吉大正元身份认证网关G管理员手册.doc

身份认证网关身份认证网关 G G 管理员手册管理员手册 V2 2 4 吉吉 大大 正正 元元 信信 息息 技技 术术 股股 份份 有有 限限 公公 司司 Jilin University Information Technologies Co Ltd 第一篇第一篇 快速配置手册快速配置手册 目录目录 第一章第一章网关的基本使用网关的基本使用 B 第二章第二章常用功能的配置常用功能的配置 G 第三章第三章CSCS 应用模拟应用模拟代代填配置填配置 L 第四章第四章JavaJava 应用模拟代填配置应用模拟代填配置 R 第五章第五章UMS PMS AQSUMS PMS AQS 配置指配置指 南南 V 第六章第六章反向代理功能的配置反向代理功能的配置 BB 第七章第七章多网关互联功能的配置多网关互联功能的配置 FF 第二篇第二篇 详细配置手册详细配置手册 目录目录 前言前言 A 手册说明 HH 读者对象 HH 手册简介 II 手册约定 JJ 1 身份认证网关身份认证网关 简介简介 1 1 1 典型部署模式 1 1 2 利用网关实现远程接入控制 4 2 网络设网络设置置 8 2 1 基本设置 8 2 2 接口配置 8 2 3 系统路由 9 2 4 名称解析 9 2 5 IP 地址池 10 2 6 NAT 10 3 使用证书使用证书 12 3 1 配置网关证书 12 3 2 管理用户端证书的签名 CA 13 3 3 使用 OCSP 服务器对客户端证书进行验证 14 3 4 添加证书用户 14 4 用户和用户组管理用户和用户组管理 15 4 1 用户的类型 15 4 2 系统管理员 16 4 3 用户生命周期 17 4 4 用户和组的关系 19 5 认证认证 21 5 1 使用本地认证服务器 21 5 2 使用证书作为认证凭证 22 5 3 使用 LDAP 作为认证服务器 22 5 4 使用 Active Directory 作为认证服务器 23 5 5 使用 Radius 作为认证服务器 23 6 服务管理服务管理 24 6 1 服务类型 24 6 2 客户端应用 26 6 3 访问方式和内容控制 26 6 4 单点登录 28 7 授权管理与客户端安全授权管理与客户端安全 29 7 1 基于角色的访问控制模型 29 7 2 对客户端安全条件和属性的说明 31 7 3 内容过滤 37 8 配置网络连接配置网络连接 38 8 1 如何配置 NC 39 8 2 其它 NC 属性 41 9 端对端的网络互连端对端的网络互连 43 9 1 利用网关实现端对端的网络互连 43 10 日志和审计日志和审计 45 10 1 邮件告警 45 10 2 配置日志系统 46 10 3 将日志存储到外部的服务器上 46 10 4 在网关上查询日志 46 10 5 报表配置 49 10 6 查看系统 Top N 统计 50 10 7 系统资源监控 52 10 8 在线用户 54 10 9 服务状态 55 10 10 用户会话 55 11 高可用性高可用性 56 11 1 利用网关实现远程接入 HA 56 11 2 使用多条 Internet 线路保障系统可用性 58 12 系统维护系统维护 60 12 1 系统信息 60 12 2 许可证管理 61 12 3 配置管理 61 12 4 系统安全设置 61 12 5 设置系统时间 63 12 6 升级系统 64 12 7 重启系统 64 12 8 启用功能 65 12 9 客户自定义 65 12 10 工具 65 12 11 组件下载 65 13 虚拟门户虚拟门户 67 13 1 配置虚拟门户 67 14 Shell 命令命令 70 15 配置实例配置实例 71 15 1 网络基本设置 71 15 2 配置多 ISP 接入方式 74 15 3 配置 AA 工作模式 76 15 4 导入和导出系统配置 81 15 5 利用 AD 作为认证服务器 83 15 6 证书认证 87 15 7 使用 Filepass 访问 FTP 服务 89 15 8 通过虚拟服务访问内部网络 96 15 9 以 NC 方式访问内部网络 97 15 10 为用户添加启动 Web SSO 的 Web 服务 102 15 11 用户动态授权访问 105 15 12 配置客户端绑定 110 15 13 配置检查客户端防病毒软件 111 15 14 端对端 NC 连接 116 15 15 通过代理服务器访问客户端界面 119 15 16 将日志存储到外部的服务器上 122 附录附录 A 使用 使用 LCD 面板面板 123 附录附录 B 名词解释 名词解释 125 身份认证网关 管理员手册A 第一篇第一篇 快速配置手册快速配置手册 B身份认证网关 管理员手册 第一章第一章 网关的基本使用网关的基本使用 快速配置手册是网关配置操作的简易版 内容侧重于在初次使用网关时 如何快速 简捷地进行操作 展现网关的基本功能 关于网关更详细的操作和使用方法 请参考下面的 详细配置手册 一 一 连接设备连接设备 G 网关在出厂时 只有一个网络接口有 IP 地址 G1000 G2000 的默认接口为 FE0 G2000 N G3000 G3000 N G5000 G8000 的默认接口为 GE0 IP 地址为 192 