首信企业AAA用户手册v310分析.docx

1、首信企业AAA用户手册v310分析首信企业版AAA用户手册 北京首信科技股份有限公司2010年9月版本历史版本号发布日期备注1.02008.3.20初始版本3.12010.9.9根据3.1.0版本进行修订目 录第一章 首信AAA系统介绍 1第二章 系统安装和卸载 22.1 Windows版本 22.1.1 系统安装 22.1.2 系统卸载 62.1.3 许可证获取 92.2 Linux/Unix版本 92.2.1 安装前准备工作 92.2.2 安装AAA 92.2.3 系统管理脚本 11第三章 服务器控制 123.1 Windows版本 123.1.1 系统控制 123.1.2 许可证管理 1

2、23.1.3 关于 153.2 Linux/Unix版本 163.2.1 系统控制 163.2.2 许可证申请和安装 16第四章 系统管理 184.1 界面布局概述 194.2 管理权限 194.2.1 管理员角色 194.2.2 管理员 214.2.3 个人信息 234.3 用户管理 244.3.1 用户组 244.3.2 用户 254.3.3 黑名单 274.3.4 冻结名单 284.3.5 在线用户 294.4 系统管理 294.4.1 界面参数 304.4.2 系统参数 304.4.3 客户端 314.5 日志统计 324.5.1 认证日志 324.5.2 认证统计 334.5.3 在

3、线日志 334.5.4 在线统计 344.5.5 操作日志 354.6 帮助 364.6.1 许可证信息 364.7 服务器信息 36第五章 用户自服务 375.1 界面布局概述 385.2 用户信息查询 395.3 用户密码修改 395.4 上网记录查询 405.5 上网明细查询 40第一章 首信AAA系统介绍首信AAA系统是结合目前企业通信市场需求和未来发展趋势推出的一体化认证、计费系统，采用目前最通用的RADIUS协议，为企业提供全面的解决方案。系统能够对各种应用进行统一集中的用户认证和计费。首信AAA系统支持的业务范围包括各种VoIP、宽窄带接入（拔号上网、专线上网）、移动数据业务、W

4、LAN等。首信AAA系统支持分组管理用户;首信AAA系统支持按用户组授权，包括分配IP地址池标识、用户最大连接数限制、上线时段限制、用户和终端标识绑定；首信AAA系统支持按用户授权，包括用户有效期、分配静态IP地址、分配IP地址池标识、用户最大连接数限制、上线时段限制、用户和终端标识绑定；首信AAA系统支持多用户状态设定，包括正常、暂停等；首信AAA系统支持黑名单功能；首信AAA系统支持冻结名单, 达到密码尝试次数限制后自动加入冻结名单，冻结超过一定时间后自动解除冻结；首信AAA系统支持通过EXCEL表格批量导入用户数据；首信AAA系统支持当前在线用户维护；首信AAA系统支持认证日志、在线日志

5、和操作日志；首信AAA系统支持认证统计、在线统计；首信AAA系统支持按角色对管理员进行分组；首信AAA系统采用WEB管理界面，界面美观，操作方便；首信AAA系统功能强大，稳定可靠，扩展性强，安全性好，是企业的良好选择。第二章 系统安装和卸载2.1 Windows版本二.1.1 系统安装首信AAA系统支持Windows 2000、Windows XP和Windows Server 2003操作系统，要求Pentium 4 2.0 GHz及以上CPU，1GB以上内存，10GB以上硬盘可用空间。 首信AAA系统安装文件的命名方式为“CapitekAAA-版本-内部版本.exe”（图2.1，注意：您所

6、获得的是最新版本的软件，版本和内部版本可能和图中不一致）。（图2.1 安装文件信息）要进行系统安装，请双击安装文件，会弹出安装语言选择界面（图2.2），可以选择简体中文（Chinese(Simplified)）和英文（English），此处选择“Chinese(Simplified)”，（图2.2 安装语言选择）点击“OK”按钮，进入“中文安装向导”页面（图2.3），安装向导的正文标题上有首信 （图2.3 安装向导）AAA系统的版本号，点击“下一步(N)”按钮继续，进入“许可证协议”页面（图2.4），（图2.4 许可证协议）请认真仔细阅读首信AAA系统用户许可协议，只有接受协议才能继续安装，如

