AAA 配置手册Word下载.docx

1、ENSS-CLI（config）$ssl import certificate Enter certificate, use . on a single line, without quotes to terminate import-BEGIN CERTIFICATE-MIIDxTCCAq2gAwIBAgIKYU1rpAAAAAAABTANBgkqhkiG9w0BAQUFADASMRAwDgYDVQQDEwdFTlNTIENBMB4XDTA3MDcyNDEwMzcwOVoXDTA4MDcyNDEwNDcwOVowgZcxCzAJBgNVBAYTAmNuMRAwDgYDVQQIEwdiZWlq

2、aW5nMQswCQYDVQQHEwJiajEWMBQGA1UEChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFYXJyYXkxFjAUBgNVBAMTDTE5Mi4xNjguMC4xODkxKTAnBgkqhkiG9w0BCQEWGmFkbWluQGFycmF5bmV0d29ya3MuY29tLmNuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDrZvN0pwAi8Pjs+jQGINwJbYgcBXBiMdxQ828WhUg2SLgcuTF2VukWHGt2fPoLkJGbolE3zNXEDExnmnhkDVLOj98VVx9VPbE2

3、j8cbgAIY1q+nsNFXg1Qyrsxs9SD4s6SXK1P7KnQ9NfASrWLSLT/z4k+IpeKBlrc5q4gghJAofQIDAQABo4IBGTCCARUwHQYDVR0OBBYEFMmG0VnRdi9z/UuMBg6gcZSHCY71MB8GA1UdIwQYMBaAFJt8i+njD2DTDzghzrkrO12CuuQsMFkGA1UdHwRSMFAwTqBMoEqGI2h0dHA6Ly9qaHkvQ2VydEVucm9sbC9FTlNTJTIwQ0EuY3JshiNmaWxlOi8vXFxqaHlcQ2VydEVucm9sbFxFTlNTIENBLmNybDB4

4、BggrBgEFBQcBAQRsMGowMwYIKwYBBQUHMAKGJ2h0dHA6Ly9qaHkvQ2VydEVucm9sbC9qaHlfRU5TUyUyMENBLmNydDAzBggrBgEFBQcwAoYnZmlsZTovL1xcamh5XENlcnRFbnJvbGxcamh5X0VOU1MgQ0EuY3J0MA0GCSqGSIb3DQEBBQUAA4IBAQCoiPB/SLgsCzjXgxzOpAgOWg1cKzzxyArfywCjybdpy8oWOLBvZ4njKHqCkBMUVGSPuQsN5KFm2TgocE8cr5blg8oOuxpbVRAoSi4bd9ysf97/rdNL

5、nYsyIlnptoOqSjk5EKt6X5bmrt1kY/htKCVRpZhhJLcWFUrljYQ6h4ELL9pDIwlBtCJUJweBfGs0nWepobRE/Nqo9tNOpgmNGD45Yv3bKaX0t/qIo+Nyg9SQjp68vAs5WTv4NxKfRLduJuaOcEEZJWXlwYB8xm1wSvo4QjklR9z3nvoRJCM7KQhex7QCAA67JecYL/V1WJrNKBpx8bEb9+FpojX/D3bfJ6z3-END CERTIFICATE-.PEM formatCertificate import successful1.1.3导入CA根证书想要导

6、入的证书生效，还必须将颁发这个证书的CA根证书导入SPX，这样SPX才能确认证书的依赖关系。在导入CA根证书前，首先要将根证书的编码格式转换为“Base64编码”然后再导入SPX。然后在SPX的根证书导入页面将这个证书导入。命令行导入ENSS-CLI（config）$ssl import rootca Enter the trusted root CA certificate file in PEM format, use MIIDXDCCAkSgAwIBAgIQKHOO6T3MlbdLEcoqBiBl3zANBgkqhkiG9w0BAQUFADASMRAwDgYDVQQDEwdFTlNTIE

7、NBMB4XDTA3MDcyNDAxNTQ1NVoXDTEyMDcyNDAyMDQxN1owEjEQMA4GA1UEAxMHRU5TUyBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALZm+bA1jW8QtNek5QPJUsaxk1sB7F38S402TY6Rg4S/oG2kMQXmHwuxE9Px4CbY1t9zAtrHSRyfPEot0fJRAMEWSyf9pPkA29ahDSpi6G/pLKZ978X9cdq23ohs1F8EE97u5i+8T9jwPA4Q4tOfv2y0h4oNUAiyKJmahcyHGfi0fAu1ccILni/rtG