168 1 100 连接网关 连接网关 1 用直连线将笔记本和网关接口连接 笔记本 IP 地址配置为 192 168 1 200 255 255 255 0 默认网关 可以不用填 然后执行 ping 192 168 1 100 确定可以 ping 通 2 打开 IE 浏览器 输入 https 192 168 1 100 admin 注意后面一定要有 用户名和密码均为 admin 二 二 配置网络配置网络 根据网关的部署方式 确定其他接口的 IP 地址及路由的配置 网关的所有接口没有进出口之分 可根 据需要自行设置 如果采用旁路部署的方式 则网关只需要设置一个接口 IP 和默认网关即可 如果采用主路部署的方式 则需要设置两个接口 IP 和网关的默认网关 具体设置方式如下 1 配置接口 IP 网络配置 接口 点击要设置的接口名字 进入接口配置页面 类型选择 内部 填 写 IP 和掩码 如下图所示 2 配置默认网关 网络配置 路由 在 默认网关 处输入对应的 IP 地址 点击保存即可 如下图所 示 身份认证网关 管理员手册C 三 三 配置证书认证服务器配置证书认证服务器 网关支持多种认证方式 包括本地用户名密码 本地证书以及第三方认证服务器等 其中本地证 书认证的方式较为常用 可以在网关中导入某个机构的跟证书 则该跟证书所颁发的所有个人证书都 可以通过网关进行身份认证了 配置方法如下 1 导入跟证书 认证服务器 证书 可信 CA 点击 添加 选择 cer 格式的根证书 点击 导入 2 建立认证服务器 认证服务器 证书 证书认证服务器 点击 添加 名字处填写给认证服务器起 的名称 如 DemoCA 选中 默认允许访问 在可信 CA 处 将该认证服务器的跟证书选择到右面的框 中 可选择多个 点击保存 如下图 D身份认证网关 管理员手册 说明说明 此处如果勾选了 默认允许访问 则该根证书下的所有用户证书无需注册即可登陆网关 如果 不勾选 则需要将每个用户证书手工导入到网关中 所以 一般情况下建议勾选上 3 此时 可以在 账号管理 组 中 看到一个同名的组 在接下来的配置过程中 就可以对这个 组 进行授权了 四 四 添加服务添加服务 以添加一个代理模式的 FTP 服务为例 服务管理 服务配置 添加 名字 TestFTP 访问方式 Porxy 应用服务器 填写 FTP 服务器的 IP 地 址 如 172 16 7 129 服务类型 ftp 其他选项都使用默认配置 保存 身份认证网关 管理员手册E 五 五 配置角色配置角色 配置角色的作用就是将用户 或用户组 与服务关联起来 即对用户进行授权 授权管理 角色 点击 添加 名字 role1 服务信息 选择刚才配置的 TestFTP 点击高级 组信 息 选择刚才新建的 DemoCA 其他选项都使用默认配置 保存 这样 就将 TestFTP 这个服务 授权给了 DemoCA 这个组的所有用户 六 六 配置虚拟门户配置虚拟门户 虚拟门户是用户登陆时显示的登陆页面 该页面默认只有本地用户名密码方式的认证服务器 需要将 上面建立的名字为 DemoCA 的证书认证服务器加入到登陆页面的选择框中 操作如下 虚拟门户 配置 点击 Default 在 认证 处 将刚才新建的认证服务器 DemoCA 选择到右面的框中 如果想让用户登陆时不需选择认证方式 而是直接弹出证书 则只需将系统自带的 本地用户名密码 和 其他认证服务器移除到左面的框中即可 或者将证书认证服务器 DemoCA 移至 已选择 的最顶端 点击 保存 如下图所示 F身份认证网关 管理员手册 七 七 用户登陆过程用户登陆过程 以上配置结束后 就完成了最基本的用户认证 授权的操作过程 用户可以登陆网关来访问对应 的服务了 1 打开 IE 输入 https 192 168 1 100 网关实际 IP 地址 2 如果出现认证选择界面 则在认证处选择 DemoCA 弹出认证选择框后选择对应的用户证书 如果 没有出现认证选择界面 则直接选择对应的用户证书 取决与虚拟门户的配置 3 第一次登陆时 IE 会自动下载并安装控件 安装成功后 会看到用户有权限访问的应用列表 4 点击应用列表的连接 或直接在 IE 里输入服务器的 IP 即可直接访问应用 身份认证网关 管理员手册G 第二章第二章 常用功能的配置常用功能的配置 一 一 使用使用 NC 访问模式访问模式 网关提供了四种客户端访问方式 具体区别如下 访问方式访问方式支持应用支持应用内容控制力度内容控制力度 Proxy 代理 所有基于 TCP 协议的应 用 可控制 FTP HTTP 的命 令 通过内容过滤定义 Reverse Proxy 反向代 理 基于 HTTP 协议的 web 应用 可控制到每个 URL 的访问 操作 NC 网络连接 任意基于 IP 的应用 例 如 TCP UDP ICMP 等 不支持 FilePassFTP 网上邻居 SMB CIFS 可控制到每一个文件的操作 权限 UDesk远程桌面连接可控制客户使用远程服务器 上某一个具体应用 在代理模式不能完成的情况下 可以使用 NC 模式来添加服务 使用 NC 模式的方法如下 1 网络配置 IP 地址池 添加 名字 IP POOL 起始 IP 结束 IP 此处填写的是分配给客户端的虚拟 IP 段 请根据实际网络环境进行添加 应确保该 IP 段与服务所在的 