7、果接受协议，点击“我接受(I)”按钮继续，进入正在“安装页面”（图2.5），安装程序对首信AAA系统进行安装（图2.5）和配置（图2.6），安装时间一般在3至10分钟之间，根据机器的硬件配置决定，请耐心等待。（图2.5 安装过程）（图2.6 配置AAA系统）安装程序完成系统配置以后，自动进入“完成安装”页面（图2.7），点击“完成F”按钮关闭本页面，安装程序会在“开始菜单”和“桌面”生成快捷方式（图2.8），如果在“完成安装”页面选中了“运行 首信AAA系统服务器”，则“完成安装”页面关闭后弹出“首信AAA系统”控制工具（图2.9），如果没有选中，双击桌面上的“首信AAA系统服务器”快捷方式也

8、同样可以运行“首信AAA系统”控制面板，进行服务器控制和许可证管理。（图2.7 安装结束）（图2.8 运行AAA系统）（图2.9 系统服务器）双击桌面上的“首信AAA系统管理”快捷方式可运行“首信AAA系统管理”界面（图2.10），进行系统管理的操作。（图2.10 系统管理界面）二.1.2 系统卸载有两种方式可以卸载首信AAA系统，一种是通过“开始”菜单中的“卸载首信AAA系统”（图2.8）；另一种是通过“控制面板”中的“添加或删除程序”（图2.11），（图2.11 系统卸载）选中“首信AAA系统”，点击“删除”按钮。卸载程序弹出“卸载向导”页面（图2.12），（图2.12 卸载向导）点击“下

9、一步N”，进入“卸载 首信AAA系统”页面（图2.13），（图2.13 卸载过程 1）点击“移除(U)”按钮，进入“正在卸载”页面（图2.14），（图2.14 卸载过程 2）卸载完成后自动转到“完成卸载”页面（图2.15），点击“完成(F)”结束。（图2.15 卸载结束）二.1.3 许可证获取 首信AAA 系统必须在许可证文件的支持下才能够正确运行。无许可证文件、许可证文件被破坏、许可证文件过期等等会导致系统不能正常工作。首信AAA 系统许可证文件为软件许可证文件，软件许可证文件支持系统正确运行。软件许可证文件分三种类型：评估版许可证文件、试用版许可证文件和商业版许可证文件。首信AAA 系统安

10、装后自带评估版许可证文件，评估版有效时间为10天，系统安装10天后评估版许可证文件自动失效。试用版许可证文件和商业版许可证文件需要向北京首信科技股份有限公司申请。 申请许可证文件的步骤参考“3.1.2许可证管理”一节。二.2 Linux/Unix版本第一章 第二章 二.1 二.2 二.2.1 安装前准备工作目前很多Linux发行版（例如Red Hat Enterprise Linux (RHEL)、Fedora等）含有SELinux(Security-Enhanced Linux)模块。首信AAA系统安装前需要检查该系统中是否已经开启SELinux模块，如果开启，需要将之关闭。二.2.2 安装

11、AAALinux/Unix环境下的首信AAA系统的命名规则为：Capitek-AAA-软件发布版本.内部版本-操作系统-硬件构架.bin下面举例说明Linux/Unix的安装和配置过程。给软件安装包增加可执行权限# chmod a+x Capitek-AAA-3.1.0.3648-Linux-i686.bin执行软件安装，大概执行几分钟安装配置完毕# ./Capitek-AAA-3.1.0.3648-Linux-i686.bin例如在REHL5.2下执行安装过程如下所示（红色斜体内容为用户输入，黑色内容为终端输出内容），如果安装过程与之类似且未有任何报错，则安装过程正确结束。# ./Capit

12、ek-AAA-3.1.0.3648-Linux-i686.bin # # Capitek AAA installation # #Beijing Capitek Co., Ltd. License AgreementBeijing Capitek Co., Ltd. (Capitek) IS WILLING TO LICENSETHE SOFTWARE IDENTIFIED BELOW TO YOU ONLY UPON THE CONDITIONTHAT YOU ACCEPT ALL OF THE TERMS CONTAINED IN THIS BINARYCODE LICENSE AGREE

