西安橙乐移动云接入平台管理员手册样本

移动云管理员手册V3.3

声明本文内容是橙乐移动云管理（如下简称SGA）平台配备。文中资料、阐明等有关内容版权归西安橙乐信息技术有限公司所有和保存。本文中任何某些未经西安橙乐信息技术有限公司（如下简称橙乐）允许，不得转印、影印或复印、发行。本手册仅作为操作使用手册，手册里包括所有内容不提供任何明示或者暗示担保。本手册只作为SGA3.0版本使用阐明，如需获取其他版本使用手册，请联系服务部获取有关文档。解决方案中所谈及科技产品名称是橙乐商标。方案中涉及其她公司注册商标属各商标注册人所有，恕不逐个列明。道谢感谢你使用橙乐产品和使用手册，如果你在使用过程中对咱们产品和手册有任何建议或者意见，都可以通过电话、QQ或者邮件形式反馈给咱们。咱们将不胜感激！联系信息办公地址：西安市经济技术开发区凤城九路海博广场C座10层11005室产品征询热线：售后服务电话：邮箱：邮编：710000 -©版权所有西安橙乐信息技术有限公司

本手册以系统版本为例，在win7、IE9状况下进行配备、演示。不同版本SGA在后台配备会稍有不同。如有任何疑问，请征询科技售后获取技术支持。本文商定：描述代替符号举例菜单栏【】应用发布按钮简化成【应用发布】持续菜单栏→快捷菜单下快捷配备简化成【快捷菜单】→【快捷配备】按钮加粗并加上边框拟定按钮简化成拟定输入栏‘’如基本配备IP地址简化成‘IP地址’单选框或复选框『』如网络设立接入方式选项简化成『接入方式』弹出对话框{}更改密码—网页对话框简化成{更改密码—网页对话框}SGA后台配备中带有“*”标注为必填项。本文如看到“注：”表达需要您留意，请务必认真阅读。“移动云接入管理平台”设备在本文描述中都将以“SGA”字样代替描述。

目录25431产品简介 6235541.1概述 6131251.2客户端环境规定 262581.3管理员配备环境规定 2280912默认配备 262.1快捷菜单 4322762.1.1快捷配备 4246992.2应用发布 13290592.2.1CAB应用 13121932.2.2TCP应用 1950762.2.3IP应用 21299602.2.5移动视频资源 29111872.2.4单点登录 30117222.2.5IBOX云盘 33221302.2.6应用有关配备 36113002.3顾客管理 39263012.3.1系统顾客 39173662.3.2系统顾客组 4515552.3.3导入/导出顾客 48292322.3.4顾客注册审批 5559012.3.5在线顾客 57101912.3.6登录历史记录 5817052.3.7顾客有关配备 58187272.3.8管理员账户 60279662.4认证与方略 63256542.4.1登录方略 6391562.4.2认证服务配备 66197502.4.3客户端方略 82226702.4.4移动IP过滤 8283552.5证书中心 82180922.5.1CA配备 82251312.5.2生成证书 8334712.5.3证书列表 86239792.5.4证书申请审批 86211642.5.5证书吊销 87284442.5.6在线证书状态服务 88258882.6VPN 88102462.6.1IPSEC 8870882.6.2PPTP 94189562.6.3网对网配备 97101402.7网络配备 9917772.7.1基本配备 99110272.7.2路由配备 103147792.7.3SNMP配备 10562252.7.4DHCP服务器 105107062.7.5防火墙配备 106180982.7.6网络测试 109123792.8系统管理 110218122.8.1系统配备 11064272.8.2页面定制 113282292.8.3消息公示 11591142.8.4双机配备 116242742.8.5备份/恢复 117282722.8.6系统升级 118171352.8.7关机重启 12196922.8.8日记中心 12233473附录 12494163.1串口下设立阐明 124289223.2双机热备功能配备阐明 1281产品简介1.1概述我公司作为国家密码管理局批准商用密码产品生产定点单位和销售允许单位，推出了自主研发移动云产品。当前，手机上应用还是很有局限性，应用软件供应商很难在智能手机上开发其应用系统，如果想把WINDOWS平台上应用软件移植到智能手机上，还存在诸多技术上难度，底层支持，浏览器支持，兼容性等问题非常明显，移动云应用平台给出了较好解决方案，它借由客户端去访问互联网上应用服务器资源，它既能充分运用手机便携性，续航时间和通信能力等众多天生优势，又不规定其具备较高数据解决、计算和存储能力。一方面，运用远端“云计算”高速解决能力来解决手机解决能力低下问题；另一方面，运用“云存储”则可以解决手机存储能力局限性问题。移动云软件具备在任何地点、向任何顾客交付任何应用能力。它给将基于云资源交付给顾客，通过这个应用集中管理平台，不断优化顾客应用性能和安全性，以应对不断变化工作负载需求和基本架构可用性。从而使手机顾客可以轻松访问其授权应用和程序，可以提供足以媲美本地PC丰富、完整顾客体验。移动云软件普通布置方式如图1所示。图SEQ图\*ARABIC11.2客户端环境规定移动终端推荐使用操作系统：android2.3及以上，IOS4.3及以上。PC推荐使用操作系统：windowsxp/win7/win81.3管理员配备环境规定推荐使用浏览器：IE7，IE8，IE9，IE102默认配备SGA默认在eth0口和eth1口设立了IP。eth0口：54/24，eth1口：54/24。SGA后台管理端口默以为：4433，前台登录端口默以为：443。现将设备eth1口接入到网络中，则你电脑也要配备一种192.168.1.X/24网段IP，保证SGA与电脑室相通。打开IE浏览器，输入SGA后台管理地址：:4433，则会看到图3登录界面。图SEQ图\*ARABIC3‘管理员’输入：admin，‘密码’输入：111111，这是设备默认管理员密码。登录成功后，如图4所示：左边为模块区，点击每个模块都会进入相应模块配备界面。上部为标题栏，能看到系统信息、修改密码、退出按钮，点击系统信息看到就是图4界面，点击修改密码可以修改管理员密码，默认是最低6位，且必要具有字母、数字、特殊字符。退出，退出后台配备界面。图SEQ图\*ARABIC42.1快捷菜单可对初次使用系统进行最简配备，实现系统基本可用。2.1.1快捷配备快捷配备里面涉及6个选项卡，分别是【网口配备】，【DNS配备】，【动态域名】，【允许配备】，【时间配备】，【证书配备】，如图5所示。图SEQ图\*ARABIC5【网口配备】：通过点击相应网口编辑按钮，可修改该网络接口接入方式、IP地址、掩码、默认网关、MTU值、线路权重，也可配备各种虚拟IP地址（即一种网口绑定多IP地址）。如图6所示：图SEQ图\*ARABIC6『接入方式』项中，支持3种接入线路方式：静态IP，DHCP，PPPOE。只有静态IP接入方式可配备虚拟IP（即一种网口绑定多IP地址）。只有静态IP和PPPOE接入方式可配备线路权重。“静态IP”，选取接入方式为“静态IP”时，看到图7界面，可以对设备接口配备静态IP、掩码和网关。MTU值请保持默认，勿容易修改。