sa配置.ppt

1、环境拓扑,X=Student Number(01 16),Linux,172.27.10.80Telnet,SSH,FTP,NFS,HTTP,HTTP-PROXY,Win2K,AD,CA server172.27.10.10,172.27.10.0/24,Serial Connection,SA172.27.10.4,clientWin2K,172.27.10.20,SA172.27.10.3,clientWin2K,172.27.10.10X,初始配置,出厂恢复,为什么要学习出厂恢复真正初始化一台设备LICENSE到期后，需要初始化，可以使用原有的LICENSE(5.0以下的版本）初始化设备

2、的步骤Factory Restore 设备，设备重新启动初始化配置（网络配置，证书配置，管理员配置）WEB登陆，升级系统软件添加LICENSE,通过串口进行初始化配置,通过串口进行网络配置,通过串口进行管理员配置,自签名证书配置,LAB 1:通过串口进行初始化配置,管理员登陆,软件升级,Task Guide,缺省系统设定,重新安装后，许多的IVE功能组件都有相关的初始配置用户可以用*/作为初始登陆界面，并且试验Users authentication realm 建有初始的“users”realm 利用 System Local 认证服务器有一条 role mapping rule：maps

3、all users to the Users role建有本地授权服务器 System Local建有Users role 可以进行 Web and Windows Files 的访问为Users role开放了相关的Web and Windows Files 的访问资源对象,Admin UI,系统配置,配置SA的步骤,配置SA的步骤网络配置IP地址，DNS，路由，host等。认证服务器的配置配置用户要使用的认证服务器（本地的或者第三方的）可以多个认证服务器用户角色的配置（ROLE)具有相同权限的同一组用户权限分配的基础，所有的访问控制策略都是基于ROLE用户区域的配置（REALM)使用相同的

4、认证服务器的同一组用户该组用户根据访问权限的不同，映射成不同的ROLE,配置SA的步骤(续）,配置SA的步骤资源访问策略的配置（resource policy)对于目标资源的访问控制，如WEB服务器，文件服务器等针对于ROLE的访问权限控制（某个ROLE有何种访问权限）用户登陆的配置（sign in policy)定制用户登陆界面（提供缺省界面）定制用户登陆URL(缺省为*/)用户的安全性检查（可选）定制HOST CHECK 策略定制CACHE CLEANER策略,配置实例,用户需求无认身份证服务器内部有WEB，SSH服务器两个用户用户分别有不同的访问权限,配置步骤,1.添加本地认证服务器my

5、localserver，2.添加用户:user1:123456 user2:1234563.定义两个ROLE,role1 WEB服务role2,WEB服务和ssh4.定义一个REALM:myrealm,采用认证服务器mylocalserver，定义ROEL mapping策略 if username=user1 map to role1 if username=user2 map to role25.资源访问策略的定制，可以通过角色中的自动允许完成6。定义SIGN-IN POLCIY,sign-in URL:*/sign-in page:default page Realm:myrealm7.

6、用户通过https:/10.0.0.2登陆，输入身份信息，OK,配置的导入导出,二进制配置的导入导出配置的导入导出 config file用户的导入导出 user account导入的信息包含LICENSE的信息XML形式导入导出可以按照不同的配置类型导出导出的配置为明文，可认的，可以修改必须在同一版本间导入导出对下列情形有用增加大量的用户修改大量的配置，如认证服务器，用户或其他建立一个配置模板,配置认证服务器,配置身份认证服务器,我们将练习本地认证服务器AD服务器证书服务器anonymous认证服务器,配置本地认证服务器,添加本地认证服务器Signing-inservers通过选择IVE a

7、uthentication，建立New server输入认证服务器名localserver，对密码的相关要求可以添加多个本地认证服务器增加用户进入localserveruser，添加用户添加REALM，使用添加的本地认证服务器User Authentication建立新的 Realms：local realm通过ROLE MAPPING 实现授权进入local realm role mapping，建立新的规则,配置AD认证服务器,添加AD认证服务器Signing-inservers通过选择Active Directory/Windows NT，建立New server输入AD的相关信息，名称

8、，IP,Domain,管理员可以添加多个AD认证服务器添加REALM，使用添加的AD认证服务器通过ROLE MAPPING 实现授权可以基于AD的相关属性，如组等，进行授权,配置证书认证服务器,添加证书认证服务器通过选择Certificate Server,建立New server输入证书服务器的名称加入IVE的证书，在ConfigurationCertificateTrust Client CA 中加入配置证书的其他属性，如CRL等添加REALM，使用添加的证书认证服务器通过ROLE MAPPING 实现授权实现USB KEY方式的身份认证，KEY中包含了用户的CA,配置anonymous认

