Array SPX工程安装配置基本手册doc 21页Word格式.docx

1、SP-Demo （config）$aaa method localdb 1 第一种认证方法采用LocalDB，授权使用LocalDB。SP-Demo （config）$aaa method ldap 2 ldap 第二种认证方法采用LDAP服务器，授权也使用LDAP服务器。Radius认证服务配置 Radius认证是业界普遍采用的认证协议，Virtual Site采用Radius 作认证服务器，需要配置相应参数及端口，当然在SPX 与Radius服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。在配置Radius认证前，先要和用户的管理员询问一些Radius服务器的情况，包括：Radi

2、us 服务认证端口，一般采用UDP 1812或者 是UDP1645，当然用户也可能使用别的端口。另外还要询问服务器使用的通信密钥。aaa method radius authorization methodaaa radius host secrettimeoutretries IP：指Radius服务器的IP地址 Port：Radius服务所使用的端口 Secret：SPX与Radius服务器之间使用的通信密钥 Timeout：超时设定 Retries：重试次数SP-Demo （config）$aaa method radius 2 SP-Demo （config）$aaa radius h

3、ost 10.1.10.76 1812 radius_secret 20 3Authentication-RADIUSLDAP认证服务配置 LDAP 是一种轻型目录访问协议，具有结构清晰，查找速度较快的特点。Virtual Site 采用LDAP作认证，同样需要配置一些参数。所以在作此项配置之前，要先和用户的LDAP 管理员作一下沟通，获得一些参数信息，并用LDAP Browser等客户端工具验证一下，把他的LDAP结构清晰化。LDAP服务一般采用TCP 389端口，基于SSL 的协议一般采用636 端口。aaa method ldap aaa ldap host password”base”

4、 tlsLDAP服务器IP地址。 Port ：LDAP 服务端口 User Name：有相应LDAP Search权限的用户名 Password：查找时上面用户的口令 Base：从哪一级目录进行查找aaa ldap search filter LDAP查找的Search 规则，如：某属性，其中代表用户在登陆SSL VPN Virtual Site输入的字符串，是参数传递。接下来配置绑定规则，可以选择动态绑定，也可以选择静态绑定，bind是指用户DN的构成规则。1动态绑定：aaa ldap bind dynamic LDAP查找时根据Complete Distinguished Name，Bas

5、e 信息与search filter在上面命令种定义2静态绑定：aaa ldap bind static dn_suffixdn_prefix：前缀dn_suffix：后缀一起构成了用户DNSP-Demo （config）$aaa method ldap 4 SP-Demo （config）$aaa ldap host 10.1.10.76 389 cn=manager,dc=arraytsd,dc=com secretdc=arraytsd,dc=com 20 SP-Demo （config）$aaa ldap search filter cn=SP-Demo （config）$aaa ld

6、ap bind dynamicLDAPAD认证服务配置 采用Active Directory 作认证服务器，需要配置相应参数及TCP端口，当然在SPX与AD服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。AD的底层也是一个LDAP，所以也同样可以通过LDAP的配置方法配置他。aaa method ad aaa ad host SP-Demo （config）$aaa method ad 2SP-Demo （config）$aaa ad host 10.1.175.7 389 “”SecurID动态口令认证配置 Virtual Site 用securID认证，重要的配置工作在Secur

7、ID服务器上，详见SPX手册，在SecurID服务器上生成一个文件，将这个文件导入SPX即可，另外，SecurID认证一定要选择rank1，并且是全局生效。 Ace Server和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。使用SPX的默认路由所指向的interface，作为ACE Server所指定的primary interface.，如果其他端口也配置了IP地址，需要将其IP地址作为secondary interface，这样采用能够在SPX和Ace Server上正确加密数据流。aaa securid import SP-Demo （config）# aaa