IP 段路由可达 并确保服务器发送 给该网段的数据是能路由到网关的 如果网关接口与服务是在同一个网段的 则可以考虑将虚拟 IP 设 置为服务所在网段的其他空闲 IP 2 如果虚拟 IP 地址段与应用服务器 IP 段是同一个网段的 则在 网络连接 NC 配置 处 勾选上 ARP 代理 保存 如下图 H身份认证网关 管理员手册 3 网络连接 NC NC 设置 添加 名字 NC 本地 IP 分配 IP 地址池 IP 地址池 选择刚才新建的 IP pool 组信息 选择有权限使用该 NC 配置的用户组 其他配置 默认 保存 4 添加 NC 模式的服务 服务管理 服务配置 添加 访问方式 处选择 NC 其他配置与添加代理服务相 同 如果不想限制具体的服务类型 可将整个服务的 IP 全部开放 则可在 服务类型 处选择 custom 协议 处选择 any 点击协议后面的 添加 如下图所示 5 用户登陆网关 portal 本地虚拟网卡会显示已连接 并会自动获得一个虚拟地址池中的 IP 地址 可以 用 ipconfig 命令查看 二 二 使用本地用户名密码登陆使用本地用户名密码登陆 1 账号管理 用户账号 添加 认证服务器 本地用户名密码 名字 test1 密码 11111111 依次可以 添加多个用户 2 虚拟门户 配置 点击 Default 保证 认证 右边的 已选择 处的第一行是 本地用户名密码 3 用户登陆网关 portal 认证 处选择默认的 本地用户名密码 填写刚才新建的用户名密码登陆即 可 三 三 验证证书验证证书 CRL 文件文件 1 认证服务器 证书 可信 CA 在需要验证 CRL 的根证书的 CRL 列 点击 否 将其变为 是 后面 的 CRL 配置 会出现编辑的按钮 点击进入编辑状态 身份认证网关 管理员手册I 2 选择 CRL 的验证方式 并配置好相关参数 3 用吊销或过期的证书登陆网关进行测试 四 四 模拟代填 模拟代填 SSO 可以进行模拟代填的服务包括 web 服务 标准 windows 弹出框 普通 CS 服务 JAVA 应用程序等四种 配置方法各不相同 其中 web 服务 标准 windows 弹出框的配置在本章中介绍 CS 和 JAVA 的配置过程见 第三 四章 WebWeb 服务的模拟代填 服务的模拟代填 1 在 系统基本配置 安全设置 处 将最下面的 SSO 设置为 允许 点击 保存 2 服务管理 服务配置 添加 选择 http 或 https 服务 并配置好相关参数 3 点击最下面的 SSO URL 处填写需要代填的页面 URL 可以打开应用服务器中需要填写用户名密码的 页面 一般情况下 地址栏中 IP 端口后面的即是需要代填的 URL 如上图中 在 SSO 的 URL 处 可以填写 stsdemo 后面的 一般不用填写 4 用户变量 密码变量 提交名称 可以在代填页面上右击选择 查看源文件 找到对应的 name 值 如下图所示 J身份认证网关 管理员手册 如果在源文件中 找不到 登陆 对应的 name 值 则可以填写 page submit 5 账号来源 UMS 从账号 使用用户在 UMS 中的应用从账号进行模拟代填 网关登陆账号 使用用户登陆网关的账号进行模拟代填 此方式只适用于用户名密码登陆的用户 本地从账号 管理员在网关上为每个用户设置的从账号 可以在 账号 用户账号 中的某一 个用户后面有一个 从账号 中进行设置 本地从账号并学习 第一次登陆服务时用户自行输入 网关会记录该用户名密码 以后再登陆该 服务时 网关自动用记录下来的信息进行模拟代填 6 配置完成后 点击后面的 添加 再点击 保存 如下图 7 用户登陆网关 portal 访问需代填的应用 网关会根据配置的从账号来源进行模拟代填 例如 从账 号选择 本地从账号并学习 则第一次正常输入用户名和密码 在点击 登陆 的时候 如果网关能 弹出 是否记忆 的对话框 说明模拟代填设置正确且生效了 选择 是 则下次用户再次登陆该应 用时 不再需要输入用户名密码了 如下图 身份认证网关 管理员手册K 8 如果用户想要修改或删除网关记忆的用户名密码 可以在 portal 页面的右上角选择 设置 选择 SSO 选项卡 修改或删除掉对应条目 则下次用户重新登录时 网关就会重新记录用户信息 如下 图 标准标准 windowswindows 弹出框模拟代填弹出框模拟代填 对于标准 windows 弹出框 如 IE 访问 FTP 服务 系统已经内置了大部分 windows 系统的代填模板 一般情况下 只需在需要代填服务的 SSO 处 填写 URL 并选择 账号来源 即可 URL 的填写规则是 进程名 服务器 IP 地址 中间没有 号 例如 FTP 服务器地址为 172 16 7 129 用 IE 访问时需要进行模拟代填 则 URL 应填写为 iexplore exe172 16 7 129 如下图所 示 五 五 向后台传递信息向后台传递信息 只有 http 协议的服务 才可以配置向后台传递用户信息 1 添加一个 http 类型的服务 配置好相关参数 2 选中 WEB 信息传递 后面的复选框 在 认证 URL 处填写接收传递信息页面的路径 与 SSO 中的 URL 配置类似 在 WEB 信息传递策略 处 选择需要传递策略 在 授权管理 应用授权 web 