13、MENT AND SUPPLEMENTAL LICENSE TERMS(COLLECTIVELY AGREEMENT). PLEASE READ THE AGREEMENTCAREFULLY. BY DOWNLOADING OR INSTALLING THIS SOFTWARE, YOUACCEPT THE TERMS OF THE AGREEMENT. INDICATE ACCEPTANCE BYSELECTING THE yes BUTTON AT THE BOTTOM OF THEAGREEMENT. IF YOU ARE NOT WILLING TO BE BOUND BY ALL T

14、HETERMS, SELECT THE no BUTTON AT THE BOTTOM OF THEAGREEMENT AND THE DOWNLOAD OR INSTALL PROCESS WILL NOTCONTINUE.Copyright 2008-2015, Beijing Capitek Co., Ltd. All rights reserved.Do you agree to the above license terms? yes or noyesSelect the directory where you would like Capitek AAA to be install

15、ed: 1. /usr/local/capitek/aaa 2. Exit.Where should Capitek AAA be installed? 1-21Unpacking.Checksumming.Extracting.Installing.Configuration.Starting mysqld daemon with databases from /usr/local/capitek/aaa/data/database/dataSTOPPING server from pid file /usr/local/capitek/aaa/data/database/data/test

16、153.pid100127 17:11:16 mysqld endedDone.二.2.3 系统管理脚本AAA 3.1安装目录的system目录下各脚本文件的功能如下：startaaadaemonstopaaadaemon控制AAA系统脚本startdbdaemonstopdbdaemon控制数据库服务器脚本aaaas.sh对AAA后台服务进程进行启动、停止、查询状态aaaws.sh对AAA Web管理进程进行启动、停止、查询状态aaadb.sh对数据库进程进行启动、停止、查询状态第三章 服务器控制Windows版本可以从桌面和开始菜单的“首信AAA系统服务器”快捷方式运行“首信AAA系统”控

17、制工具进行服务器控制。Linux/Unix版本需要使用脚本进行服务器控制。三.1 Windows版本第三章 三.1 三.1.1 系统控制“系统控制”页面（图3.1）可以用来启动和停止AAA系统服务，包括AAA数据服务、AAA应用服务和AAA管理服务，其中AAA应用服务和AAA管理服务的运行依赖于AAA数据服务，其中：AAA数据服务提供存储和维护用户数据的动能；AAA应用服务提供对用户进行认证、授权和计费的功能；AAA管理服务提供WEB管理界面的功能。（图3.1 系统控制）选中相应的服务点击“启动服务”或“停止服务”，可以启动或停止相应的服务，服务的状态会自动进行更新。点击“刷新服务状态”可以手

18、动更新所有服务的状态，服务状态都是“运行中”表示整个系统处于运行状态。三.1.2 许可证管理 “许可证管理”页面（图3.2）可以用来管理许可证文件，包括生成注册信息文件以及导入软件许可证文件，其中注册信息文件用于申请许可证文件。（图3.2 许可证管理） 要获得试用版或商业版的许可证文件，首先需要生成用于申请许可证需要的注册信息文件，点击“生成注册信息文件”按钮，弹出“生成注册信息文件”对话框（图3.3）, 点击“保存”按钮，回弹出提示框（图3.4），指示注册信息文件的生成位置。（图3.3 生成注册信息文件）（图3.4 提示框）把注册信息文件“reginfo.reg”发送给北京首信科技股份有限公

19、司（以下简称首信科技）相关部门，经过核实后，首信科技会把软件许可证文件“license.cer”发给相应得客户。获得软件许可证文件“license.cer”，需要将它们导入到首信AAA系统，才能使系统正确运行，以下是导入的方法：(1) 点击“许可证管理”页面（图3.2）上的“导入软件许可证文件”按钮，弹出“导入软件许可证文件”对话框（图3.5）选择正确的“license.cer”文件，点击“打开”按钮，会出现提示框（图3.6）, 导入软件许可证文件完成。（图3.5 导入许可证窗口）（图3.6 导入成功）导入软件许可证文件后，相应的状态和类型会进行更新（图3.9）。（图3.9 许可证管理）进入W