8、 securid import http:/10.1.10.33/ace/ sdconf.recSP-Demo （config）$aaa method secured authorization method 一般SecurID服务器也同样支持Radius协议，如果那您把他看作Radius服务器，也可以按照Radius服务认证的方法配置他，详见前面章节。SSL VPN门户Virtual Site授权配置 授权是SSL VPN的一个主要的安全功能，Array的授权机制是设置用户或组享有的特定权限，授权是和认证方法高度相关的，不同的认证采用不同的授权方法。如用LDAP 认证，可以通过LDAP服务器

9、授权，也可以通过LocalDB 或者是Radius服务器授权。 认证授权关系表认证方式可认证可授权LocalDBYRadiusY（需要扩展Dictionary）Y（需要扩展Schema）ADGroup Mapping或LocalDBSecurIDNArray SPX授权权限分为几类：授权方式授权内容ACL定义了用户或组享有的权限列表SourceNet定义了登陆的原地址范围NetPool定义了L3VPN所使用的地址池UID, GID定义了用户使用NFS功能时用到的UID和GID信息 其中最主要的授权方式是ACL。ACL分为两大类，一类规定了WRM、File Sharing的控制规则，另一类定义了

10、ClientApp和L3VPN的控制规则。一个用户登陆SSL VPN时它的权限可以通过ACL作详细的授权。 Array SPX缺省是没有ACL配置的，这时所有的资源对所有的用户开放，一旦对某个用户或组配置了一个ACL，则对他需要访问的内容权限一定要显示的配置成PERMIT，否则不允许访问。对WRM 、File Sharing 生效的ACLpriorityscheme:hostpath AND （PERMIT|DENY） Priority：优先级 Scheme: 是针对HTTP还是 File Sharing Host：目标服务器，支持通配符“*”。 Path：路径AND virtual ：在gl

11、obal mode配置时只关联到相应的Virtual Site上，在Virtual Site Config 模式时，不需要此参数。0 http:10.1.175.7/exchange AND intra DENY1 http:* AND intra PERMIT2 file:10.1.175.7/demo AND intra DENY3 file:我们会在LocalDB授权时给出具体针对不同用户的配置方法。2针对ClientApp、L3VPN的ACL ip host_ip/:port AND PERMIT|DENY Priority 优先级 Protocol 针对那种IP协议，可以时TCP、U

12、DP或protocol number，*代表所有协议。 Host_IP：目标服务器 Netmask：掩码端口号在global mode配置时只施加在那个virtuail site ，在virtual site config 模式时，不需要此参数0 ip *:10.1.175.0/255.255.255.0 AND partner PERMIT1 ip *:0.0.0.0/0 AND partner DENY同样，我们会在LocalDB授权时给出具体针对不同用户的配置方法。LocalDB的授权用LocalDB授权比较简单，只需对相应用户或组配置相应ACL即可。Global 模式：localdb

13、acl account account_nameACLlocaldb acl group Virtual Site 模式：localdb acl account localdb acl group 用户的策略SP-Demo （config）$aaa on SP-Demo （config）$localdb account test “pass“SP-Demo （config）$localdb acl account 10.1.175.7/exchange AND SP-Demo DENY* AND SP-Demo PERMIT0 file:10.1.175.7/demo AND SP-Demo

14、DENY1 file:2 ip *:10.1.175.0/255.255.255.0 AND SP-Demo PERMIT3 ip *:0.0.0.0/0 AND SP-Demo DENY“组的策略：localdb netpool group 地址池分配localdb sourcenet group 登陆原地址限制 很多种认证方法都可以通过LocalDB授权，不过这时一般需要用户名一一对应。如采用LDAP认证，LocalDB授权，要求LDAP服务器上的帐号和LocalDB上的帐号对应，如果LocalDB上没有这个帐号，需要用Default Group 作在LocalDB上没有的帐号的授权。SP

15、-Demo （config）$aaa radius accounting off SP-Demo （config）$aaa method ad 1 localdbSP-Demo （config）$aaa ad host 10.1.10.31 389 SP-Demo （config）$aaa localdb group default arraygroupSP-Demo （config）$aaa localdb authorization usedefaultLDAP服务器的授权 如果您使用LDAP认证，缺省是采用LDAP服务器作授权，即将ACL作为LDAP服务器用户的相应属性来进行授权，这时需