图SEQ图\*ARABIC7“DHCP”模式：设备动态获取IP地址，不用手工分派（不建议采用这种方式）；“PPPoE”：将设备当网关直接接入到互联网，拥有一条拨号宽带线路，就可以拨号上网，填写由运营商为你提供账户密码登陆，见图8。图SEQ图\*ARABIC8‘线路权重’：即线路负载均衡，只在有多条线路上网时起作用，该值针对内网通过设备上网顾客，调节本线路占整体比重，值越大比重越大。详细举例阐明：如eth0为PPPOE拨号上网线路，线路权重设立为3，eth1也为PPPOE拨号上网线路，线路权重设立为7，可理解为2条线路带宽看作一种整体值：10，eth0占整体30%，eth1占整体70%，即内网顾客通过设备上网，数据流会从这2条线路分别出去，30%数据会走eth0出去，70%数据会走eth1出去。这一说法只是一种大概数据流分派走向，详细不会有那么精准。【DNS配备】：配备DNS服务器IP地址，使设备能正常解析域名，如图9：图SEQ图\*ARABIC9【动态域名】：页面如图10所示，系统默认内置了希网和花生壳2个免费域名客户端。图SEQ图\*ARABIC10如下以希网网络（.com）域名为例：图SEQ图\*ARABIC11‘顾客账号’：希网网站上，您申请域名所登录有效账号；‘登录密码’：希网网站上，您申请域名所登录账号密码；‘描述’：可不填；『绑定接口』：绑定一种可以连接外网设备接口；‘动态域名’：您将绑定在设备上有效域名；‘更新频率’：设立系统将每几分钟去更新该域名所相应设备公网IP地址；『自动启动』：勾选上启用后，系统每次启动将自动启动该域名客户端；提交后，如需要立即启用该域名客户端，需要在返回页，操作项下点击启动。花生壳（.net）域名配备如下：图SEQ图\*ARABIC12‘顾客账号’：花生壳网站上，您申请域名所登录有效账号；‘登录密码’：花生壳网站上，您申请域名所登录账号密码；‘描述’：可为空；『绑定接口』：绑定一种可以连接外网设备接口；‘Web服务地址’：花生壳Web服务地址，可不做修改；‘DDNS服务器’：花生壳DDNS服务器地址，可不做修改；『自动启动』：勾选上启用后，系统每次启动将自动启动该域名客户端；提交后，如需要立即启用该域名客户端，需要在返回页，操作项下点击启动。图SEQ图\*ARABIC13注：请勿在无技术人员状况下，随意修改‘序列号’里信息。【时间设立】：默认自动同步时间，如时间不对，需要手工同步系统时间，如下图14：图SEQ图\*ARABIC14注：在配备时间服务器同步之前，请确认您设备与外网是连通，并且配备了有效DNS。【证书配备】选项卡出厂时，设备上有一套自建证书文献，涉及CA根证，服务器证书，证书销毁列表，可进入CA配备页面查看证书信息，如图15：顾客可以不修改此证书，直接使用。设备支持多CA认证（三个CA），还可以在此配备其他CA信息。图SEQ图\*ARABIC15顾客如果要修改证书，可点击更新CA配备，进入如下界面：注意：在配备证书时候，请务必先在【系统管理】→【系统配备】→【时间设立】里，将时间设立精准。证书创立方式分两种：一、自建证书，二、导入第三方签发证书。咱们选取『自建证书』，顾客只要填写好下面信息，点提交，系统便可依照您提交信息生成CA根证书。图SEQ图\*ARABIC16CA根证书生成后，会自动跳转到服务器证书生成界面，如图17：图SEQ图\*ARABIC17顾客填写好需要填写信息，拟定后，将会自动重启系统服务，顾客可刷新页面重新回到CA配备页面，可查看到您刚才生成证书信息，自建证书生成将会自动为CA根证生成证书销毁列表。注：自建CA和自建服务器证书必要一气呵成，该次自建证书生成才会有效。如果顾客有自己一套证书，也可以在系统上导入自己证书，选取导入第三方签发证书浮现如下界面：系统支持X509，P12，P7B格式根证书导入，注意：根证书只有导入私钥文献，才干在系统里面证书生成页面生成顾客证书。如果不需要通过系统生成、签发与导入CA根证匹配顾客证书，可不导入根证书私钥。服务器证书导入支持X509和P12格式，服务器证书可不导入。需要注意是：服务器证书一定要是上面导入根证书签发。特别注意：服务器私钥文献不支持WINDOWS系统证书机构下生成.pvk格式文献，您可以在WINDOWS系统证书机构生成一种P12格式服务器证书导入到系统里面。如果是WINDOWS下生成服务器证书，请在生成证书时候，选取类型为“服务器证书”，客户端证书类型是不能在此作为服务器证书导入。‘证书销毁列表配备’可不做配备，如果顾客需要导入证书销毁列表，需要注意是：该证书销毁列表一定要与上面导入服务器证书和CA根证书相匹配，并且证书销毁列表生成时间不能过期，否则系统将会提示导入第三方证书不成功。如果顾客导入根证书是带私钥，提交后，系统为该CA根证书生成证书销毁列表。图SEQ图\*ARABIC182.2应用发布2.2.1CAB应用CAB应用里面涉及4个选项卡，分别是【CAB应用发布】、【CAB应用分组】、【CAB服务器】、【CAB服务配备】。【CAB应用发布】选项卡页面如图19所示：条件过滤，可针对已经发布CAB应用资源，依照名称，描述，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC19添加/配备CAB应用资源，点添加后，浮现图20、21配备界面（分为基本信息、通用配备、PC端配备和移动客户端配备。可以依照需要选取相应选项配备后使用）：图SEQ图\*ARABIC20图SEQ图\*ARABIC21基本信息‘名称’：CAB应用资源在系统和顾客界面显示名称。‘描述’：可为空。‘排序优先级’：值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。『启用』：与否启用该资源。通用配备是PC端和移动云客户端使用时都必要配备选项如下：通用配备『应用账户』：可以采用“使用登录设备账号”和“设立默认账号”“使用登录设备账号”：如选取这一项，表达应用账户直接使用SGA设备内账户进行登录，此种状况下需要iCylanAPP在相应服务器自动创立相应具备远程桌面登录权限账号进行匹配使用，顾客会自动登录相应CAB应用资源。此种办法，Windows登录和SGA前台共用一套账号和密码。 “使用默认账号”：如选取这一项，表达应用账户可以使用终端服务器上具备远程桌面登录权限账号自动登录使用。‘登录域’：如果发布cab服务器是域中心服务器或者是已经加入域服务器，需要填写域名。‘登录后工作目录’：登录CAB应用后启动程序工作目录。‘登录后启动程序’：登录CAB应用后启动执行程序名。『中断会话保持』：远程连接中断时将会话保持，可设立为：不保持、始终保持和设定保持时长。『图标』：该资源在客户端显示图标。自定义图标可在【应用发布】→【应用有关配备】→【图标管理】模块页面上传。PC端配备，配备后只合用于登录PC前台顾客使用，如下：『使用方式』：CAB应用所走隧道方式。有TCP，IP，内网方式三个选取项。『与否隐藏』：勾选后，在顾客有权限访问该资源状况下，顾客登录前台将不会显示该资源。『与否自动弹出』：即一登录进移动云PC前台页面，立即弹出该应用页面，不用顾客手工点击。移动客户端配备，配备后只合用于登录移动客户端顾客使用，如下：‘工作目录1,2,3’：登录CAB应用后启动程序工作目录。‘启动程序1,2,3’：登录CAB应用后启动执行程序名。上述两项配备后，在移动云客户端可以同步启用各种应用程序『关联SSO』：关联相应SSO（单点登录）资源，再配合科技iCylanAPPServer使用。