
ArraySPX缺省是没有ACL配置的,这时所有的资源对所有的用户开放,一旦对某个用户或组配置了一个ACL,则对他需要访问的内容权限一定要显示的配置成PERMIT,否则不允许访问。
对WRM、FileSharing生效的ACL
命令行为:
:
[AND](PERMIT|DENY)
Priority:
优先级
Scheme:
是针对HTTP还是FileSharing
Host:
目标服务器,支持通配符“*”。
Path:
路径
ANDvirtual:
在globalmode配置时只关联到相应的VirtualSite上,在VirtualSiteConfig模式时,不需要此参数。
如:
0http:
10.1.175.7/exchangeANDintraDENY
1http:
*ANDintraPERMIT
2file:
10.1.175.7/demoANDintraDENY
3file:
*ANDintraPERMIT
我们会在LocalDB授权时给出具体针对不同用户的配置方法。
2.针对ClientApp、L3VPN的ACL
命令行为:
ip:
[/][:
port][AND]{PERMIT|DENY}
Priority–优先级
Protocol–针对那种IP协议,可以时TCP、UDP或protocolnumber,*代表所有协议。
Host_IP:
目标服务器
Netmask:
掩码
Port:
端口号
ANDvirtual:
在globalmode配置时只施加在那个virtuailsite,在virtualsiteconfig模式时,不需要此参数
如:
0ip*:
10.1.175.0/255.255.255.0ANDpartnerPERMIT
1ip*:
0.0.0.0/0ANDpartnerDENY
同样,我们会在LocalDB授权时给出具体针对不同用户的配置方法。
LocalDB的授权
用LocalDB授权比较简单,只需对相应用户或组配置相应ACL即可。
命令行为:
Global模式:
localdbaclaccount
localdbaclgroup
VirtualSite模式:
localdbaclaccount
localdbaclgroup
如:
用户的策略
SP-Demo(config)$aaaon
SP-Demo(config)$aaamethodlocaldb1
SP-Demo(config)$localdbaccount"test"“pass“
SP-Demo(config)$localdbaclaccount"test""0http:
10.1.175.7/exchangeANDSP-DemoDENY"
SP-Demo(config)$localdbaclaccount"test""1http:
*ANDSP-DemoPERMIT"
SP-Demo(config)$localdbaclaccount"test""0file:
10.1.175.7/demoANDSP-DemoDENY"
SP-Demo(config)$localdbaclaccount"test""1file:
*ANDSP-DemoPERMIT"
SP-Demo(config)$localdbaclaccount"test""2ip*:
10.1.175.0/255.255.255.0ANDSP-DemoPERMIT"
SP-Demo(config)$localdbaclaccount"test""3ip*:
0.0.0.0/0ANDSP-DemoDENY“
组的策略:
localdbnetpoolgroup
地址池分配
localdbsourcenetgroup
登陆原地址限制
很多种认证方法都可以通过LocalDB授权,不过这时一般需要用户名一一对应。
如采用LDAP认证,LocalDB授权,要求LDAP服务器上的帐号和LocalDB上的帐号对应,如果LocalDB上没有这个帐号,需要用DefaultGroup作在LocalDB上没有的帐号的授权。
如:
SP-Demo(config)$aaaon
SP-Demo(config)$aaaradiusaccountingoff
SP-Demo(config)$aaamethodad1localdb
SP-Demo(config)$aaaadhost10.1.10.31389"@"
SP-Demo(config)$aaalocaldbgroupdefault"arraygroup"
SP-Demo(config)$aaalocaldbauthorizationusedefault
LDAP服务器的授权
如果您使用LDAP认证,缺省是采用LDAP服务器作授权,即将ACL作为LDAP服务器用户的相应属性来进行授权,这时需要扩充LDAP的schema。
如果您的认证服务器和LDAP授权服务器不是一台机器,那您需要单独配置LDAP授权服务器。
LDAP授权命令行为:
SP-Demo(config)$aaamethodldap
SP-Demo(config)$aaaldapauthorizehost[tls]
具体参数概念参见上一章中LDAP认证部分。
SP-Demo(config)$aaaldapauthorizesearchfilter
具体参数概念参见上一章中LDAP认证部分。
然后主要的任务是配置LDAP服务器,首先扩充LDAP服务器的schema,然后配置需要授权用户的ACL属性赋予相应的权限。
我们以OpenLDAP为例叙述过程,一般需要在slapd.conf中加入include文件:
included:
/openldap/etc/schema/core.schema
included:
/openldap/etc/schema/inetorgperson.schema
included:
/openldap/etc/schema/array.schema
然后在相应目录下放置array.shema文件,内容如下:
#Arrayextendedschema,addedbywuyuepeng
#ArrayNetworksSchema
#casesenstiveurlprefixie*
attributetype(1.3.6.1.4.1.7564.1000.1
NAME'accepturl'
DESC'accepturlexprerssion'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#acceptedsourcenetworkaddresses
#oftheformnetwork/maskeg10.2.0.0/255.255.0.0
attributetype(1.3.6.1.4.1.7564.1000.2
NAME'sourcenet'
DESC'SourceNetworkip/mask'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#casesenstivenetworkpoolname
attributetype(1.3.6.1.4.1.7564.1000.3
NAME'netpool'
DESC'networkpoolsforL3VPN'
SYNTAX1.3.6.1.4.1.1466.115.121.1.26)
#ArrayUserinheartsfrominetOrgPer
objectclass(1.3.6.1.4.1.7564.1000
NAME'ArrayUser'
DESC'ArrayApplianceNetworkUser'
SUPtop
AUXILIARY
MAY(accepturl$sourcenet)
)
#BorrowtheaccepturlandsourcenetfromArrayUser
objectclass(1.3.6.1.4.1.7564.1001
NAME'ArrayGroup'
DESC'ArrayApplianceNetworkGroup'
SUPtop
AUXILIARY
MAY(accepturl$sourcenet$netpool)
)
然后在用户的相应属性增加相应的权限即可:
如:
在accepturl属性赋值为一个ACL:
0http:
10.1.175.7/exchangeANDSP-DemoDENY
Radius服务器的授权
同LDAP授权一样,如果您使用Radius做认证,缺省是采用Radius服务器作授权,即将ACL作为Radius服务器用户的相应属性来进行授权,这时需要扩充Radius的Dictionary。
如果您的认证服务器和Radius授权服务器不是一台机器,那您需要单独配置Radius授权服务器。
Radius授权命令行为:
SP-Demo(config)$aaamethodradius
Sp-Demo(config)$aaaldapauthorizehost
具体参数概念参见上一章中Radius认证部分。
然后就是扩充Radius服务器的Dictionary,将ACL的属性定义加进去,进而配置用户的相应属性进行ACL授权。
扩充的Dictionary文件内容如下:
#
#ArrayNetworks
#borrowedfromsnmpd,mayleadtotroublelater
VENDORArray-Networks7564
#ArrayNetorksExtensions
ATTRIBUTEAccept-Acls1stringArray-Networks
ATTRIBUTESourceNets2stringArray-Networks
ATTRIBUTEmemberUid3integerArray-Networks
ATTRIBUTEmemberGid4stringArray-Networks
ATTRIBUTENetPool5stringArray-Networks
然后在用户的相应属性增加相应的权限即可:
如某用户的相应属性:
FooAuth-Type=Local,Password=“foobar”
Accept-Acls="0http:
*/ANDallPERMIT",
SourceNets=“10.2.0.0/255.255.0.0”
uidNumber=2063,
gidNumber="100010202300"
GroupMapping授权方式
有的用户用Radius、AD、LDAP认证,他们又不想修改这些服务器,加上Array的授权属性。
这时我们可以抓取这些服务器的组信息放到LocalDB上,将这些认证服务器的组映射到LocalDB的相应组进行授权。
首先要找到Radius、AD、LDAP那个属性是他的组属性,然后当这个属性等于某个值时映射到LocalDB特定组上。
如AD上的这个属性就是memberOf属性。
命令行为:
aaaldapgroup
若是LDAP,指代表组的属性。
aaaradiusgroup
若是Radius,指代表组的属性。
aaalocaldbgroupdefault
若组映射不成功,这个用户所属的缺省组。
aaamapgroup
升级会员 