ArraySPX工程安装配置基本手册.docx

《ArraySPX工程安装配置基本手册.docx》由会员分享，可在线阅读，更多相关《ArraySPX工程安装配置基本手册.docx（20页珍藏版）》请在三一文库上搜索。

1、Array SPX工程安装配置手册认证授权配置部分一、 SSL VPN门户Virtual Site认证配置11. Radius 认证服务配置32. LDAP认证服务配置53. AD认证服务配置84. SecurID动态口令认证配置9二、 SSL VPN门户Virtual Site授权配置101. LocalDB的授权132. LDAP服务器的授权153. Radius服务器的授权174. Group Mapping 授权方式19SSL VPN门户Virtual Site认证配置Array SSL VPN设备Virtual Site 的接入支持多种认证方式，包括LocalDB、LDAP、AD、R

2、adius、SecurID 等。门户认证也可以关掉，这时用户登陆就不需要认证了，当然，也丧失了很大的安全性。每个Virtual Site 最多可以配置四种认证方法，用户登陆时，按照顺序查找认证服务，当第一种认证方法失败会使用第二种认证方法，直到成功或完全失败为止。对于AD、LDAP、Radius认证，每种方法最多可以配置3个认证服务器。由于上一章已经介绍了LocalDB的配置方法，如果您只使用LocalDB，可以越过本章。本章我们主要介绍其他几种认证方式的配置。Site Configuration->AAA->GeneralSite Configuration->AAA-&g

3、t;Method命令行为：aaa method <authentication method> rank authorization methodAuthentication Method：指采用的认证方法Rank：是 Virtual Site 的第几种认证方法Authorization Method：定义了使用这种认证方法时采用的授权方法，下章祥述。如：SP-Demo (config)$aaa method localdb 1 第一种认证方法采用LocalDB，授权使用LocalDB。SP-Demo (config)$aaa method ldap 2 ldap第二种认证方法采用

4、LDAP服务器，授权也使用LDAP服务器。Radius认证服务配置Radius认证是业界普遍采用的认证协议，Virtual Site采用Radius 作认证服务器，需要配置相应参数及端口，当然在SPX 与Radius服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。在配置Radius认证前，先要和用户的管理员询问一些Radius服务器的情况，包括：Radius 服务认证端口，一般采用UDP 1812或者 是UDP1645，当然用户也可能使用别的端口。另外还要询问服务器使用的通信密钥。命令行为：aaa method radius <rank> authorization me

5、thodaaa radius host <ip> <port> <secret> <timeout> <retries>IP：指Radius服务器的IP地址Port：Radius服务所使用的端口Secret：SPX与Radius服务器之间使用的通信密钥Timeout：超时设定Retries：重试次数如：SP-Demo (config)$aaa method radius 2 SP-Demo (config)$aaa radius host 10.1.10.76 1812 "radius_secret" 20 3Si

6、te Configuration->AAA->Authentication->RADIUSLDAP认证服务配置LDAP 是一种轻型目录访问协议，具有结构清晰，查找速度较快的特点。Virtual Site 采用LDAP作认证，同样需要配置一些参数。所以在作此项配置之前，要先和用户的LDAP 管理员作一下沟通，获得一些参数信息，并用LDAP Browser等客户端工具验证一下，把他的LDAP结构清晰化。LDAP服务一般采用TCP 389端口，基于SSL 的协议一般采用636 端口。命令行为：aaa method ldap <rank> authorization me

7、thodaaa ldap host <ip> <port> <user_name> <password> <”base”> <timeout> tlsIP：LDAP服务器IP地址。Port ：LDAP 服务端口User Name：有相应LDAP Search权限的用户名Password：查找时上面用户的口令Base：从哪一级目录进行查找aaa ldap search filter <filter>LDAP查找的Search 规则，如：某属性<user>，其中<user>代表用户在登陆SS

8、L VPN Virtual Site输入的字符串，是参数传递。接下来配置绑定规则，可以选择动态绑定，也可以选择静态绑定，bind是指用户DN的构成规则。1动态绑定：aaa ldap bind dynamicLDAP查找时根据Complete Distinguished Name，Base 信息与search filter在上面命令种定义2静态绑定：aaa ldap bind static <dn_prefix> <dn_suffix>dn_prefix：前缀dn_suffix：后缀<dn_prefix> <user><dn_suffix&g