可以直接用手持终端登录SSO资源，第一次输入顾客名和密码后，后来访问无需再次输入即可登录使用。『强制使用服务器配备』：强制使用在SGA后台配备辨别率等信息。『关联CAB服务器』：CAB资源关联到各种CAB服务器后，自动启用服务器负载均衡应用必要要关联CAB服务器！CAB服务器需要在【CAB服务器】选项卡中配备后才干显示，并且CAB负载均衡根据是:网络运用率/CPU使用率/内存使用率，不包括登录顾客数）【CAB应用分组】选项卡：将各种应用分到一种指定组，在前台访问后，应用会在一种分组里。图SEQ图\*ARABIC22【CAB服务器选项卡】页面如图23所示：图SEQ图\*ARABIC23只有在此处添加了CAB服务器后，CAB应用发布页面中『关联CAB服务器』栏才有相应信息浮现。并且必要要添加CAB服务器才干正常使用CAB应用。添加/配备CAB服务器，点添加后，浮现如下配备界面：图SEQ图\*ARABIC24基本信息‘名称’：在CAB应用发布页面中“关联CAB服务器”栏显示服务器名称。‘描述’：可为空。『启用』：与否启用该资源。通用配备‘CAB服务器地址’：要发布CAB应用服务器IP地址。‘iserver端口’：iserver侦听端口，默认是19221端口PC端配备『共享打印机』：选取与否共享顾客打印机，分别有3个选取项：共享所有，共享默认，不共享。『使用WINDOWS组合键』：有在远程计算机上，在本地计算机上，在全屏模式下三种选项。本地设备映射（PC端）将本地电脑磁盘映射到服务器，可以实现远端文献保存到本地【CAB服务配备】选项卡,如图27所示：图SEQ图\*ARABIC25『配备信息』：同步本地顾客账号到CAB服务器（启动后，设备上顾客将自动同步到CAB服务器上）、同步顾客账号时不带前缀（如遇同名账号，CAB服务器上原账号密码会被代替），并且在【顾客管理】→【系统顾客】→【系统顾客】选项卡中会显示同步所有按钮，如图28：图SEQ图\*ARABIC26也可以通过此处，把所有SGA顾客一次性同步到iserver服务器上。2.2.2TCP应用条件过滤，可针对已经发布TCP应用资源，依照名称，描述，地址类型，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC27添加/配备TCP隧道资源，点添加后，浮现如下配备界面：图SEQ图\*ARABIC28基本信息‘名称’：TCP隧道资源在系统和顾客界面显示名称。‘描述’：可为空。‘排序优先级’：值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。『启用』：与否启用该TCP隧道资源。配备参数『地址类型』：有IP地址或域名，网段，子网三个选项。选取不同地址类型，下面将会有相应填写项出来。如果选取地址类型为“IP地址或域名”，则会浮现‘合同类型’、‘IP地址或域名’、‘URL’输入框；如果选取地址类型为“网段”，则会浮现‘起始IP’、‘结束IP’、‘端口方式’输入框；如果选取地址类型为“子网”，则会浮现‘主机号’、‘子网掩码’、‘端口方式’输入框；『合同类型』：只有在地址类型选取IP地址时候，才有合同类型选取，共有10项可供选取：http，ftp，smtp，pop3，imap，RDP，Telnet，SSH，https，others。注意：只有发布合同类型为http、https或ftp，顾客前台显示才会是个可直接点击链接。『IP地址或域名』：应用服务器IP地址或域名。注意：如填写域名，一定要在客户端域名配备页配备，顾客才干正常使用。‘目录’：该项只在合同类型选取http、https、ftp时显示。在发布http、https和ftp链接有后缀时用。格式为：/news/a.html。『端口方式』：有单个端口，端口区间，端口序列三个选取项。‘端标语’：依照端口方式选取，可填写单个、一段持续、或不持续端口。『与否隐藏』：勾选后，在顾客有权限访问该TCP应用资源状况下，顾客登录前台将不会显示该TCP隧道资源。『与否自动弹出』：即一登录进页面，立即弹出该应用页面，不用顾客手工点击。仅限IE形式和资源管理器形式打开页面。『图标』：该资源在前台显示图标。自定义图标可在【应用发布】→【应用有关配备】→【图标管理】模块页面上传。当前TCP应用已经支持在客户端上访问。2.2.3IP应用条件过滤，可针对已经发布IP隧道应用资源，依照名称，描述，地址类型，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC29添加/配备IP应用资源，点击添加后，弹出如下配备界面：图SEQ图\*ARABIC30基本信息‘名称’：IP隧道资源在系统和顾客界面显示名称。‘描述’：可为空。‘排序优先级’：值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。『启用』：与否启用该IP隧道资源。配备参数『地址类型』：有IP地址或域名，网段，子网三个选项。选取不同地址类型，下面将会有相应填写项出来。如果选取地址类型为“IP地址或域名”，则会浮现‘合同类型’、‘IP地址或域名’、‘URL’输入框；如果选取地址类型为“网段”，则会浮现‘起始IP’、‘结束IP’、‘端口方式’输入框；如果选取地址类型为“子网”，则会浮现‘主机号’、‘子网掩码’、‘端口方式’输入框；『合同类型』：只有在地址类型选取IP地址时候，才有合同类型选取，共有10项可供选取：http，https，ftp，smtp，pop3，imap，rdp，Telnet，SSH，smb，other。注意：只有发布合同类型为http、https、ftp，smb，顾客前台显示才会是个可直接点击链接。‘IP地址或域名‘：应用服务器IP地址或域名。如填写域名在【网络配备】→【客户端域名解析】页面找不到相应项，在提交完这个IP资源配备后，将自动弹出客户端域名解析配备页面，管理员填写好后拟定即可。注意：一定要在客户端域名解析配备页配备该域名和IP相应关系，顾客才干正常使用。目录：该项只在合同类型选取http，https、ftp，smb时显示。在发布http、https、ftp，smb应用链接有后缀时用。格式：http、https、ftp，smb格式例如:/news/a.html；文献共享格式例如：\software。『端口方式』：有单个端口，端口区间，端口序列三个选取项。‘端标语’：依照端口方式选取，可填写单个、一段持续、或不持续端口。『与否隐藏』：勾选后，在顾客有权限访问该IP应用资源状况下，顾客登录前台将不会显示该IP隧道资源。『与否自动弹出』：即一登录进PC前台页面，立即弹出该应用页面，不用顾客手工点击。仅限IE形式和资源管理器形式打开页面。『图标』：该资源在前台显示图标。自定义图标可在【应用发布】→【应用有关配备】→【图标管理】模块页面上传。【隧道服务配备】选项卡，可配备IP隧道模式和虚拟网络以及选取与否启用全隧道模式。隧道应用有三种工作模式：1、NAT模式，2、路由模式，3、网桥模式。NAT模式下，会将客户端源IP转换为设备分发虚拟IP地址与服务器通信，如图33所示；图SEQ图\*ARABIC31路由模式下，不会变化客户端源IP地址，需要在服务器端做个路由，即到客户端虚拟网络IP包走咱们设备接口出去，如图34所示；图SEQ图\*ARABIC32网桥模式下，客户端直接分派与设备接口同网段IP地址，系统这时将是透明模式（类似互换机），客户端直接用分派内网IP地址与服务器通信，如图30所示；图SEQ图\*ARABIC33注：NAT和路由模式下建议该虚拟网络不要跟客户端网络和服务端网络同样，以免导致IP地址冲突。