9、证服务器,添加anonymous认证服务器通过选择Anonymous server,建立New server添加REALM，使用添加的anonymous认证服务器通过ROLE MAPPING 实现授权安全性不高，用户都可以使用也存在最大并发用户的限制一般在自动化测试中使用,配置用户角色role,role,General选择该角色可以使用哪些服务，打勾Source ip配置SA对内发起连接时，采用的源IP地址Session option超时，COOKIE的相关选项UI option用户成功登陆后的界面设置Restriction用户登陆，获得该角色的其他条件如果不符合，则不能获取该ROLE的权限添

10、加BOOKMARK,当用户登陆成功后，呈现给用户一个包含所有BOOKMARK的界面,General Overview,Web Bookmarks,Files Windows Bookmarks,J-SAM,Java Applet修改本地的 host 文件在 loopback 地址进行连接的侦听将数据包封装成SSL格式，转发给 IVE适合于基于静态的 TCP 端口的应用支持如下服务:Microsoft MAPILotus NotesCitrix NFuseNetBIOS File Browsing,J-SAM Add Application,J-SAM Options,W-SAM,ActiveX

11、 ControlWindows-32 agent 透明的重定向系统请求基于单个的应用(客户端进程)基于单个主机或网络(hostname/ip range)截获相关的应用数据Socket 连接调用DNS 查询,W-SAM Add Application,W-SAM Add Server,W-SAM Options,Network Connect,基于SSL的网络层的远程访问类似IPSEC，用的是https 或者UDP可以穿越防火墙或者代理设备跨平台的支持在主机上安装一个 虚拟的PPP adapter需要管理员权限支持隧道分割和不分割的模式,Network Connect,Telnet/SSH C

12、lient,Telnet/SSH Sessions(Bookmarks),Terminal Services,Terminal Services Sessions,配置Resource policy,Resource policy,对目标访问资源的访问控制针对多种访问方式，有不同的控制策略 access,访问控制，各种访问方式都有access在ROLE中添加的自动允许访问的策略，在这里会有体现名称目标的资源控制的方式，允许或拒绝，或者detail应用到的ROLE,特殊的Resource policy,Webcache缺省对所有的WEB内容，修改HTTP头的CACHE选项，在客户端不保留CACH

13、E对于某些文件无法正常下载，不修改CACHE对于无法在WEB页面点击“回退”，不修改CACHE对于有的WEB页面中的图片无法正常显示，需要增大CACHE OPTION中的值,特殊的Resource policy,WebJavaJAVA的连接不同于基本的WEB设置JAVA连接的IP地址和端口号Code signing:缺省IVE用自己的证书对经IVE转发的java applet 进行签名，由于其不是客户端可信的证书，会在客户端产生警告信息，要消除警告信息，可以上载服务器的证书到IVE上，利用这个证书对java applet进行签名。上传一个APPLET到IVE上，可以做成BOOKMARK,以后点

14、击这个BOOKMARK,就可以运行这个APPLET,特殊的Resource policy,WebRemote SSO SAML单点登陆Remote Header/cookiesaml,特殊的Resource policy,WebLauch JSAM用户在登陆某个页面的时候，自动启动JSAM点击IVE上的某个BOOKMARK在IVE的主页上输入某个URL在用户的IE的URL栏中输入，无效！在管理员不希望用户在平时使用JSAM的情形,特殊的Resource policy,WebrewritingSelective Rewriting系统缺省对所有的内容进行改写需要不进行改写的情况如果希望通过SAM

15、/NC进行WEB的访问，实现了利用BOOKMARK，进行SAM/NC访问如果希望访问外部的服务器时不进行重写Passthrough proxy对WEB页面进行最小的改写IP地址或者端口映射需要修改防火墙的安全策略,特殊的Resource policy,WebproxySA通过另外的代理服务器实现对其他WEB服务器的访问定义代理服务器（IP地址和端口）定义哪些WEB服务器需要通过代理服务器访问对于内部用户通过代理上网的客户，可能用到。,特殊的Resource policy,NCNetwork Connect Connection Profiles 定义NC模式下，客户端的地址池静态地址池DHCP

16、定义NC的传输模式TCP443UDP定义NC的加密算法定义NC的压缩定义NC的DNS设置（如果需要内部的DNS）定义NC的代理设置,特殊的Resource policy,NCSplit Tunneling Policies 在role中指定是否进行隧道分割隧道分割对于指定的地址，通过NC进行通讯对于其他地址，直接连接,几个问题,1.如何限制系统管理员只能从指定的地址登陆？,回答:1,对管理员的登陆进行限制Administrator authentication admin user authentication policy source ip输入允许访问的地址或者网段是否可以对管理员做其他的限制密码属性？数字证书？客户端软件？主机安全状况？,2.如何允许普通用户更改密码，怎样更改密码？,回答:2,对于本地认证服务器Baseline需要在两个地方设置，允许密码管理认证服务器：sign-in server localserver（你定义的认证服务器）setting pasword managementRealm:localrealm authentication policy passw