9、t;一起构成了用户DN如：SP-Demo (config)$aaa method ldap 4 SP-Demo (config)$aaa ldap host 10.1.10.76 389 "cn=manager,dc=arraytsd,dc=com" "secret" "dc=arraytsd,dc=com" 20 SP-Demo (config)$aaa ldap search filter "cn=<user> "SP-Demo (config)$aaa ldap bind dynamicSite

10、Configuration->AAA->Authentication->LDAPAD认证服务配置采用Active Directory 作认证服务器，需要配置相应参数及TCP端口，当然在SPX与AD服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。AD的底层也是一个LDAP，所以也同样可以通过LDAP的配置方法配置他。命令行为：aaa method ad <rank> authorization methodaaa ad host <ip> <port> <mail_domain_name>如：SP-Demo (confi

11、g)$aaa method ad 2SP-Demo (config)$aaa ad host 10.1.175.7 389 “”SecurID动态口令认证配置Virtual Site 用securID认证，重要的配置工作在SecurID服务器上，详见SPX手册，在SecurID服务器上生成一个文件，将这个文件导入SPX即可，另外，SecurID认证一定要选择rank1，并且是全局生效。Ace Server和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。使用SPX的默认路由所指向的interface，作为ACE Server所指定的primary interface.，

12、如果其他端口也配置了IP地址，需要将其IP地址作为secondary interface，这样采用能够在SPX和Ace Server上正确加密数据流。命令行为：aaa securid import <url>如：SP-Demo (config)# aaa securid import sdconf.recSP-Demo (config)$aaa method secured authorization method一般SecurID服务器也同样支持Radius协议，如果那您把他看作Radius服务器，也可以按照Radius服务认证的方法配置他，详见前面章节。SSL VPN门户Vir

13、tual Site授权配置授权是SSL VPN的一个主要的安全功能，Array的授权机制是设置用户或组享有的特定权限，授权是和认证方法高度相关的，不同的认证采用不同的授权方法。如用LDAP 认证，可以通过LDAP服务器授权，也可以通过LocalDB 或者是Radius服务器授权。认证授权关系表认证方式可认证可授权LocalDBYYRadiusYY(需要扩展Dictionary)LDAPYY(需要扩展Schema)ADYGroup Mapping或LocalDBSecurIDYNArray SPX授权权限分为几类：授权方式授权内容可授权ACL定义了用户或组享有的权限列表SourceNet定义了登

14、陆的原地址范围Y(需要扩展Dictionary)NetPool定义了L3VPN所使用的地址池Y(需要扩展Schema)UID, GID定义了用户使用NFS功能时用到的UID和GID信息Group Mapping或LocalDB其中最主要的授权方式是ACL。ACL分为两大类，一类规定了WRM、g的控制规则，另一类定义了ClientApp和L3VPN的控制规则。一个用户登陆SSL VPN时它的权限可以通过ACL作详细的授权。Array SPX缺省是没有ACL配置的，这时所有的资源对所有的用户开放，一旦对某个用户或组配置了一个ACL，则对他需要访问的内容权限一定要显示的配置成PERMIT，否则不允许

15、访问。对WRM 、 生效的ACL命令行为：<priority> <scheme>:<host><path> AND <virtual> (PERMIT|DENY)Priority：优先级Scheme: 是针对HTTP还是 Host：目标服务器，支持通配符“*”。Path：路径AND virtual ：在global mode配置时只关联到相应的Virtual Site上，在Virtual Site Config 模式时，不需要此参数。如：0 http:10.1.175.7/exchange AND intra DENY1 http:*

16、 AND intra PERMIT2 AND intra DENY3 file:* AND intra PERMIT我们会在LocalDB授权时给出具体针对不同用户的配置方法。2针对ClientApp、L3VPN的ACL命令行为：<priority> ip <protocol>:<host_ip>/<netmask>:port AND <virtual_site_id> PERMIT|DENYPriority 优先级 Protocol 针对那种IP协议，可以时TCP、UDP或protocol number，*代表所有协议。Host_I