掩码书写一定要与虚拟网络处填写网络号相应，否则将无法保存，提示掩码错误。网桥模式IP地址范畴一定要跟网卡IP地址在一种网段，并且是内网没有使用过IP段。NAT模式和路由模式都需要在隧道路由配备页面配备与设备同网段路由规则，该路由是下发到客户端；网桥模式可不配备客户端路由，仅在咱们设备端有多网段状况下才需要配备；注：网桥模式下，您会在【网络配备】→【基本配备】→【网络接口】信息里面看到相应设备接口地址消失了。启用全隧道模式后，会浮现短时间断网现象，连接后，所有客户端访问都走隧道出去。（注意：当前版本需要配备隧道路由）【隧道路由】选项卡，通过隧道接入客户端，如果需要访问某个网段里服务器，需要在这里添加相应路由配备。如果您在虚拟网络配备页面里面配备是NAT模式或路由模式，则需要在这里配备客户端路由，涉及设备自身所在网段，如需要访问设备自身所在网段，需要把该网段路由发布出来。如果是单一网络构造，即咱们设备端只有一种网段，在网桥模式下，则不需要配备客户端路由。如图36所示：图SEQ图\*ARABIC34添加/配备隧道路由，点添加后，浮现如下配备界面：图SEQ图\*ARABIC35【虚拟IP导出/绑定】选项卡。如图38所示：图SEQ图\*ARABIC36在此页面可以先导出虚拟IP列表，按照列表格式编辑新虚拟IP列表。注：若导入文本中包括中文字符，需转换为UTF-8格式文本文献。只有私有顾客才拥有手动设立虚拟ip功能。图SEQ图\*ARABIC37【虚拟IP列表】选项卡。如图40所示：在此页面可以先显示虚拟IP列表，并对相应虚拟IP进行绑定或解除绑定。图SEQ图\*ARABIC382.2.5移动视频资源 在移动端可以将摄像头视频资源发布出来，供实时查看。基本信息‘名称’：移动视频资源在系统和顾客界面显示名称。‘描述’：可为空。‘排序优先级’：值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。『启用』：与否启用该IP隧道资源。配备参数‘URL地址’：视频资源地址。『与否隐藏』：勾选后，在顾客有权限访问该IP应用资源状况下，顾客登录前台将不会显示该IP隧道资源。『与否自动弹出』：即一登录进PC前台页面，立即弹出该应用页面，不用顾客手工点击。仅限IE形式和资源管理器形式打开页面。『图标』：该资源在前台显示图标。自定义图标可在【应用发布】→【应用有关配备】→【图标管理】模块页面上传。图SEQ图\*ARABIC392.2.4单点登录单点登录使用是需要您自身能访问该单点登录所发布资源前提下使用，即您要能通过自身网络，TCP应用或者隧道应用下能访问到该资源，才干正常使用单点登录打开您所要访问系统。这里着重简介【助手配备】模块，模板配备与助手配备原理相通，如需要配备单点登录，建议使用【助手配备】完毕。【助手配备】模块一方面你需要下载助手配备助手，可以在【单点登录】→【助手配备】页面点击下载配备助手下载，录制好有关应用相应XML文献。在下载助手工具中会有详细操作阐明。图SEQ图\*ARABIC40添加/配备助手配备资源，点添加后，浮现图41配备界面：图SEQ图\*ARABIC41基本信息‘资源名称’：助手配备资源在系统和顾客界面显示名称。‘描述’：可为空。‘排序优先级’：值越大在前台资源列表中显示位置越靠前,不填或为0则按默认排序。『与否启用』：与否启用该助手配备资源。『上传录制XML文献』：浏览选取制作好XML文献途径并选取此文献上传。『登录账号填写方式』：该方式有三种：1）顾客初次访问之前预先设立。选取该项，前台顾客第一次访问该助手单点登录资源，会弹出顾客名密码等信息录入页面，填写好后，下次再访问时，即直接用第一次录入信息登录发布系统。2）自动填写为登录此设备账户名和密码。如图38：可复选合用这样使用顾客类型。图SEQ图\*ARABIC42选取该项后，前台顾客第一次访问该助手单点登录资源，会弹出录入信息框，但是顾客不需要录入顾客名密码，只需要录入其她信息即可，填写好后，下次再访问时，即直接用登录SGA前台账户和密码来登录该单点登录资源系统。3）自动从资源认证顾客数据库获取并填写。该功能可直接从第三方数据库中取账户密码作为单点登录资源登录账户密码。如图39：该项要与下面将简介资源认证顾客数据库和资源账户关联结合使用。图SEQ图\*ARABIC43『顾客数据库』：该处选取，需要先在【资源认证顾客数据库】模块先建立数据库资源。『登录账户名关联』：此处有三项选取：手动配备关联，同名关联，自定义规则关联。可查看旁边查看阐明链接理解其使用。其中手动配备关联需要结合资源账户关联模块使用。该关联配备是将要用在单点登录资源数据库账户与SGA系统账户做关联。点击查看阐明，如图44：图SEQ图\*ARABIC44『与否隐藏』：勾选后，顾客登录前台将不会显示该助手配备资源。『与否自动弹出』：即一登录进SGA前台页面，立即弹出该应用页面，不用顾客手工点击。『图标』：该资源在前台显示图标。自定义图标可在【应用发布】→【图标管理】模块页面上传。2.2.5IBOX云盘顾客使用PC或手机客户端访问服务器时，支持从该服务器下载文献，远程打开并且支持从本地上传文献到服务器端。配备如下图45所示：图SEQ图\*ARABIC45图SEQ图\*ARABIC46『启用IBOX』：勾选后，即可启用该功能。『顾客独立配备』：未勾选话，那么所有顾客IBOX信息都是在这里配备，如果勾选，那么IBOX信息会在【顾客管理】→【系统顾客】→【系统顾客】看到图47配备界面。『IBOX云打开主机』：IBOX打开远程文献调用服务器地址。图SEQ图\*ARABIC47『存储系统类型』：默认选取windows文献服务器。如果有专门存储文献网络文献服务器，可以选取‘IP地址’：该存储服务器内网地址‘目录’：存储上传下载文献文献夹目录。注意：windows文献服务器目录格式：\share\doc，网络文献服务器目录格式：/share/doc‘顾客名’：能访问到该服务器顾客‘密码’：能访问到该服务器顾客相应密码‘登录域’：如果要登录该服务器域则填写该服务器登录域状态：显示绿色字体已挂载则表达到功挂载了ibox，红色字体未挂载则表达没有成功挂载ibox。以上信息配备好后，使用手机客户端登录前台地址，例如以ipad为例，在服务器地址栏输入,顾客名密码输入demo/111111，登录进入资源列表后，选取【文献中心】，如下图所示：图SEQ图\*ARABIC48注：如果在移动云管理平台没有配备相应信息或者未授权使用该功能，该手机客户端ibox页面将不会显示任何信息2.2.6应用有关配备涉及【图标管理】，【内网主机】，【内网域名服务器】三个选项卡，为了配合配备隧道应用使用，如图49所示：图SEQ图\*ARABIC49【图标管理】选项卡，会内置某些应用图标在设备里，以便使用。可以自由添加符合尺寸规定图片。内置图标如图46所示：图SEQ图\*ARABIC50【内网主机】和【内网域名服务器】两个选项卡，重要实现功能：应用发布里面如发布资源以域名形式发布，需要配备此项。如下几种状况配备办法：1）服务器端内部有DNS服务器，客户端在连进咱们设备后需要由该DNS服务器来解析有关域名；或者管理员指定某个域名相应某个IP地址，客户端在连进咱们设备后，需要通过这个域名访问准拟定位到固定服务器。