信息传 递 处配置传递策略 具体请参加第五章中的内容 3 保存后 访问应用 查看能否收到网关传递过来的信息 L身份认证网关 管理员手册 第三章第三章 CS 应用模拟代填配置应用模拟代填配置 一 一 Windows 窗口模型窗口模型 Windows 操作系统的用户界面是由一层一层的窗口嵌套组织起来的 在逻辑上表现为一棵树的形式 每个窗口都有一个类名 一个窗口的 ID 这些内容在设计窗口的时候就固定了的 在任何版本的操作系统 下都不会改变 我们的单点登录系统就是依据这个原则来设计的 从一些 ID 或者类名的关系的唯一性来确 定一个窗口是否是我们所关注的窗口 单点登录的实现就是抽取窗口的特征 来与预先配置的窗口的模板进行对比 并通过模板得到当前访 问的一系列目标等信息 二 二 模板的参数说明模板的参数说明 为了理解和沟通 模板具有一定的格式 每个窗口的模板需要用一对中括号括起来 请注意 以后所 说的所有字符和格式都是以半角的英文字符为准 而且一行为一个窗口模板 中括号外面的的所有字符将 不被解析 中括号里面的模板项目用分号分隔 每个项目遵循如下的格式 项目名 项目值 项目名就是单 点登录系统可以理解的关键字 项目值可以是关键字 也可以是某些可以接受的有特定含义的字符 1 关键字 关键字 CN 说明 类名 表示值里面的内容是顶级窗口的类名 WID 说明 窗口的 ID 表示具有此 ID 的窗口必须在指定的窗口树里面 ID 是一个路径的格式 例如 1002 1003 表示顶级窗口下面有一个 ID 为 1002 的窗口 而此窗口里面含有一个 ID 为 1003 的窗口 UID 说明 用户账户的输入窗口的 ID 其它含义同上 DID 说明 域名的输入窗口的 ID 其它含义同上 PID 说明 密码输入窗口的 ID 其它含义同上 WSQ 说明 窗口的顺序 表示此窗口必须存在于指定的窗口树 顺序的格式如下 1 表示顶级窗口下有 一个顺序为 1 的窗口 注意 此处的顺序编排是从 1 起始的 身份认证网关 管理员手册M USQ 说明 用户账户的输入窗口的顺序 其含义同上 DSQ 说明 域名输入框的窗口顺序 其含义同上 PSQ 说明 密码输入框的窗口顺序 其含义同上 SSQ 说明 确定按钮的窗口顺序 其含义同上 URL 说明 指定符合此模板的窗口的 URL 组成格式 这里暂时只支持两个关键字 PN 和 TG 这两个关键 字的含义请见下面的说明 PN 说明 进程名 表示这个 URL 需要提取进程名 TG 说明 目标地址 表示这个 URL 需要提取目标地址 这里的关键字允许组合 每个关键字之间以分号分隔 例如 PN TG 那么在组合 URL 的时候 将会 将当前进程名字解析出来 并且解析出 TG 并组合在一起 如当前进程是 IE 浏览器 目标地址是 10 0 0 1 则最终组合出来的 URL 就是 iexplore exe10 0 0 1 而这个 URL 也就是需要填写到管理界面的服务 下面的 URL 里面的 2 默认模板 默认模板 在管理端 有一个界面专门用来配置此模板 路径为 服务 CS 应用模板 界面如下 这里已经有一些默认的模板了 每一个需要代填的 CS 程序 都需要有一行对应的模板 管理员可以根 据不同的 CS 程序 在上面增加对应的模板 三 三 配置实例配置实例 目前 网关在抓取 CS 应用程序的登陆窗口时 采用了两种不同的方法 Control ID 和窗口序号 两种 方法在使用上略有区别 在抓取 Control ID 时 如果值不为 0 并且值是固定的 每次重新登陆客户端程序 再抓取的值都一样 则使用 Control ID 的方式 否则使用窗口序号的方式 两种方法在建立模板是略有区 别 下面以抓取 窗口序号 的方式为例 来说明 CS 模板的建立过程以及配置模拟代填的步骤 使用的测 N身份认证网关 管理员手册 试程序是 DelphiForm exe 1 模板的数据采集 模板的数据采集 1 新建一个文本文档 在文档里先写下如下代码模板 CN USQ PSQ SSQ TG 172 16 7 129 URL PN DelphiFormTest 各项代码的含义见上面的说明 2 先启动程序 DelphiForm exe 再启动 spy 在 Spy 的功能按钮里面有一个望远镜 从后面往前 数第三个 如下图 按下它 会出现一个窗口搜索界面 如下图 用鼠标点中中间的靶子 并拖动到认证窗口上 此过程中不能释放鼠标左键 认证窗口是包含 用户名密码框的大窗口 等鼠标到达认证窗口上面以后 释放鼠标左键 此时 spy 上显示的如下图所示 身份认证网关 管理员手册O 此时按下 OK 按钮 窗口搜索 对话框将消失 Spy 的主界面将定位到刚才的那个认证窗口 对应的行上面 该行就是认证窗口的顶级窗口 00330A5E 该值可能每次启动都不一致 如下图 在该行上面上击 弹出对话框如下图 单击 Class 选项卡 将 Class Name 后面框中的内容复制到代码模板的 CN 的后面 3 将此窗口的下级窗口全部展开 如下图 P身份认证网关 管理员手册 再点击 spy 的望远镜 将中间的靶子移动到输入用户名的框中 点击 OK spy 将定位到某一固定行 上面 从顶级窗口的下面开始数 序号分别为 1 2 3 4 5 该用户名输入框的序号为 5 则在代码模板 的 USQ 后面填上 5 