8、1f5r2BqW0DnqKTagI3xXzpJDDCMODSTcCkPPnVbftWfyJ/6Mk6R3wXihgL/ol1LXB4s46I+jlceBnK+WWdzP5C+S8JstwNAeS0qEp/cpdUwp5JAZVzlrl46my2lmRd9bFta2RZsWDhumTHPFNmswf2aLkCYkCAwEAAaOBrTCBqjALBgNVHQ8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUm3yL6eMPYNMPOCHOuSs7XYK65CwwWQYDVR0fBFIwUDBOoEygSoYjaHR0cDovL2poeS9DZXJ0RW5

9、yb2xsL0VOU1MlMjBDQS5jcmyGI2ZpbGU6Ly9cXGpoeVxDZXJ0RW5yb2xsXEVOU1MgQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4IBAQBdWBDvZGX2gHDv8QEub51UtHwMMUrUdv0NgpZxou9uCFMZhtv2V+tq7J9GAF4FeTCEx77vwB7DXWQXjntlBauVYkPFF2D9vuZTpHL0jiKELY7fHcqsRp+hicshjjK3xAo0RDSy4dSzwBekhJ5YJY3wJgd6NAmAX7dRwntjl9rlNBViQTs

10、/Rfs8cdH5QAZDm07S9t2ZUXcvhcKRf620Ijj9Bb/DPhid5xOj2f3Qpi8vnr/eswNhgRKQT+4l/9jcldWQtplqtvGgtMAVWjwn8oH0Up51lnYOYzinWkFfSc5c24peUM/4qWtO31iUVtJW+/gnuViQO09tCQAV6piWV6Pimporting. please wait.Root CA certificate import successful导入证书后启用SSLENSS-CLI（config）$ssl settings clientauthENSS-CLI（config）$ssl start

11、1.1.4设置SPX证书认证选项在SPX配置页面打开“Enable Client Authentication”选项，如图所示：此时，证书和口令双因素认证在SPX上已经配置完成了。此时访问SPX会出现“选择数字证书”的提示框，因为没有证书，所以不能访问。想要正常访问，就需要客户端也申请相应的浏览器证书（必须是为SPX颁发服务器证书的CA），这个证书要与SPX的证书想对应，应该在同一个CA上申请。1.1.5申请客户端证书浏览器证书的申请与服务器证书申请类似，在证书申请页面上依次选择“申请一个证书”“Web浏览器证书”。在出现的页面上填好相应的注册信息然后提交。等待CA颁发了这个证书后，再次打开证

12、书申请页面，依次选择“查看挂起的证书申请的状态”“Web浏览器证书”“安装此证书”。 安装完成后会在客户端的证书下面看到这个证书，证书的主题就是申请证书时填写的内容。 此时，安装了证书的客户端就可以正常访问SPX了。首先，会出现“选择数字证书“提示框。选择刚申请的证书，证书正确后会出现SPX登陆界面。输入用户名和密码完成登陆。1.2、客户端证书认证客户端证书认证指的是客户端只要安装了数字证书即可登陆，不再需要用户名和口令。这种认证方式同样需要为SPX和Web浏览器申请证书，证书的申请、导入和安装与1.1所述相同，这里就不再重复了，不同的地方在于SPX的设置。1.2.1设置SPX认证方式在SPX

13、的AAA配置页面中，将认证方法设置为“Cert-Anonymous“。1.2.2 SPX关闭AAA将SPX的AAA关闭，在关闭AAA之前，首先要关闭站点的“Session Reuse“功能将上图中的勾去掉即可。其次，将站点的“AAA“关闭，去掉勾即可。此时，客户端证书认证已经配置完成，接下来就是为客户端申请Web浏览器证书，方法与1.1中所述相同，申请好证书后就可以访问了。1.3客户端证书字段校验 客户端证书字段校验是指当用户登陆SPX时，SPX不只判断客户端有无证书，而且针对证书的某个字段进行校验，只有通过校验的用户才能登陆。与1.2相比，这种认证方法更加安全。 同样，这用认证方式也需要为S