这时只需要在该页面下把内部DNS服务器地址填写上即可。2）接入网络没有内部DNS服务器，只需要将固定域名相应固定IP状况下。这时需要在该页面下把咱们设备本机地址填写上，即，然后到【网络配备】→【基本配备】→【主机解析】选项卡下配备IP与域名相应关系即可。3）如应用发布里面资源是发布外网域名地址，如，同样也需要配备该页面，只需要将公网DNS服务器地址填写上即可，由于所有发布资源，无论内外网资源，只要是顾客通过前台访问，都会走隧道去访问，不会走顾客本地网络。【内网主机】选项卡如下图：条件过滤，可针对已经发布资源，依照主机名称，IP地址，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC51点击添加，出来图52界面，配备主机名称，IP地址、选取。图SEQ图\*ARABIC52‘主机名称’：顾客要访问域名或者主机名称；『类型』：固定IP类型即给上面主机名称相应一种固定IP地址，该IP地址在下面IP地址项填写；DNS解析类型即把上面主机名称解析工作交由DNS服务器做，然后把解析后主机名称和IP地址相应关系下发到客户机，DNS服务器指定可在“客户端域名服务器“或【网络配备】→【基本配备】→【域名服务器】下配备，如果这两个地址均有配备域名服务器，对于客户端主机名称解析，客户端域名服务器优先级高于【基本配备】→【域名服务器】。‘IP地址’：只在类型选取为固定IP地址时填写，在客户机上，该IP地址将相应上面配备主机名称被写入客户机hosts文献里面。『启用』：与否启用该资源。【内网域名服务器】页面如图53：该配备页必要与内网主机配备结合使用。图SEQ图\*ARABIC53『配备客户端域名服务器』：勾选该项，将启用客户端域名服务器。‘首选DNS服务器’：勾选上配备客户端域名服务器后，该项为必填项，填写DNS服务器IP地址。‘备用DNS服务器’：选填项，填写备用DNS服务器IP地址。2.3顾客管理2.3.1系统顾客条件过滤，可针对已经存在系统顾客，依照名称，所属顾客组，顾客类型，认证类型，真实姓名，描述，证书序列号，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC54点击添加，浮现图55、56界面：图SEQ图\*ARABIC55图SEQ图\*ARABIC56顾客基本信息‘顾客名’：顾客登录前台登录名称。‘真实姓名’：可为空。‘E-Mail’：该项需要在【认证与方略】→【认证服务配备】勾选启用邮箱认证服务才会浮现。‘描述’：可为空‘账号期限’：账号可以使用有效年限。默认是当前时间+，顾客在该期限内可以正常使用，超过该期限，帐号为过期状态，顾客无法用该帐号登录。『账户选项』：勾选“启用该顾客”，该帐号为启用状态，可以正常使用，没有勾选，该帐号为禁用状态，顾客无法使用该帐号。勾选“私有账户”，新建顾客默认勾选。即同一时间，该账户只能一种顾客登录，除非在【认证与方略】→【登录方略】勾选『容许私有账户重复登录』后，才容许私有顾客也能同步多终端登录。匿名账户选项需要在【认证与方略】→【登录方略】下，勾选『匿名访问方略』项才会浮现。认证方略『顾客类型』：该处能选取顾客类型共有7个，除本地顾客外，别的类型需要勾选【认证与方略】→【认证服务器】配备下有关认证服务才会浮现。在此浮现6种顾客类型有：本地顾客，LDAP顾客，RADIUS顾客，数据库顾客，HTTP顾客，本地令牌认证顾客，手机令牌认证顾客。『认证选项』：有顾客名/密码和数字证书两个复选框，都勾选后，会显示『认证方式』――同步使用（顾客登录时必要同步使用顾客名/密码认证和数字证书这两种认证方式才干认证通过）、任选一种（顾客可任意选取使用顾客名/密码认证和数字证书中一种）『辅助认证方式』：可灵活选取与否启用硬件特性码绑定、短信验证和令牌认证等功能。勾选启用硬件特性码绑定选项后，在下面『认证信息』框中会有“登录硬件特性码”绑定信息显示。认证信息：『密码和确认密码』：是顾客名/密码认证方式要使用密码『选取证书类型』：作为数字证书认证证书选取类型，可选取X509证书和P12证书这两种证书类型其他配备：‘TCP限速’：该功能可限制该顾客每次登录前台资源访问页面使用隧道流量，仅限TCP合同流量。(单位:KB/s,为0表达不限制)『TCP流量总量限制』：该功能项可按照每日，每周，每月来限制该顾客使用隧道总TCP合同流量。‘登录硬件特性码’：如果顾客所属组勾选使用机器码绑定方略，则顾客初次登录时，系统会自动采集顾客电脑上CPU，网卡等信息来生成唯一标记该电脑特性码并自动绑定。绑定后，持有这个特性码相应电脑，平板或者手机才干使用这个账户进行登录。该功能使用阐明：第一次配备时，管理员只需在系统顾客组把绑定硬件特性码勾上即可。顾客在第一次成功登录后，设备会相应登录顾客记录下第一种使用该账户登录电脑特性码信息到缓存区，当硬件特性码发生变化时，可以保存，但需要审批才干使用新硬件特性码登录。‘虚拟IP’：私有账户默认启动该功能。该项需要与IP隧道结合使用，即在使用IP隧道资源时分派虚拟IP地址可以给每个顾客绑定固定虚拟IP地址。为了防止IP地址冲突，绑定虚拟IP顾客都强制为私有账户。并且管理员在配备时一定要注意不要把IP段第一种地址分派给任何顾客（如），由于第一种虚拟IP地址将给设备使用。同步也要注意一种顾客相应一种固定虚拟IP，相似虚拟IP地址不要绑在不同顾客上。虚拟IP地址范畴参照你在隧道服务配备页配备虚拟网络，在配备顾客时也有相应阐明及检查。『使用组时间方略』：勾选此项后，该顾客登录时间将采用她所在组时间登录所属站点。如果该顾客加入了各种组，时间方略为所有组时间叠加后时间。『自定义开放时间』：如果勾选上面“使用组时间方略”，该项将消失，反之，顾客将使用自己时间方略登录所属站点。“远程顾客组”：新建/编辑系统顾客或者点同步所有按钮，可以把系统顾客自动同步到iserver服务器上去，意思是会在iserver服务器中创立一种以SGA_加相应系统顾客名命名顾客。可以依照需要选取加入RemoteDesktopUsers,Administrators，PowerUsers，Users一种或各种组内。默认添加到RemoteDesktopUsers组。所属顾客组：从左边选取顾客需要加入组，添加到右边。如果顾客所在顾客组被禁用了，则顾客登录到前台，将无法看见和使用该顾客组任何资源。添加系统顾客成功后可以如下所示：（以添加CABTest顾客为例）图SEQ图\*ARABIC57可在图57所示页面对CABtest账户进行编辑，查看，删除等操作。登录记录按钮。可查看账户CABtest近来登录记录，CAB账户按钮可为CABtest账户绑定属于它CAB资源自动登录账户，前提是需要CABtest账户下有可以访问CAB资源。【批量添加顾客到组】选项，如图58。在这里，可以批量添加已有顾客到特定组，图SEQ图\*ARABIC58【顾客批量移出组】选项卡如下图所示：选取当前顾客组，在下面列表会浮现该组里面所有顾客，这时你可对该组顾客进行查看和删除动作。图SEQ图\*ARABIC59【批量修改顾客属性】选项卡如图56所示。在这里，可以批量修改顾客账号期限，启用账户选项，私有账户选项，TCP限速设立，TCP流量总量限制，硬件特性码启用选项、清除已绑定硬件特性码和清除已绑定SIM卡特性码。图SEQ图\*ARABIC60【顾客多硬件绑定管理】选项卡如图57所示。