No4_Array_SPX工程安装配置手册_认证授权配置部分

1、 Array SPX工程安装配置手册认证授权配置部分一、 SSL VPN门户Virtual Site认证配置11. Radius 认证服务配置32. LDAP认证服务配置53. AD认证服务配置84. SecurID动态口令认证配置9二、 SSL VPN门户Virtual Site授权配置101. LocalDB的授权132. LDAP服务器的授权153. Radius服务器的授权174. Group Mapping 授权方式19SSL VPN门户Virtual Site认证配置Array SSL VPN设备Virtual Site 的接入支持多种认证方式，包括LocalDB、LDAP、AD、

2、Radius、SecurID 等。门户认证也可以关掉，这时用户登陆就不需要认证了，当然，也丧失了很大的安全性。每个Virtual Site 最多可以配置四种认证方法，用户登陆时，按照顺序查找认证服务，当第一种认证方法失败会使用第二种认证方法，直到成功或完全失败为止。对于AD、LDAP、Radius认证，每种方法最多可以配置3个认证服务器。由于上一章已经介绍了LocalDB的配置方法，如果您只使用LocalDB，可以越过本章。本章我们主要介绍其他几种认证方式的配置。Site Configuration-AAA-GeneralSite Configuration-AAA-Method命令行为：aa

3、a method rank authorization methodAuthentication Method：指采用的认证方法Rank：是 Virtual Site 的第几种认证方法Authorization Method：定义了使用这种认证方法时采用的授权方法，下章祥述。如：SP-Demo (config)$aaa method localdb 1 第一种认证方法采用LocalDB，授权使用LocalDB。SP-Demo (config)$aaa method ldap 2 ldap第二种认证方法采用LDAP服务器，授权也使用LDAP服务器。Radius认证服务配置Radius认证是业界普

4、遍采用的认证协议，Virtual Site采用Radius 作认证服务器，需要配置相应参数及端口，当然在SPX 与Radius服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。在配置Radius认证前，先要和用户的管理员询问一些Radius服务器的情况，包括：Radius 服务认证端口，一般采用UDP 1812或者 是UDP1645，当然用户也可能使用别的端口。另外还要询问服务器使用的通信密钥。命令行为：aaa method radius authorization methodaaa radius host IP：指Radius服务器的IP地址Port：Radius服务所使用的端口S

5、ecret：SPX与Radius服务器之间使用的通信密钥Timeout：超时设定Retries：重试次数如：SP-Demo (config)$aaa method radius 2 SP-Demo (config)$aaa radius host 6 1812 radius_secret 20 3Site Configuration-AAA-Authentication-RADIUSLDAP认证服务配置LDAP 是一种轻型目录访问协议，具有结构清晰，查找速度较快的特点。Virtual Site 采用LDAP作认证，同样需要配置一些参数。所以在作此项配置之前，要先和用户的LDA

6、P 管理员作一下沟通，获得一些参数信息，并用LDAP Browser等客户端工具验证一下，把他的LDAP结构清晰化。LDAP服务一般采用TCP 389端口，基于SSL 的协议一般采用636 端口。命令行为：aaa method ldap authorization methodaaa ldap host tlsIP：LDAP服务器IP地址。Port ：LDAP 服务端口User Name：有相应LDAP Search权限的用户名Password：查找时上面用户的口令Base：从哪一级目录进行查找aaa ldap search filter LDAP查找的Search 规则，如：某属性，其中代表

7、用户在登陆SSL VPN Virtual Site输入的字符串，是参数传递。接下来配置绑定规则，可以选择动态绑定，也可以选择静态绑定，bind是指用户DN的构成规则。1动态绑定：aaa ldap bind dynamicLDAP查找时根据Complete Distinguished Name，Base 信息与search filter在上面命令种定义2静态绑定：aaa ldap bind static dn_prefix：前缀dn_suffix：后缀 一起构成了用户DN如：SP-Demo (config)$aaa method ldap 4 SP-Demo (config)$aaa ldap

8、host 6 389 cn=manager,dc=arraytsd,dc=com secret dc=arraytsd,dc=com 20 SP-Demo (config)$aaa ldap search filter cn= SP-Demo (config)$aaa ldap bind dynamicSite Configuration-AAA-Authentication-LDAPAD认证服务配置采用Active Directory 作认证服务器，需要配置相应参数及TCP端口，当然在SPX与AD服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。AD的底层也是一个L