用同样的方法将密码输入框 确定按钮的序号分别填写在 PSQ SSQ 的 后面 4 在 TG 的后面 填写 CS 服务器的 IP 地址 与添加服务是填写的一致 中括号外部的 DelphiFormTest 为注释信息 可以随便填写 填写完的代码模板如下 CN TMainForm USQ 5 PSQ 4 SSQ 3 TG 172 16 7 129 URL PN DelphiFormTest 管理员登陆网关 在 服务 CS 应用模板 处 将上面建立好的代码模板粘贴到原有模板的下面 保存 如下图所示 2 添加服务 添加服务 添加一个服务 服务的 IP 地址填写 172 16 7 129 由于本测试程序是一个单机的程序 不连接任何服 务器 所以服务器地址和服务类型可以随便填写 但要保证在 服务 处填写的 IP 要与模板中的 TG 的 IP 相同 3 设置 设置 SSO 展开下面的 SSO 在 URL 处填写该客户端运行时的进程名 DelphiForm exe 进程名可以用 windows 的 进程管理器来查看 如下图 身份认证网关 管理员手册Q 在 账号来源 处 选择一个合适的账号来源 如 网关登陆账号 点击 添加 按钮 再点击 保 存 4 验证代填结果 验证代填结果 设置好用户和角色等信息 用户登陆网关后 运行 DelphiForm exe 程序 查看代填是否成功 R身份认证网关 管理员手册 第四章第四章 Java 应用模拟代填配置应用模拟代填配置 说明 说明 对 java 模拟代填的支持范围如下 1 使用 java1 6 及以上环境作为运行环境 2 以 bat 文件启动 或者可以提供其运行脚本 3 其登录页面中以 JFrame 或者 JDialog 作为登录窗口 以 JButton 作为登录按钮 以 JTextField 作为用户帐号和用户域名及验证码输入框 以 JPasswordField 作为用户密码输入框 4 安装在固定的目录下或者安装目录已经定义为环境变量 为了方便管理员能很容易的得到 java 应用程序登录窗口的标识信息 以便完成对该 java 应用程序的 单点登录配置 我们提供了一个辅助小工具 JssoHelper 一旦管理员设置好这个工具运行所需要的环境 就能通过这个工具提供的 UI 获得必须的 java 模拟代填配置 下面将介绍下面将介绍 C SC S 模式的模式的 JAVAJAVA 应用程序的模拟代填配置过程 应用程序的模拟代填配置过程 一 确定需要模拟代填的 JAVA 应用程序的执行路径 以下将 需要模拟代填的 JAVA 应用程序 简称为 目标应用程序 该路径下应该有目标应用程序启动的 bat 文件 如下图 路径为 C Program Files JAVASSODemo 二 登录网关管理端后从 维护 组件下载 中下载网关客户端程序 ClientSetup exe 并安装 三 到网关客户端安装路径 默认 C Program Files JIT Authentication Gateway 下找到文件 aophelper xml 并将其拷贝到目标应用程序的执行路径 C Program Files JAVASSODemo 下 四 把目标应用程序的启动 bat 文件 start bat 原地复制一个副本 选中副本文件后点击鼠标右键并 编辑 开始将 JssoHelper 嵌入到这个目标 java 应用程序中 1 将下面这段数据拷贝到 bat 中的命令调用之前的一行中 set CLASSPATH CLASSPATH gwpath agent jar gwpath aspec jar gwpath aspectjrt jar g wpath registry jar 身份认证网关 管理员手册S 2 将下面的数据拷贝并插入到 bat 文件的命令之后 注意其跟 java 命令之间有一个空格字符 javaagent gwpath aspect jar Dorg aspectj weaver loadtime configuration aophelper xml 例如有一个 java 应用程序 其 bat 文件在修改前为 修改后为 五 运行上述修改后的 bat 文件 如果上述设置正确的话 运行后会在显示目标应用程序登录窗口的同时 显示一个 JssoHelper 的捕获信息窗口 JssoHelper 的窗口如下图 六 按照 JssoHelper 的提示信息 在目标应用的登录窗口的对应输入框中分别输入对应的信息 如在用 户帐号输入框中输入 username 在用户密码输入框中输入 password 等 如果登录窗口中有些 JssoHelper 要求的输入框不存在 则可以忽略这些输入框 但用户帐号和密码输入框是必需的 七 在目标应用登录窗口中使用鼠标左键点击登录按钮 为了防止可能的错误 此处必须使用鼠标左键点 击 键盘回车无效 如果上述填写的内容正确 则会在 JssoHelper 的窗口中显示捕获到的各个登录 元素的标识信息 类似如下页面 T身份认证网关 管理员手册 八 在网关上配置对应的服务 1 在服务的 SSO 配置处填写 JssoHerlper 所捕获到的信息 例如 要填写的数据可以从 JssoHerlper 上直接复制 URL Demo 用户变量 1 0 0 1 0 密码变量 3 0 0 1 0 提交名称 4 0 0 1 0 