20、EB管理系统，如果许可证是正确的，左下角的“服务器信息”的“AAA服务状态”后显示“正在运行”（图3.10），如果许可证是错误的，左下角的“服务器信息”的“AAA服务状态”后用红色显示“无效的许可证”（图3.11）。（图3.10 服务器信息）（图3.11 无效许可证界面）三.1.3 关于“关于”页面（图3.12）显示首信AAA系统的有关信息，包括版本、内部版本和公司地址等等。请求首信AAA系统的技术支持时，请一定要包含版本、内部版本。（图3.12 关于）三.2 Linux/Unix版本三.2 三.2.1 系统控制对于Linux/Unix系统，服务器的服务控制通过脚本来实现。在/usr/loca

21、l/capitek/aaa/system/目录下，下列脚本完成服务控制的功能。 启动系统启动数据库服务器#./startdbdaemon启动AAA系统#./startaaadaemon 停止系统停止AAA系统# ./stopaaadaemon停止数据库服务器#./stopdbdaemon三.2.2 许可证申请和安装Linux/Unix系统的许可证管理方式为： 申请许可证执行如下命令# cd /usr/local/capitek/aaa/system# ./request_license.sh把生成的tar文件（即注册申请文件,名字含有“-reginfo.tar”）发回公司。 安装许可证获得许可

22、证文件后，解压缩，并安装许可证及重启AAA服务# mv license.cer /usr/local/capitek/aaa/license第四章 系统管理可以从桌面和开始菜单的“首信AAA系统管理”快捷方式运行首信AAA系统WEB管理界面（图4.1）。（图4.1 IE系统管理界面）网络上的其它机器可以用“http:/服务器IP地址:5050”网址访问首信AAA系统管理界面。例如服务器的IP地址为“192.168.0.101”，则可以在浏览器中通过输入网址“http:/192.168.0.101:5050”访问首信AAA系统管理界面（图4.2）。（图4.2 FireFox系统管理界面）“首信A

23、AA系统管理”支持Microsoft Internet Explorer 6.x/7.x和Mozilla Firefox 2.x/3.x浏览器，最佳的显示分辨率为1024x768。“首信AAA系统管理”预设的超级管理员为“admin”，密码为“admin”，第一次登录后请立即修改密码。四.1 界面布局概述首信AAA系统管理典型的界面如图4.3所示，主要分标题栏、导航栏、状态栏和功能区， 其中：(图4.3 界面布局)(1) 标题栏在界面的最上方，显示公司的标志、软件名称、当前登录的管理员，并且可以通过点击“注销”退出管理界面；(2) 导航栏在界面的左上方，包含两级菜单，一级菜单包含“管理权限”、

24、“用户管理”、“系统管理”、“日志统计”和“帮助”等类别，点击不同的一级菜单会出现相应的二级菜单，点击二级菜单在右边的功能区会出现相应的操作界面；(3) 状态栏在界面的左下方，显示服务器的信息，包含AAA应用服务的运行状态和运行时间；(4) 功能区在在界面的右方，功能区一般又分为查询栏、列表栏和详细信息栏等，其中 查询栏在功能区的上方，可以通过不同的组合进行模糊查询； 列表栏在功能区的中间，显示查询的结果； 详细信息栏在功能区的下方，显示在列表栏中选中对象的详细信息。四.2 管理权限四.2.1 管理员角色管理员角色定义了管理系统特定的一组功能模块的权限，凡属于相同管理员角色的管理员将拥有相同的

25、管理权限。每一个功能模块都会出现在权限列表中，通过配置不同的功能列表组合可以定义多个管理员角色。管理员角色管理提供了查询，添加，修改和删除功能。点击导航栏的“管理员角色”，在功能窗口中将出现管理员角色列表，如图4.4所示：(图4.4 管理员角色列表)管理员角色列表显示了当前系统的所有管理员角色，包括内置超级管理员角色，内置用户管理员角色以及内置系统管理员角色。注意：内置的管理员角色信息不可更改。 查询进入管理员角色页面，管理员角色列表将列出所有已经定义的管理员角色，点击想要查看的角色名称，管理员角色列表下方将出现此管理员角色的详细信息，如图4.5所示：(图4.5 管理员详细信息)在详细信息面板