图SEQ图\*ARABIC61在这里，所有终端使用硬件特性码绑定前都需要先申请，管理员审批通过会显示硬件ID，绑定期间以及绑定状态为已绑定。未审批在记录背面会有批准按钮。图SEQ图\*ARABIC622.3.2系统顾客组条件过滤，可针对已有顾客组，依照组名，描述，组类型，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC63点击添加，出来如下界面：图SEQ图\*ARABIC64‘顾客组名’：在系统里显示顾客组名称。‘描述’：可为空。『组类型』：该处能选取组类型共有3个，除本地顾客组外，别的类型需要勾选认证管理——认证方略下有关认证服务才会浮现。在此浮现3种顾客类型有：本地顾客组，LDAP顾客组，HTTP顾客组。『RADIUS认证类型』：该处有三种认证类型，分别是：短信认证，令牌认证，证书认证。勾选有关认证后，所属组会使用该认证类型。‘开放时间’：限制该组一天内能正常访问时间段，默认是全天任何时间。原则上，顾客开放时间范畴应当在顾客组开放时间之内。『与否启用』：与否启用该组。“资源分派”：分派该组能访问应用资源。添加系统顾客构成功后可以如下所示：（以添加demo顾客组为例）图SEQ图\*ARABIC65可在图61中对demo顾客组做编辑，查看，删除操作。导入LDAP顾客组选项卡。如图62所示：图SEQ图\*ARABIC66选取相应LDAP服务器。依照组类型导入有关组。2.3.3导入/导出顾客该功能模块可从第三方数据库，LDAP服务器及文本文献中批量导入顾客到系统顾客中，同样也可以将设备中系统顾客导出到文本文献，并批量更新顾客配备信息。该模块涉及四个选项卡：【从数据库导入】，【从LDAP服务器导入】，【导入文献】，【导出/更新】。从数据库导入页面如图63：『选取数据库』：有新建数据库连接和已有数据库连接可选取。选取已有数据库连接需要一方面在【认证与方略】→【认证服务器】配备下，勾选『启用数据库认证』服务，然后在【认证服务器配备】→【数据库认证模块】中配备好有关数据库信息（详细配备请参照下面简介数据库认证页面配备阐明）。这时再到从数据库导入页面选项卡选取已有数据库连接，即可看到在数据库认证页面配备好数据库。咱们系统暂时只支持MYSQL，Oracle，Sybase和MicrosoftSQLServer四种数据库顾客导入。点击从数据库导入选项卡，配备有关选项。如下咱们以新建数据库连接为例：图SEQ图\*ARABIC67上图中选取新建数据库连接，然后数据库项再选取MicrosoftSQLServer，配备好有关信息后，可点击测试连接按钮检查数据库与否可以正常连接上，如图64：图SEQ图\*ARABIC68点测试连接，如果提示连接正常，则表达数据库与SGA连接无问题，如图65:图SEQ图\*ARABIC69点拟定，可以点击下一步进入下个阶段，如图66：图SEQ图\*ARABIC70图SEQ图\*ARABIC71上图中，顾客名相应字段和密码相应字段项中，会浮现数据库表里面所有字段选项，你只需把数据库中字段名与系统顾客字段名做个相应即可导入你想要顾客信息。可以依照顾客实际需求可以选取使用证书认证，导入真实姓名，证书序列号等，其她不需要导入项配备好后，所有顾客将使用相似配备。在导入第三方数据库顾客时，还可以字段名对顾客表中顾客进行筛选导入。从LDAP服务器导入页面如图68：要使用此功能，一方面需要在【认证与方略】→【认证服务器配备】中，勾选『启用LDAP服务器认证』，然后在【认证服务器配备】→【LDAP认证】模块页面中配备好LDAP服务器资源。做好以上配备后，可进入从LDAP服务器导入选项卡，在LDAP服务器项选取你要导入LDAP服务器。按照规定配备下面各项。其中搜索途径项，可以按照你选取按LDAP组织单位导入还是按LDAP角色组导入。如果选按LDAP组织单位导入，如下图所示。点击选取按钮自动搜索，并可在搜索完毕后弹出框中自行选取后自动填入。图SEQ图\*ARABIC72图SEQ图\*ARABIC73按照以上规定进行配备后，点击导入即可。如果选取按LDAP组（角色组）导入，如下图所示。点击选取按钮自动搜索，并可在搜索完毕后弹出框中自行选取后自动填入。图SEQ图\*ARABIC74『顾客名相应属性』：可选取顾客名属性或登录名属性。配备完相应信息，点导入即可。如果使用数据库不在咱们系统支持范畴内，或者第三方存储顾客系统不在咱们系统支持访问内，可使用文本文献导入方式来批量导入顾客信息，你只需要在其她系统中将顾客信息导出成文本文献格式，或者手工编辑顾客信息到文本文献格式即可。【导入文献选项卡】页面如图71：在导入文本文献中，每个字段数据以列形式排列，文本中列与列之间以英文半角逗号(,)隔开，逗号先后不要有空格，注意：若包括中文需把文本文献另存为UTF-8编码格式。可导入顾客名，密码，真实姓名，证书序列号，描述，手机号码，email七个字段。注意：导入文本文献需至少包括顾客名、密码，或顾客名、证书序列号。如果你导入某个唯一属性（如顾客名，证书序列号等）已经在SSL设备中存在了，该条已经存在信息将无法导入，并且返回错误提示，但是其她对的信息依然可以被导入。图SEQ图\*ARABIC75点击浏览按钮选取相应文本文献后，点击下一步进入图72所示页面：图SEQ图\*ARABIC76以上按照需求都配备确认好后，点拟定即可导入文本文献中顾客信息。【导出/更新】选项卡页面如图73所示：图SEQ图\*ARABIC77如果要将系统顾客都导出到文本文献，可在导出顾客项中，右击下载地址链接，选取目的另存为即可（建议使用目的另存为保存是为了保存原格式，防止其她格式文本文献在导入时出错）。导入格式是按照设备内定格式编排，如没必要，不建议顾客改动格式，由于要使用设备文献导入更新顾客功能，只支持设备自身导出格式文献导入。只是批量修改顾客信息某项值时，可在该页导出文本文献中直接改相应值内容，然后保存，再在该页面中导入即可。2.3.4顾客注册审批使用顾客注册审批功能一方面需要在【系统顾客】→【顾客有关配备】中启动顾客注册功能，启动后图SEQ图\*ARABIC78前台登录页面会显示注册链接注册顾客按钮，如图75所示：图SEQ图\*ARABIC79点击注册顾客，弹出下图注册页面{顾客注册—网页对话框}：图SEQ图\*ARABIC80顾客填写有关注册信息后，点提交。在【顾客管理】→【顾客注册审批】页面将会浮现顾客注册有关信息，如图77所示。图SEQ图\*ARABIC81在此页面，可以将顾客添加到相应组，批量批准或删除该注册顾客。管理员批准后，顾客可以使用该注册顾客名和密码登录前台和使用分派给她资源。2.3.5在线顾客条件过滤，可依照顾客名称精准和模糊查询下面已登录顾客列表中您需要查询顾客信息。该页会显示已经登录前台顾客信息和数量，并且可以由管理员强制断开某个在线顾客或所有在线顾客。图SEQ图\*ARABIC82【在线管理员】选项卡，如图79所示：该页面可查看正在登录系统系统管理员和站点管理员登录信息，如管理员名称，类型，所属站点，登录时间和登录IP。图SEQ图\*ARABIC832.3.6登录历史记录可查看所有登录过顾客登录信息，如登录名称，顾客类型，最后登录IP，最后登录时间，最后退出时间，登录次数等，还可以点击相应顾客背面查看按钮，查看相应顾客近来一次登录记录。也可对顾客登录记录进行删除操作。