账号来源 选择需要使用的来源 请注意用户域名和验证码是 可选项 有些应用可能没有 但其他元素是必需的 如下图所示 2 JAVASSO 处 在 JavaSSO 启动路径 处填写目标应用程序的执行路径 可以包含环境变量如 install path 和 bat 文件名 例如 C Program Files JAVASSODemo start bat 3 JavaSSO 启动脚本 指用来嵌入 java 单点登录工具并启动目标应用程序的脚本 建议在原有 的目标应用程序启动脚本的基础上按照如下步骤修改 a 将下面这段数据拷贝到 bat 中的 java 命令调用之前的一行中 set CLASSPATH CLASSPATH gwpath agent jar gwpath aspectjweaver jar gwpath asp ectjrt jar gwpath registry jar b 将下面的数据拷贝并插入到 bat 文件的 java 命令之后 注意其跟 java 命令之间有一个空格 字符 身份认证网关 管理员手册U javaagent gwpath aspect jar Dorg aspectj weaver loadtime configuration aopagent xml Dtargetip 10 23 11 1 Dtargetport 80 Ddebug debug Dtargeturl Demo Xms256m Xmx768m 其中 targetip 即服务对应的 IP 地址 与配置服务时的服务 IP 地址一致 如果这个服务是 一个子网或者一个网段 则只需要这个地址包含在网段的范围内即可 targetport 即服务对应端口号 如果这个服务有多个端口 则只要这个端口包含在服 务的端口范围内即可 targeturl 即通过 JssoHelper 捕获到的 URL 标识 例如原有的目标应用程序的启动脚本为 修改后的脚本为 4 把修改后的脚本复制到 JavaSSO 启动脚本 保存 5 JAVA 模拟代填配置完成 九 用户登陆后 可以点击 portal 上面的链接或者直接启动客户端程序 检查代填是否成功 V身份认证网关 管理员手册 第五章第五章 UMS PMS AQS 配置指南配置指南 说明 说明 UMS 中的应用标识 PMS 中的本地码 应用码 AQS 的应用码 在网关中统一叫做应用标识 所以在 使用前需将 PMS UMS AQS 中的值进行统一设置 一 一 使用使用 UMS 作为第三方认证服务器作为第三方认证服务器 UMS 可以作为网关的第三方认证服务器 提供用户名密码方式的认证 配置过程如下 1 在 认证 UMS 认证服务器 处 添加一个认证服务器 填写上 UMS 的 IP 地址和端口号并保 存 如下图 2 给 UMS 用户组进行授权 并修改虚拟门户 将 UMS 选择到认证服务器的列表中 3 在 UMS 中添加一个用户名密码类型的用户 JITTest 4 选择 UMS 认证服务器并使用 JITTest 用户登陆 二 二 使用使用 UMS 做访问控制做访问控制 网关可以根据用户在 UMS 中的属性值和是否有从账号等方式进行应用的访问控制 可以进行访问控制 的用户并不一定要选择 UMS 认证服务器进行认证 只要是在网关上设置好了 UMS 的 IP 端口及相关属性 网关本地的证书用户 其他第三方用户名密码用户都可以根据 UMS 属性做访问控制操作 配置网关前 请先确定 UMS 的版本信息 并且修改安装目录下的 server config ums ums3config xml 文 件 将 usr 改为 username 将 psw 改为 password 1 根据用户属性做访问控制 根据用户属性做访问控制 1 在 授权 应用授权 服务器设置 处 配置 UMS 的 IP 地址和端口号 同时也可以将 PMS 的相关信息配置好 身份认证网关 管理员手册W 2 在 属性设置 页 将 UMS 中用户的属性添加到网关中 其中 属性名 对应的是 UMS 中的用 户属性的名称 网关可以用该值做访问控制的条件 关键字 是 属性名 对应的标识 网关在传递给 后台应用的信息中 会用 关键字 代替属性中的 属性名 后台应用接收到的属性的名字是 关键字 在后面的信息传递中会用到 注意 关键字 处不支持中文 否则后台信息接收到的会是乱码 例如下图 不能将属性 1 对 应成中文 测试 3 在 UMS 属性策略 页 添加一条新的策略 属性 即是在 属性设置 中添加的用户属性 匹配条件 有三种 等于 包含 不等于 属性值类型 有两种 属性值 属性编码 分别对应 UMS 中的属性值和属性编码 属性值 属性编码 就是要把对应的值添加上去 在一条 UMS 属性策略中 可以添加多个条件 多个条件之间默认是 或 的关系 即只要有其中一个 条件满足即可 如果要实现多个条件必须同时满足的策略 只需在多个条件之间都加上 AND 即可 选中条 件 点击 逻辑与 AND 后面的 添加 X身份认证网关 管理员手册 4 在 授权 条件 处 选择一个已存在的条件 或者新建一个条件 选择上刚才建立的 UMS 属性策略 并将该条件分配给响应的用户或用户组 这样 这些用户必须满足 UMS 属性策略 中定义的条件才能登陆网关 实现了基于 UMS 属性的访问控制功能 2 根据从账号做访问控制 