9、DAP，所以也同样可以通过LDAP的配置方法配置他。命令行为：aaa method ad authorization methodaaa ad host 如：SP-Demo (config)$aaa method ad 2SP-Demo (config)$aaa ad host 389 “”SecurID动态口令认证配置Virtual Site 用securID认证，重要的配置工作在SecurID服务器上，详见SPX手册，在SecurID服务器上生成一个文件，将这个文件导入SPX即可，另外，SecurID认证一定要选择rank1，并且是全局生效。

10、Ace Server和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。使用SPX的默认路由所指向的interface，作为ACE Server所指定的primary interface.，如果其他端口也配置了IP地址，需要将其IP地址作为secondary interface，这样采用能够在SPX和Ace Server上正确加密数据流。命令行为：aaa securid import 如：SP-Demo (config)# aaa securid import 3/ace/ sdconf.recSP-Demo (config)$aaa met

11、hod secured authorization method一般SecurID服务器也同样支持Radius协议，如果那您把他看作Radius服务器，也可以按照Radius服务认证的方法配置他，详见前面章节。SSL VPN门户Virtual Site授权配置授权是SSL VPN的一个主要的安全功能，Array的授权机制是设置用户或组享有的特定权限，授权是和认证方法高度相关的，不同的认证采用不同的授权方法。如用LDAP 认证，可以通过LDAP服务器授权，也可以通过LocalDB 或者是Radius服务器授权。认证授权关系表认证方式可认证可授权LocalDBYYRadiusYY(需要扩展Dict

12、ionary)LDAPYY(需要扩展Schema)ADYGroup Mapping或LocalDBSecurIDYNArray SPX授权权限分为几类：授权方式授权内容可授权ACL定义了用户或组享有的权限列表SourceNet定义了登陆的原地址范围Y(需要扩展Dictionary)NetPool定义了L3VPN所使用的地址池Y(需要扩展Schema)UID, GID定义了用户使用NFS功能时用到的UID和GID信息Group Mapping或LocalDB其中最主要的授权方式是ACL。ACL分为两大类，一类规定了WRM、File Sharing的控制规则，另一类定义了ClientApp和L3V

13、PN的控制规则。一个用户登陆SSL VPN时它的权限可以通过ACL作详细的授权。Array SPX缺省是没有ACL配置的，这时所有的资源对所有的用户开放，一旦对某个用户或组配置了一个ACL，则对他需要访问的内容权限一定要显示的配置成PERMIT，否则不允许访问。对WRM 、File Sharing 生效的ACL命令行为： : AND (PERMIT|DENY)Priority：优先级Scheme: 是针对HTTP还是 File SharingHost：目标服务器，支持通配符“*”。Path：路径AND virtual ：在global mode配置时只关联到相应的Virtual Site上，在

14、Virtual Site Config 模式时，不需要此参数。如：0 http:/exchange AND intra DENY1 http:* AND intra PERMIT2 file:/demo AND intra DENY3 file:* AND intra PERMIT我们会在LocalDB授权时给出具体针对不同用户的配置方法。2针对ClientApp、L3VPN的ACL命令行为： ip :/:port AND PERMIT|DENYPriority 优先级 Protocol 针对那种IP协议，可以时TCP、UDP或protocol numb

15、er，*代表所有协议。Host_IP：目标服务器Netmask：掩码Port：端口号AND virtual ：在global mode配置时只施加在那个virtuail site ，在virtual site config 模式时，不需要此参数如：0 ip *:/ AND partner PERMIT1 ip *:/0 AND partner DENY同样，我们会在LocalDB授权时给出具体针对不同用户的配置方法。LocalDB的授权用LocalDB授权比较简单，只需对相应用户或组配置相应ACL即可。命令行为：Global 模式：l

16、ocaldb acl account localdb acl group Virtual Site 模式：localdb acl account localdb acl group 如：用户的策略SP-Demo (config)$aaa on SP-Demo (config)$aaa method localdb 1 SP-Demo (config)$localdb account test “pass“SP-Demo (config)$localdb acl account test 0 http:/exchange AND SP-Demo DENYSP-Demo (co

17、nfig)$localdb acl account test 1 http:* AND SP-Demo PERMITSP-Demo (config)$localdb acl account test 0 file:/demo AND SP-Demo DENYSP-Demo (config)$localdb acl account test 1 file:* AND SP-Demo PERMITSP-Demo (config)$localdb acl account test 2 ip *:/ AND SP-Demo PERMIT

18、SP-Demo (config)$localdb acl account test 3 ip *:/0 AND SP-Demo DENY“组的策略：localdb netpool group 地址池分配localdb sourcenet group 登陆原地址限制很多种认证方法都可以通过LocalDB授权，不过这时一般需要用户名一一对应。如采用LDAP认证，LocalDB授权，要求LDAP服务器上的帐号和LocalDB上的帐号对应，如果LocalDB上没有这个帐号，需要用Default Group 作在LocalDB上没有的帐号的授权。如：SP-Demo (config)$aaa