图SEQ图\*ARABIC842.3.7顾客有关配备顾客有关配备页面如图81所示：图SEQ图\*ARABIC85『启动顾客注册功能』：启动此功能后，前台登录页面显示注册链接。顾客在前台页面注册成功后，需要等待管理员审批，管理员进行注册审批后，顾客就可以使用它注册顾客名和密码登录前台，并使用管理员分派给她资源。如图82所示：图SEQ图\*ARABIC86『容许公共顾客修改密码』：勾选后可以修改所有公共账户密码。『使用顾客密码方略』：（该方略只针对前台顾客有效）新顾客第一次登录需要更改初始密码：新创立顾客第一次登录前台使用时，会先弹出密码修改页面，顾客只有按规定修改了密码后，才干正常使用新修改密码登录前台访问。密码更新周期__天（0代表密码不需要定期修改）：设立了密码更新周期天数后，顾客在超过该周期没有更新密码，顾客在登录前台使用时，会弹出密码修改页面，顾客只有按规定修改了密码后，才干正常使用新修改密码登录前台访问。密码长度最小值：0代表不限制设立了密码最小长度后，顾客在修改自己密码时，如果没有到达这个最小长度规定，将会修改不成功，并有相应提示。密码必要包括大小写字母：勾选后，顾客在修改自己密码时，如果没有包括大小写字母，将会修改不成功，并有相应提示。密码必要包括数字：勾选后，顾客在修改自己密码时，如果没有包括数字，将会修改不成功，并有相应提示。密码必要包括数字及字母以外字符：勾选后，顾客在修改自己密码时，如果没有包括数字及字母以外字符，将会修改不成功，并有相应提示。密码不可与顾客名相似：勾选后，顾客在修改自己密码时，如果密码跟自己顾客名相似，将会修改不成功，并有相应提示。2.3.8管理员账户条件过滤，可针对已经创立管理员，依照名称，描述，状态进行单独、组合、模糊、精准等查询。图SEQ图\*ARABIC87【添加/配备系统管理员】，点添加后，浮现如下配备界面。图SEQ图\*ARABIC88‘名称’：管理员登录后台登录名称。‘描述’：可为空。『认证方式』：5种认证方式，分别是：密码认证，密码和证书认证，证书绑定认证，密码或证书绑定认证，密码和证书绑定认证。“密码认证”：该管理员使用她顾客名和密码进入后台。“密码和证书认证”：管理员不但需要顾客名和密码进行验证，还需要带上能通过咱们设备系统里CA根证验证顾客证书，该管理员才可以进入后台。注：该证书只要CA能认到，就可以，不需要绑定在顾客配备里。“证书绑定认证”：该管理员使用给她绑定证书进入后台。如下图所示，需要选取证书类型和上传证书。图SEQ图\*ARABIC89“密码或证书绑定认证”：该管理员既可以使用她顾客名和密码进入后台，也可以使用给她绑定证书进入后台。如图86所示：图SEQ图\*ARABIC90“密码和证书绑定认证”：该管理员不但需要顾客名和密码进行验证，还需要带上给她绑定证书进入后台。注：该管理员顾客名密码和该证书绑定认证，缺一不可。『选取证书类型』：证书类型分X509证书和P12证书，依照顾客需求进行选取。上传证书，私钥保护口令：上传相应顾客证书，如果证书类型选取是P12格式，则还需要输入顾客证书相应私钥保护口令，无口令可不输。如在【认证管理】→【认证方略】中，勾选了辅助认证方略中使用UKey认证，则该页面还会多余辅助认证方式项。『管理员权限』：管理员类型为可修改配备和无修改权限两种类型。创立可修改配备管理员可以修改设备所有信息，无修改权限系统管理员只可以查看设备所有信息，但没有修改权限。『启用』：与否启用该管理员账户。此外，点击页面右上角更改密码（浮现图87所示），也可以对管理员顾客密码进行修改。图SEQ图\*ARABIC912.4认证与方略2.4.1登录方略涉及通用方略和PC端方略两种。通用方略合用于移动云客户端和PC端。如图88所示：图SEQ图\*ARABIC92通用方略：『容许私有账户重复登录』（注销已有登录会话）：该项方略只针对顾客有效。没勾上，私有账户同一时间只能一种人登录，背面登录人将被提示该账户已经登录。勾上后，私有账户同一时间只能一种人登录，背面使用该账户登录人将把第一种使用该账户登录顾客给踢掉，即第一种会提示该顾客被注销，第二个登录正常进入前台使用。『容许顾客使用真实姓名登录』：若启用该项，顾客属性中，真实姓名必要唯一，不可重名。『使用顾客锁定方略』：图SEQ图\*ARABIC93该项可设立账户在多少时间持续错误登录多少次后会被锁定。解锁方略有超时解锁，并设立锁定期间，尚有管理员解锁。管理员解锁如下图所示：图SEQ图\*ARABIC94启动后，已经被锁定顾客。需要在管理员在【顾客管理】→【顾客解锁】处对其进行解锁后方可继续使用。PC端方略：『使用图片附加码』（防止暴力破解）：该项方略对管理员界面和顾客界面均有效。勾选后，管理员和顾客登录界面会多余附加码输入框，如果是使用顾客名密码认证，都需要输入附加码才干顺利进入相应界面。『启用软键盘』（防止木马窃取顾客密码）：该项方略对管理员界面和顾客界面均有效。勾选后，顾客与管理员在登录前台输入密码时可以使用软键盘，也可以选取使用键盘。『禁止顾客登录时使用其她顾客绑定证书』：该项方略只针对密码和证书绑定认证管理员和顾客有效。勾选后，如果管理员和顾客使用了其她顾客绑定证书，但是用顾客名密码确不是该证书绑定账户，而是其她有效账户，虽然顾客名和密码没有错，由于使用了其她顾客绑定证书，也不能顺利进入相应界面。『强制使用证书登录』：勾选此项后，前台登录访问不会浮现输入顾客名密码登录界面，只能用证书顾客直接登录前台访问资源页面。『容许未绑定证书顾客登录』：若启用该项，不需要在系统里创立相应顾客进行顾客和证书绑定，持有有效证书即可登录。『容许匿名登录使用授权访问公开资源』(需要创立匿名顾客，并给匿名顾客分派资源):选了上面项后，会在【顾客管理】→【系统顾客】配备界面多余一种匿名账户账户选项，这里可配备匿名账户，并且匿名账户只可配备一种，名称不能修改。有匿名账户后，可将其加入顾客组，以及某些顾客基本配备，在前台登录时，会在前台登录页面左上角浮现公开资源链接，点击该链接，顾客可以不需要输入账户密码，直接登录guest账户资源访问页面。公开资源(匿名登录访问)页面作为前台首页(此项仅在系统中已创立匿名顾客并启用时才可生效):勾选容许匿名登录使用授权访问公开资源(需要创立匿名顾客，并给匿名顾客分派资源)项后，同步会出来上面功能项，可复选，启用该项，当顾客输入前台访问地址，不会浮现输入账户密码登录页面，而是直接进入匿名（guest）账户资源访问页面。双顾客名密码认证：图SEQ图\*ARABIC95即顾客采用双因素认证方式，勾选认证服务配备中相应认证服务，相应认证办法即会出当前认证方式中，顾客可以依照需求自己选取。当使用这种方式时，顾客使用第一种认证方式分派资源使用权限。2.4.2认证服务配备图SEQ图\*ARABIC9LDAP认证勾选该项后，点配备按钮图SEQ图\*ARABIC97浮现如下界面：图SEQ图\*ARABIC98点添加浮现如下配备页面：图SEQ图\*ARABIC99服务器名：ldap服务器在系统中标记名称。描述：可为空。与否启用：与否启用该ldap认证服务器资源。服务器IP地址：ldap服务器IP地址。服务器端口：ldap服务端标语，默以为389。匿名绑定：勾选此项，可不用配备背面顾客名，密码，前提是LDAP服务器支持匿名搜索目录。顾客名，密码，确认密码：连接ldap服务器账户/密码，建议使用管理员帐号。Ldap服务器类型：提供WINDOWS域服务器和普通LDAP服务器两项选取。Ldap合同版本：支持版本2和版本3。