14、PX和Web浏览器申请证书，证书的申请、导入和安装与1.1所述相同。1.3.1设置证书校验字段在SPX的AAA配置页面中，配置证书认证选项，设置校验字段。选项下面列出了可以校验的字段，选择其中一个作为校验字段，这里以为例，这个字段是指校验证书中的“姓名“字段。Validate Method Using的两个选项分别为LocalDB和LDAP，意思是用户建立在LocalDB还是LDAP，用户建立在哪里这里就选择哪个选项，与下面的建立用户对应。1.3.2设置SPX认证方式在SPX的AAA配置页面中，将认证方法设置为“Cert-Challenge“。1.3.3建立用户 在LocalDB或者LDAP中

15、建立相应字段的用户名和口令，用户名就是所校验字段的值。 我们校验的字段是“”，这个字段的值为“sxg”。所以，应该建立一个用户名为sxg的用户。 此时，客户端证书字段校验就配置完成了，用户登陆时首先会让用户选择数字证书，证书正确后会出现登陆页面，在这个字段中只需要输入密码。这个密码就是所校验字段的口令（在本例中就是sxg这个用户的口令）输入正确后完成登陆。 对于用户来讲，他并不知道SPX检验的是哪个字段，只知道管理员给他的字段校验密码，因此更加安全。2LDAP认证配置2.1LDAP简介 LDAP的英文全称是Lightweight Directory Access Protocol，一般简称为L

16、DAP，它是一种轻量目录访问协议，但是一般人们都说：“把数据存在LDAP中”或者“从LDAP数据库中取出数据”，把LDAP理解成了一种数据库。实际上LDAP并不是数据库而是用来访问存储在信息目录（也就是LDAP目录）中的信息的协议，或者说“通过使用LDAP，可以在信息目录的正确位置读取（或存储）数据”。 我们暂且将LDAP访问数据库这种方式称为LDAP数据库。2.2LDAP认证配置 LDAP既可以做认证又可以做授权，这里我们先讲述LDAP做认证的配置。2.2.1LDAP认证服务器配置 SPX支持与LDAP服务器结合实现认证，这需要在SPX的AAA配置选项下进行设置。需要指定LDAP服务器的地址

17、、端口等信息才能实现认证。LDAP认证配置需要以下几项参数：Server IP：LDAP服务器的IP地址Server Port：LDAP提供认证服务的端口User Name：具有查询该服务器的用户名 用户名的格式为用户在LDAP服务器中的DN，包括这个用户的BaseDN。User Password：用户的口令Base：目录数据库开始查询的节点 用户从该节点（可以理解为路径下）开始查询。Timeout：查询超时时间Use SSL/TLS：SPX与LDAP服务器通信是否加密配置完LDAP认证服务器后还需要配置一下搜索关联选项，就是说用户在SPX登陆页面输入的用户名与LDAP数据库中的用户通过什么条

18、件进行关联，查询的时候将用户输入SPX的“用户名”与LDAP中的哪个字段比对。一般情况下LDAP中以“uid”作为用户的标识；SPX中用户输入的用户名用标识，所以，将这uid=AAA-Authentication-Active Directory如上图所示空白处填入：AD服务器的IP地址AD服务器的通信端口（默认为TCP/UDP 389）Mail Domain：用户所在域的域名（填写形式为：、等等）CLI：aaa method ad authorization method aaa ad host mail_domain_name最多可以配置三个AD认证服务器。3.3 Active Directory授权配置 配置AD做授权服务器，进行user-to-mapping组映射，在SPX配置上只能通过LDAP的配置方法来配，也就是把AD服务器看作LDAP服务器来配。详细配置见LDAP授权服务配置。4 RADIUS 认证授权服务配置4.1 RADIUS简介Array SPX 可以很好的与通用的RADIUS服务器结合起来对用户进行身份认证。 RADIUS是一种C/S结构的协议，SPX与RADIUS服务器之间的通信是经过加密来传输的，双方使用共享密钥，这个密钥不经过网络传播。SPX和RADIUS服务器通过UDP协议进行通信，一般情况下，