根据从账号做访问控制 1 在 授权 应用授权 服务器设置 处 配置 UMS 的 IP 地址和端口号 2 添加一个 http 协议的应用 在 应用标识 处 填写该应用在 UMS 中的 应用标识 然后勾 选上 UMS 中没有用户的业务帐号时禁止访问 则如果登陆网关的用户在 UMS 中有该应用的从账号 就 有权限访问该服务 否则就不能访问该服务 这样即实现了基于 UMS 从账号的访问控制功能 配置如下图 所示 身份认证网关 管理员手册Y 三 三 后台信息传递 证书信息 后台信息传递 证书信息 UMS 属性 属性 PMS 权限码 权限码 1 配置好 UMS PMS 的 IP 地址 端口号等参数 2 将 UMS 中的 属性名 与后台传递的 关键字 做一一对应 3 在 授权 应用授权 web 信息传递 处 新建一个传递策略 选择要进行传递的信息 UMS 属性 可以选择部分属性进行传递 也可以选择全部属性 选择全部属性就会以 xml 文 件的形式将所有属性信息传递到后台服务器 是否编码 在传递的信息中有中文的情况下需要用到 如果后台服务器接收到的信息中有乱 码 就需要勾选上该编码 PMS 默认权限 当网关取不到该用户的 PMS 权限时 会将这里设置的默认权限传递到后台服 务器 Z身份认证网关 管理员手册 4 添加一个 http 类型的服务 选择信息传递策略 应用标识 在网关中只有一个标识 需要将 UMS PMS 中的应用标识进行统一设置 认证 URL 接收信息的路径和页面 如 web index2 jsp 可以填写多个页面 Web 信息传递策略 选择刚才添加的传递策略 身份认证网关 管理员手册AA 4 用户登陆 访问服务 查看是否可以接收到传递过来的信息 四 四 配置配置 AQS 日志服务器日志服务器 1 配置服务的应用标识 2 在 日志与监控 日志配置 处 填写 AQS 日志服务器的 IP 与端口 并选择协议类型即可 如 下图所示 BB身份认证网关 管理员手册 反向代理功能的配置反向代理功能的配置 一 反向代理简介一 反向代理简介 反向代理 Reverse Proxy 方式是指用网关来接受客户端的连接请求 然后网关将请求转发给内部的 web 服务器 并将从 web 服务器上得到的结果返回给客户端 与正向代理 Proxy 不同的是 客户端计算 机上不需要安装任何控件或程序 客户端只需要将网关当做一个标准的 Web 服务器直接访问即可 与网关上其他的访问方式 Proxy NC 相比 反向代理具有以下特点 可以在纯 Web 方式下使用 无需安装客户端组件 ActiveX 或者 Java Applet 用户无需事先登陆网关 可在访问反向代理服务时按需登陆 用户访服务时的目标地址由服务的真实地址变为网关地址 同时 URL 也不再是原始的 URL 而 是被编码的一个反向代理 URL 这样可以隐藏内网的服务地址 从而隐藏内网拓扑机构 提供更 好的安全性 二 配置步骤二 配置步骤 反向代理的配置包括三部分 服务本身的配置 用来定义个这个服务的目标地址信息 并同反向代理替换规则进行关联 反向代理替换规则 用来指定反向代理对 URL 的重写规则 管理员可以根据服务情况来决定哪些 URL 不需要被替换 也可以指定只替换哪些 URL 反向代理资源 用来对反向代理服务进行精细控制 管理员可以指定一个站点 一个目录或者一 个文件 从而通过角色实现对指定用户的访问控制 详细配置步骤如下 1 添加反向代理类型的服务 添加反向代理类型的服务 1 在 服务管理 服务配置 界面 点击 添加 按钮 2 访问方式 选择 Reverse Proxy 其他地方与配置 Proxy 和 NC 方式的服务一致 如下图 身份认证网关 管理员手册CC 说明 反向代理只支持 HTTP 类型的服务 并且只能添加一个端口号 反向代理控制 中 几个选项的含义如下 启动缓存 针对那些跟用户和客户端环境无关的页面服务来说 启动缓存 开关打开后会大大提高访问效率 即 提高每秒新建连接的速度和单个请求的相应速度 降低延时 但如果有些服务跟用户相关 如每个用户登 录后看到的信息会不同 则 启动缓存 开关打开后 可能会导致系统无法正常工作 启动压缩 启动压缩 可以在窄带链路上大大提高客户端的用户体验 但会增加系统的资源开销 系统会自动 判断哪些类型的页面需要压缩 用户无需配置 阻止 Cookie 阻止 Cookie 用来过滤服务在客户端的 Cookie 记录 提高安全性 但对大部分服务来说 阻止 Cookie 可能会导致其本身工作异常 2 配置反向代理替换规则 配置反向代理替换规则 在 服务管理 反向代理替换规则 界面 系统已经默认建立了一个 默认规则 可以点击 添 加 按钮来新建一个规则 规则添加的页面如下 DD身份认证网关 管理员手册 各选项含义如下 重写 URL 指定哪些 URL 是需要进行替换的 一般情况下都是 http 表示所有页面都需要替 换 不重写 URL 指定哪些 URL 是不需要替换的 网关会优先检查 不重写 URL 中的地址 设置 有些 URL 地址不替换是为了以下目的 当页面中有些超链接是链接到不被网关保护的页面上时 这些超链接的地址就是不需要被替 换的 有些服务是通过网关和不通过网关都可以访问 但这些服务没有安全性要求 通过网关代理 后 反而会降低用户的体验或者增加网关的开销 有些 URL 