17、P：目标服务器Netmask：掩码Port：端口号AND virtual ：在global mode配置时只施加在那个virtuail site ，在virtual site config 模式时，不需要此参数如：0 ip *:10.1.175.0/255.255.255.0 AND partner PERMIT1 ip *:0.0.0.0/0 AND partner DENY同样，我们会在LocalDB授权时给出具体针对不同用户的配置方法。LocalDB的授权用LocalDB授权比较简单，只需对相应用户或组配置相应ACL即可。命令行为：Global 模式：localdb acl accoun

18、t <virtual_database_name> <account_name> <ACL>localdb acl group <virtual_database_name> <group_name> <ACL>Virtual Site 模式：localdb acl account <account_name> <ACL>localdb acl group <group_name> <ACL>如：用户的策略SP-Demo (config)$aaa on SP-Demo (co

19、nfig)$aaa method localdb 1 SP-Demo (config)$localdb account "test" “pass“SP-Demo (config)$localdb acl account "test" "0 http:10.1.175.7/exchange AND SP-Demo DENY"SP-Demo (config)$localdb acl account "test" "1 http:* AND SP-Demo PERMIT"SP-Demo (config

20、)$localdb acl account "test" "0 AND SP-Demo DENY"SP-Demo (config)$localdb acl account "test" "1 file:* AND SP-Demo PERMIT"SP-Demo (config)$localdb acl account "test" "2 ip *:10.1.175.0/255.255.255.0 AND SP-Demo PERMIT"SP-Demo (config)$local

21、db acl account "test" "3 ip *:0.0.0.0/0 AND SP-Demo DENY“组的策略：localdb netpool group <group_name> <pool_id>地址池分配localdb sourcenet group <groupname> <ip> <netmask>登陆原地址限制很多种认证方法都可以通过LocalDB授权，不过这时一般需要用户名一一对应。如采用LDAP认证，LocalDB授权，要求LDAP服务器上的帐号和LocalDB上的帐号对应，如

22、果LocalDB上没有这个帐号，需要用Default Group 作在LocalDB上没有的帐号的授权。如：SP-Demo (config)$aaa on SP-Demo (config)$aaa radius accounting off SP-Demo (config)$aaa method ad 1 localdbSP-Demo (config)$aaa ad host 10.1.10.31 389 ""SP-Demo (config)$aaa localdb group default "arraygroup"SP-Demo (config)$a

23、aa localdb authorization usedefaultLDAP服务器的授权如果您使用LDAP认证，缺省是采用LDAP服务器作授权，即将ACL作为LDAP服务器用户的相应属性来进行授权，这时需要扩充LDAP的schema。如果您的认证服务器和LDAP授权服务器不是一台机器，那您需要单独配置LDAP授权服务器。LDAP授权命令行为：SP-Demo(config)$aaa method <authentication method> <rank> ldapSP-Demo(config)$aaa ldap authorize host <ip> &l

24、t;port> <user_name> <password> <base> <timeout> tls具体参数概念参见上一章中LDAP认证部分。SP-Demo(config)$aaa ldap authorize search filter <filter>具体参数概念参见上一章中LDAP认证部分。然后主要的任务是配置LDAP服务器，首先扩充LDAP服务器的schema，然后配置需要授权用户的ACL属性赋予相应的权限。我们以OpenLDAP为例叙述过程，一般需要在slapd.conf中加入include文件：included:/

25、openldap/etc/schema/core.schemaincluded:/openldap/etc/schema/inetorgperson.schemaincluded:/openldap/etc/schema/array.schema然后在相应目录下放置array.shema文件，内容如下：#Array extended schema ,added by wuyuepeng# ArrayNetworks Schema# case senstive url prefix ie *attributetype ( 1.3.6.1.4.1.7564.1000.1NAME 'acce

26、pturl'DESC 'accept url exprerssion'SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )# accepted source network addresses# of the form network/mask eg 10.2.0.0/255.255.0.0attributetype ( 1.3.6.1.4.1.7564.1000.2NAME 'sourcenet'DESC 'Source Network ip/mask'SYNTAX 1.3.6.1.4.1.1466.115.12