19、 on SP-Demo (config)$aaa radius accounting off SP-Demo (config)$aaa method ad 1 localdbSP-Demo (config)$aaa ad host 1 389 SP-Demo (config)$aaa localdb group default arraygroupSP-Demo (config)$aaa localdb authorization usedefaultLDAP服务器的授权如果您使用LDAP认证，缺省是采用LDAP服务器作授权，即将ACL作为LDAP

20、服务器用户的相应属性来进行授权，这时需要扩充LDAP的schema。如果您的认证服务器和LDAP授权服务器不是一台机器，那您需要单独配置LDAP授权服务器。LDAP授权命令行为：SP-Demo(config)$aaa method ldapSP-Demo(config)$aaa ldap authorize host tls具体参数概念参见上一章中LDAP认证部分。SP-Demo(config)$aaa ldap authorize search filter 具体参数概念参见上一章中LDAP认证部分。然后主要的任务是配置LDAP服务器，首先扩充LDAP服务器的schema，然后配置需要授权用

21、户的ACL属性赋予相应的权限。我们以OpenLDAP为例叙述过程，一般需要在slapd.conf中加入include文件：included:/openldap/etc/schema/core.schemaincluded:/openldap/etc/schema/inetorgperson.schemaincluded:/openldap/etc/schema/array.schema然后在相应目录下放置array.shema文件，内容如下：#Array extended schema ,added by wuyuepeng# ArrayNetworks Schema# case sensti

22、ve url prefix ie *./marketingattributetype ( .4.1.7564.1000.1NAME accepturlDESC accept url exprerssionSYNTAX .4.1.14.26 )# accepted source network addresses# of the form network/mask eg /attributetype ( .4.1.7564.1000.2NAME sourcen

23、etDESC Source Network ip/maskSYNTAX .4.1.14.26 )# case senstive network pool nameattributetype ( .4.1.7564.1000.3NAME netpoolDESC network pools for L3 VPNSYNTAX .4.1.14.26 )#Array User inhearts from inetOrgPerobjectclass ( .4.1.7564.1000NAME ArrayU

24、serDESC Array Appliance Network UserSUP topAUXILIARYMAY ( accepturl $ sourcenet )# Borrow the accepturl and sourcenet from ArrayUserobjectclass ( .4.1.7564.1001NAME ArrayGroupDESC Array Appliance Network GroupSUP topAUXILIARYMAY ( accepturl $ sourcenet $ netpool )然后在用户的相应属性增加相应的权限即可：如：在accept

25、url属性赋值为一个ACL：0 http:/exchange AND SP-Demo DENYRadius服务器的授权同LDAP授权一样，如果您使用Radius做认证，缺省是采用Radius服务器作授权，即将ACL作为Radius服务器用户的相应属性来进行授权，这时需要扩充Radius的Dictionary。如果您的认证服务器和Radius授权服务器不是一台机器，那您需要单独配置Radius授权服务器。Radius授权命令行为：SP-Demo (config)$aaa method radiusSp-Demo (config)$aaa ldap authorize host

26、 具体参数概念参见上一章中Radius认证部分。然后就是扩充Radius服务器的Dictionary，将ACL的属性定义加进去，进而配置用户的相应属性进行ACL授权。扩充的Dictionary文件内容如下：#Array Networks#/# borrowed from snmpd, may lead to trouble laterVENDORArray-Networks 7564# Array Netorks ExtensionsATTRIBUTE Accept-Acls 1 string Array-NetworksATTRIBUTE

27、 SourceNets 2 string Array-NetworksATTRIBUTE memberUid 3 integer Array-NetworksATTRIBUTE memberGid 4 string Array-NetworksATTRIBUTE NetPool 5 string Array-Networks然后在用户的相应属性增加相应的权限即可：如某用户的相应属性：Foo Auth-Type = Local, Password = “foobar”Accept-Acls = 0 http:*/ AND all PERMIT,SourceNets = “/”uidNumber = 2063,gidNumber = 1000 1020 2300Group Mapping 授权方式有的用户用Radius、AD、LDAP认证，他们又不想修改这些服务器，加上Array的授权属性。这时我们可以抓取这些服务器的组信息放到LocalDB上，将这些认证服务器的组映射到LocalDB的相应组进行授权。首先要找到Radius、AD、LDAP那个属性是他的组属性，然后当这个属性等于某个值时映射到