管理员不希望他们被用户通过反向代理访问 将它们配置成不重写 URL 后 用 户在外网虽然能看到 URL 却不能通过网关访问 需要替换的文件及路径 由于反向代理技术的局限性 可能会存在一些需要被替换的页面而没有 被替换掉 这种情况下 可以在服务页面的源代码中找到需要替换的文件及路径 然后填写到这 个地方 即可以实现替换了 3 添加反向代理资源 添加反向代理资源 将资源页面以 URL 的形式添加到网关 则管理员就可以对这些 URL 做访问控制 即可以设定哪些 URL 能被访问 哪些 URL 不能被访问 添加方法 在 服务管理 反向代理资源 界面 点击 添加 按钮 在 URL 处填写对应值即可 身份认证网关 管理员手册EE 例如 4 进行角色关联 进行角色关联 与配置其他类型的服务一样 在 角色 中 将用户或用户组 服务信息 反向代理资源等进行关联 三 用户访问过程三 用户访问过程 用户可以先登陆网关 在服务列表中点击对应的反向代理服务来进行访问 也可以不用登陆网关 直 接访问反向代理的 URL 即可 访问反向代理服务的方式一般是将 URL 做为一个超链接写入到其他网页中 所以第一次可以先点击服务列表中的链接 找到对应的 URL 地址即可 该 URL 是根据服务的 IP 和端口计 算出来的 只要是服务的 IP 和端口不发生变化 该 URL 就不会变化 四 局限性 限制条件 四 局限性 限制条件 反向代理以 Web 页面的 URL 重写为主要的实现手段 因此 如果页面的 URL 相关的内容不能被正确 处理 则会带来代理失败的情况 在以下情况下 反向代理技术暂不能支持 请选择使用 Proxy 或者 NC 方式来代替反向代理 Web 服务器返回的页面类型跟实际类型不一致 例如 有些页面应该是 js 文件格式 返回的类 型却是 PHP 或者 ASP 等 这样会导致这些页面不能被正确处理 用户的原有页面内应用了不支持 https 的函数 在反向代理下 这些函数将不能在代理后正确执 行 从而导致代理失败 用户的业务处理中包含了对当前应用网址的引用和检查代码 此时 经过反向代理后 当前网页 的地址变成了网关地址 这样会导致跟其业务逻辑的期望不符 从而导致后续的业务处理不正常 页面中如果包含 Flash ActiveX JavaApplet 等组件 也暂时不能提供支持 用户的业务站点本身已经包含了大量的 Cookie 由于反向代理会增加一个 Cookie 从而导致增 加了该 Cookie 后 Cookie 的总量可能超过当前浏览器上限 从而导致浏览器错误 服务器响应页面 类型与 content type 不一致的 比如 content type 为 text plain 而真实页面却是 一个 JS 文件 这种情况下 目前无法处理 使用 VBScript 的页面 当前版本无法支持 FF身份认证网关 管理员手册 多网关互联功能的配置多网关互联功能的配置 一 简介一 简介 多网关互联功能是为了解决 一个客户端需要同时访问多个网关保护的服务 的应用场景 由此引入 了主 从网关的概念 主网关 在多网关同时登录场景下 用户第一次登陆的网关 从网关 在多网关同时登录场景下 登录主往后 后续登录的网关 二 配置过程二 配置过程 1 管理员在主网关的 系统基本配置 从设备 界面 添加所有从网关的 IP 和端口 2 在 账号管理 用户账号 界面 在用户的高级选项中 选择该用户有权利访问的从设备 当 前版本只能选择单个用户进行配置 后续版本中 将会实现对组的批量配置 3 用户登陆主网关 会看到服务列表中有对应从网关的服务 点击即可直接访问 三 用户使用习惯三 用户使用习惯 用户登录时 首先需要提交证书 主网关对这个用户的证书进行登录 认证成功后将登录到主网 关上 如果客户端发现用户有从网关 则客户端将当前用户的证书一次提交个各个从网关进行认证 认 证成功后 可以得到从网关的授权服务列表 在用户访问从网关保护的服务前 这个用户不占用从网关的并发用户资源 用户也可以在本地自己添加从网关信息 用户自己添加的从网关信息只有当前用户可见 如果用户的从网关无法访问 则会显示为灰色 以跟其他网关区分 用户可以向访问主网关的服务一样访问从网关保护的服务 不需要做任何额外的配置 四 注意事项四 注意事项 当前对从网关只支持证书用户登录 并且所有从网关都要配置成证书用户自动登陆 当用户从网关保护的服务也主网关有冲突时 主要是服务的 IP 地址 将优先访问主网关的服务 使用 IE 浏览器登陆网关和使用 APP 客户端程序登陆网关 都可以使用多网关互联功能 身份认证网关 管理员手册GG 第二篇第二篇 详细配置手册详细配置手册 HH身份认证网关 管理员手册 前言 吉大正元身份认证网关产品是提供内部网络的接入控制以及对接入用户 接入 设备进行强身份认证和审计服务的产品 解决用户使用应用系统时涉及的身份 验证 信息保密 权限控制等安全问题 通过网关 无需客户端软件 内部用 户 终端用户和分支机构等即可轻松安全地访问内部网络资源 身份认证网关通过支持对用户的认证 基于角色的访问控制以及数据加密技术 为用户提供了安全保障 网关实现了良好的加密和认证功能 加密隧道保证了 数据在传输过程中的加密和解密 本手册前言分为以下四个部分 版本说明 读者对象 本书简介 本书约定 其他注意事项 手册说明手册说明