27、1.1.26 )# case senstive network pool nameattributetype ( 1.3.6.1.4.1.7564.1000.3NAME 'netpool'DESC 'network pools for L3 VPN'SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )#Array User inhearts from inetOrgPerobjectclass ( 1.3.6.1.4.1.7564.1000NAME 'ArrayUser'DESC 'Array Appliance

28、Network User'SUP topAUXILIARYMAY ( accepturl $ sourcenet )# Borrow the accepturl and sourcenet from ArrayUserobjectclass ( 1.3.6.1.4.1.7564.1001NAME 'ArrayGroup'DESC 'Array Appliance Network Group'SUP topAUXILIARYMAY ( accepturl $ sourcenet $ netpool )然后在用户的相应属性增加相应的权限即可：如：在accep

29、turl属性赋值为一个ACL：0 http:10.1.175.7/exchange AND SP-Demo DENYRadius服务器的授权同LDAP授权一样，如果您使用Radius做认证，缺省是采用Radius服务器作授权，即将ACL作为Radius服务器用户的相应属性来进行授权，这时需要扩充Radius的Dictionary。如果您的认证服务器和Radius授权服务器不是一台机器，那您需要单独配置Radius授权服务器。Radius授权命令行为：SP-Demo (config)$aaa method <authentication method> <rank> ra

30、diusSp-Demo (config)$aaa ldap authorize host <ip> <port> <secret> <timeout> <retries>具体参数概念参见上一章中Radius认证部分。然后就是扩充Radius服务器的Dictionary，将ACL的属性定义加进去，进而配置用户的相应属性进行ACL授权。扩充的Dictionary文件内容如下：#Array Networks# borrowed from snmpd, may lead to trouble laterVENDORArray-Networks

31、 7564# Array Netorks ExtensionsATTRIBUTE Accept-Acls 1 string Array-NetworksATTRIBUTE SourceNets 2 string Array-NetworksATTRIBUTE memberUid 3 integer Array-NetworksATTRIBUTE memberGid 4 string Array-NetworksATTRIBUTE NetPool 5 string Array-Networks然后在用户的相应属性增加相应的权限即可：如某用户的相应属性：Foo Auth-Type = Local,

32、 Password = “foobar”Accept-Acls = "0 http:*/ AND all PERMIT",SourceNets = “10.2.0.0/255.255.0.0”uidNumber = 2063,gidNumber = "1000 1020 2300"Group Mapping 授权方式有的用户用Radius、AD、LDAP认证，他们又不想修改这些服务器，加上Array的授权属性。这时我们可以抓取这些服务器的组信息放到LocalDB上，将这些认证服务器的组映射到LocalDB的相应组进行授权。首先要找到Radius、AD、L

33、DAP那个属性是他的组属性，然后当这个属性等于某个值时映射到LocalDB特定组上。如AD上的这个属性就是memberOf属性。命令行为：aaa ldap group <attr>若是LDAP，<attr>指代表组的属性。aaa radius group <attr>若是Radius，<attr>指代表组的属性。aaa localdb group default <groupname>若组映射不成功，这个用户所属的缺省组。aaa map group <external_group> <internal_group&g

34、t;当某用户<attr>的值为external_group时，我们将他映射到localdb internal_group 组进行授权。以AD 举例：我们将AD看成一个LDAP授权服务器来进行配置。SP-Demo (config)$localdb group "group1"SP-Demo (config)$localdb group "group2"SP-Demo (config)$localdb acl group "group1" "0 http:10.1.10.55/ AND SP-Demo DENY&qu

35、ot;SP-Demo (config)$aaa on SP-Demo (config)$aaa method ad 2 ldapSP-Demo (config)$aaa ldap authorize host 10.1.1033 389 "wuyp" " wuyppass" "dc=arraydemo,dc=com" 30 SP-Demo (config)$aaa ad host 10.1.10.33 389 ""SP-Demo (config)$aaa ldap bind dynamicSP-Demo (conf

36、ig)$aaa ldap authorize search filter "sAMAccountName=<USER>"SP-Demo (config)$aaa ldap group "memberOf"SP-Demo (config)$aaa localdb group default "group2"SP-Demo (config)$aaa map group "partner" "gruop1“当某个用户属于partner这个组时则按照group1的授权属性来进行控制,若不等于partner这个组则映射成缺省组group2来进行授权。