26、中，角色名显示了当前从管理员角色列表中选中的角色名称，描述为此管理员角色的附加描述信息，权限列表中列举了系统所有的功能模块，功能模块之前的复选框被选中表示此角色拥有此功能模块的管理权限。 添加点击管理员角色列表面板右下方的“添加”按钮，管理员角色列表下方将出现添加管理员角色的详细信息面板，按照提示完成相应的信息填写，注意在为此角色分配权限时，请根据实际需要为此角色分配适当的功能模块。小提示：在添加新的管理员角色时，可以使用现有的角色作为模板进行添加。比如，可以选中已有的管理员角色，在列表下方将出现此选中的管理员角色的详细信息，修改其中的角色名称修改为所要添加的角色名称，将描述信息更改为所要添加

27、的角色的描述，然后为将要添加的角色分配相应的功能模块，点击“详细信息”面板右下方的“添加为新角色”按钮即可。 修改在管理员角色列表中选中将要更改的角色名称，管理员角色列表下方将出现所选中的管理员角色的详细信息，在此详细信息面板中修改此角色的信息。修改完成后，点击面板右下方的“确认修改”按钮即可。注意：1.内置的管理员角色信息不可以更改。2.如果对角色的功能模块进行了调整，则属于此角色的管理员在下一次登录时，将使用调整后的权限列表所配置的功能模块3.如果仅对选中的角色信息进行更改，则在修正信息后，请确认点击“确认修改”按钮，而不要点击“添加为新角色”按钮！ 删除在管理员角色列表中，选中将要删除的

28、角色名称之前的复选框，点击“删除”按钮即可。注意：1.在将一个管理员角色删除之后，所有属于此角色的管理员将失去此角色拥有的功能模块。2.内置的管理员角色不可以删除。四.2.2 管理员 管理员是用于登录管理系统的标识，它在此管理系统中是唯一的。一个管理员可以属于多个管理员角色，但至少属于一个管理员角色。当一个管理员属于多个管理员角色时，此管理员拥有的功能模块权限是所有管理员角色拥有的功能模块的并集。 管理系统提供对管理员信息的查询、添加、更改和删除操作，用户可以方便的对管理员信息进行管理，下面将介绍如何对管理员进行以上操作。 查询打开管理员页面，页面将显示系统中已经存在的管理员信息，如图4.6所

29、示：(图4.6 查询)系统默认在进入管理员管理页面时，将列出所有的管理员，每一页显示5条信息，如果查看下一页信息，请点击右下方相应的页码即可。如果您想查询符合某些条件的管理员，请在管理员查询面板中输入此管理员的查询条件，点击右侧的“查询”按钮，则管理员列表中将出现符合查询条件的管理员。如果查看某个管理员的详细信息，请在管理员列表中点击想要查看的管理员用户名，则在管理员列表的下面将出现此管理员的详细信息面板，如图4.7所示：(图4.7 详细信息)在详细信息面板上有三个标签页，分别是管理员的基本信息、管理员隶属的角色以及管理员可以管理的用户组。下面将详细介绍每个标签页的具体含义。1. 基本信息基本

30、信息页描述了此管理员的基本信息，其中用户名所指的是登录系统所使用的用户名，密码为登录系统时所使用的密码，姓名是此管理员的真实姓名，它的目的是便于查询和管理。状态是指管理员是否可用，其中启用状态是此管理员可以正常登录此管理系统，禁用为此管理员不可以登录系统。电话、电子邮件和备注是为了方便管理所附加的信息。2.角色角色页列出了系统已经配置的管理员角色，其中管理员角色的含义请详见4.2.1管理员角色一节。可以为管理员选择一个或多个角色。3.管理的用户组管理员的用户组页面主要是针对管理员可以管理哪些AAA用户组以及属于这些AAA用户组的AAA用户，也就是说只有为管理员分配了可以管理的AAA用户组，此管理员才能管理“用户管理”中相应的用户组以及属于这些用户组的AAA用户。超级管理员组的管理员不受此功能限制。 添加点击管理员角色列表面板右下方的“添加”按钮，管理员角色列表下方将出现添加管理员角色的详细信息面板， 依次填写好所要添加的管理员的基本信息、角色和管理的用户组（可选），点击详细信息面板右下方的“添加为新