16、要扩充LDAP的schema。如果您的认证服务器和LDAP授权服务器不是一台机器，那您需要单独配置LDAP授权服务器。LDAP授权命令行为：SP-Demo（config）$aaa method ldapSP-Demo（config）$aaa ldap authorize host 具体参数概念参见上一章中LDAP认证部分。SP-Demo（config）$aaa ldap authorize search filter 然后主要的任务是配置LDAP服务器，首先扩充LDAP服务器的schema，然后配置需要授权用户的ACL属性赋予相应的权限。我们以OpenLDAP为例叙述过程，一般需要在slapd

17、.conf中加入include文件：include d:/openldap/etc/schema/core.schema/openldap/etc/schema/inetorgperson.schema/openldap/etc/schema/array.schema然后在相应目录下放置array.shema文件，内容如下：#Array extended schema ,added by wuyuepeng# ArrayNetworks Schema# case senstive url prefix ie *attributetype （ 1.3.6.1.4.1.7564.1000.1 NA

18、ME accepturl DESC accept url exprerssion SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ）# accepted source network addresses# of the form network/mask eg 10.2.0.0/255.255.0.0attributetype （ 1.3.6.1.4.1.7564.1000.2sourcenetSource Network ip/mask# case senstive network pool nameattributetype （ 1.3.6.1.4.1.7564.

19、1000.3netpoolnetwork pools for L3 VPN#Array User inhearts from inetOrgPerobjectclass （ 1.3.6.1.4.1.7564.1000ArrayUserArray Appliance Network User SUP top AUXILIARY MAY （ accepturl $ sourcenet ） ）# Borrow the accepturl and sourcenet from ArrayUserobjectclass （ 1.3.6.1.4.1.7564.1001ArrayGroupArray App

20、liance Network Group MAY （ accepturl $ sourcenet $ netpool ）然后在用户的相应属性增加相应的权限即可：在accepturl属性赋值为一个ACL：10.1.175.7/exchange AND SP-Demo DENYRadius服务器的授权 同LDAP授权一样，如果您使用Radius做认证，缺省是采用Radius服务器作授权，即将ACL作为Radius服务器用户的相应属性来进行授权，这时需要扩充Radius的Dictionary。如果您的认证服务器和Radius授权服务器不是一台机器，那您需要单独配置Radius授权服务器。Radius

21、授权命令行为：SP-Demo （config）$aaa method radiusSp-Demo （config）$aaa ldap authorize host 具体参数概念参见上一章中Radius认证部分。然后就是扩充Radius服务器的Dictionary，将ACL的属性定义加进去，进而配置用户的相应属性进行ACL授权。扩充的Dictionary文件内容如下：#Array Networks# borrowed from snmpd, may lead to trouble laterVENDOR Array-Networks 7564# Array Netorks ExtensionsA

22、TTRIBUTE Accept-Acls 1 string Array-NetworksATTRIBUTE SourceNets 2 string Array-NetworksATTRIBUTE memberUid 3 integer Array-NetworksATTRIBUTE memberGid 4 string Array-NetworksATTRIBUTE NetPool 5 string Array-Networks如某用户的相应属性： Foo Auth-Type = Local, Password = “foobar” Accept-Acls = */ AND all PERMI

23、T, SourceNets = “10.2.0.0/255.255.0.0” uidNumber = 2063, gidNumber = 1000 1020 2300Group Mapping 授权方式有的用户用Radius、AD、LDAP认证，他们又不想修改这些服务器，加上Array的授权属性。这时我们可以抓取这些服务器的组信息放到LocalDB上，将这些认证服务器的组映射到LocalDB的相应组进行授权。首先要找到Radius、AD、LDAP那个属性是他的组属性，然后当这个属性等于某个值时映射到LocalDB特定组上。如AD上的这个属性就是memberOf属性。aaa ldap group 若是LDAP，指代表组的属性。aaa radius group 若是Radius，aaa localdb group default 若组映射不成功，这个用户所属的缺省组。aaa map group exter