根DN：当配备好以上项目之后，确认ldap服务器也正常，即可点击“获取”按钮，如果能获取到根DN，即绑定ldap服务器成功，顾客可依照需要选取一种适当根DN；如果不成功，会弹出不成功提示框，并提示顾客也许导致绑定不成功因素。也可以依照LDAP工具查看到该属性后手动填入。顾客名属性，登录名属性，组名属性，顾客属组属性，组属顾客属性：如果你是WINDOWS域服务器，这些信息默认即可；如果是其她ldap服务器，可按实际状况进行配备。筛选条件：顾客可依照自己规定填写过滤字段信息。密码MD5加密：对相应顾客密码启用MD5加密，防止破解。认证测试：LDAP顾客名和密码认证测试，并提供相应验证成果。提交LDAP资源后，会在【顾客管理】→【系统顾客组】里面多余一条LDAP认证顾客组记录，如图100：图SEQ图\*ARABIC100有了这个顾客组，点编辑可以给该构成员添加分派应用资源。RADIUS认证勾选该项后，点配备按钮图SEQ图\*ARABIC101浮现如下界面：图SEQ图\*ARABIC102点添加浮现如下配备页面：图SEQ图\*ARABIC103名称：Radius服务器在系统中标记名称。描述：可为空。启用：与否启用该Radius认证服务器资源。服务器地址：Radius服务器IP地址。服务器端口：Radius服务端标语，默以为1812。共享密钥：连接Radius服务器密码。NAS-IP-ADDRESS（本端IP地址）：SSL和Radius服务器通讯地址。CALLING-STATION-ID（本端ID）：本端地址ID号，默认。认证测试：Radius顾客名和密码认证测试，并提供相应验证成果。提交RADIUS资源后，会在顾客管理系统顾客里面多余一条RADIUS默认顾客，如下图：可以针对RADIUS顾客加入系统顾客组，以及某些顾客基本配备，并且RADIUS服务器上账户可以正常登录到前台。HTTP认证勾选该项后，点配备按钮图SEQ图\*ARABIC104浮现如下界面：图SEQ图\*ARABIC105点添加浮现如下配备页面：图SEQ图\*ARABIC106提交HTTP资源后，会在【顾客管理】→【系统顾客】里面多余一条HTTP默认顾客，如下图：图SEQ图\*ARABIC107可以针对HTTP顾客加入系统顾客组，以及进行某些顾客基本配备，并且HTTP认证账户可以正常登录到前台。数据库认证勾选该项后，点配备按钮图SEQ图\*ARABIC108浮现如下界面：图SEQ图\*ARABIC109点添加浮现如下配备页面：图SEQ图\*ARABIC110服务器名：数据库服务器在系统中标记名称。描述：可为空。与否启用：与否启用该数据库服务器资源。数据库类型:可以有四种选取类型，分别是MYSQL,Oracle,Sybase，MicrosoftSQLServer。IP地址：数据库服务器IP地址。端口：数据库服务器端口，MYSQL默认端口是3306，Oracle默认端口是1521，Sybase默认端口是5000，MicrosoftSQLServer端口1433。登录名：连接数据库帐号。登录密码：连接数据库密码。库名：要连接数据库库名。表名：要连接数据库表名。顾客名字段：顾客名在数据库中字段名。密码字段：密码在数据库中字段名。密码加密办法：有不加密，PASSWORD，MD5，SHA5，ENCRYPT加密办法可以选取。提交数据库资源后，会在顾客管理——系统顾客里面多余一条数据库默认顾客，如下图：图SEQ图\*ARABIC111有了这个顾客，可以针对数据库顾客加入系统顾客组，以及某些顾客基本配备，并且数据库服务器上账户可以正常登录到前台。邮箱认证勾选该项后，点配备按钮图SEQ图\*ARABIC112浮现如下界面：图SEQ图\*ARABIC113点击添加按钮，浮现如下配备界面：图SEQ图\*ARABIC114服务器名称：邮箱服务器在系统中标记名称。描述：可为空。与否启用：与否启用该邮箱服务器资源。服务器：POP3邮箱服务器地址。如填写是域名，请先确认设备正常接入网络，并且配备了域名服务器地址。端口：POP3邮箱服务器端口。后缀：POP3邮箱服务器后缀。拟定提交后，即邮箱服务器配备好了，还需要将某个顾客邮箱相应某个系统顾客，启用该功能后，会在系统顾客——顾客界面多余一项E-Mail配备项，以163邮箱为例。如下图：将邮箱相应到test顾客E-Mail项中：图SEQ图\*ARABIC115图SEQ图\*ARABIC116这时可以在前台使用账户，密码为登录这个邮箱密码来登录前台。统一认证勾选该项后，点配备按钮图SEQ图\*ARABIC117浮现如下界面：图SEQ图\*ARABIC118点击添加按钮，浮现如下配备界面：图SEQ图\*ARABIC119提交统一认证资源后，会在顾客管理——系统顾客里面多余一条统一认证默认顾客，如下图：图SEQ图\*ARABIC120可以针对统一顾客加入系统顾客组，以及某些顾客基本配备，并且统一认证服务器上账户可以正常登录到前台。本地令牌认证勾选该项后，点配备按钮图SEQ图\*ARABIC121浮现如下界面：图SEQ图\*ARABIC122点图中导入令牌文献，可以直接导入令牌信息。如图119。图SEQ图\*ARABIC123或添加/配备本地令牌认证服务器。点击添加按钮，浮现图119配备界面：图SEQ图\*ARABIC124令牌SN：动态令牌SN号。令牌SN信息：动态令牌SN有关信息。关联账户：在顾客管理——系统顾客中建立专门针对本地令牌账户。本地令牌账户添加办法：点击【顾客管理】→【系统顾客】，添加系统顾客，如图121：图SEQ图\*ARABIC125顾客类型选取本地令牌认证，并选取关联SN信息，建立有关账户即可。有了这个顾客，可以针对本地令牌认证顾客加入系统顾客组，以及某些顾客基本配备，并且令牌服务器上账户可以通过令牌认证正常登录到前台。注：生成动态密码只能使用一次，密码每一分钟更新一次。手机令牌认证启用该项后，会在手机客户端上启动手机令牌功能。一方面在【顾客管理】→【系统顾客】配备页面顾客类型选取OTP令牌认证顾客如图122所示：图SEQ图\*ARABIC126点击拟定之后，在手机令牌服务器处填写0，顾客名otp，密码111111，该密码在激活绑定之后就失效，如图127所示：图SEQ图\*ARABIC127点击激活绑定之后，点击生成令牌码，如图124中592929即为动态密码：图SEQ图\*ARABIC128注：生成动态密码只能使用一下，下次登录需要再次生成动态密码短信认证勾选此项后，勾选该项后，点配备按钮图SEQ图\*ARABIC129浮现如下界面：图SEQ图\*ARABIC130以使用短信猫为例如下图所示：可由顾客自定义短信提示内容，内容为空则发送短信中只有6位数字验证码。图SEQ图\*ARABIC131勾选了使用短信验证码后，在【顾客管理】→【系统顾客】配备页面将会过出来手机号码配备项，如图128：图SEQ图\*ARABIC132把上图系统顾客配备页面必填项填写完提交后，并填写上手机号码，拟定提交后，即有短信认证账户，在同一时间只能登陆一处。使用该顾客登录前台，输入前台顾客名和密码后，会弹出规定获取和填写短信密码界面，如图129。图SEQ图\*ARABIC133这时请点击获取短信密码按钮，会有一条关于验证码短信息发送到该顾客相应手机上，在短信密码框中输入您收到短信验证码，点拟定便可正常登录到前台资源访问页面进行操作。注意：如果您在20分钟内没有输入短信密码登录，系统将自动回到登录页面，顾客必要重新登录，重新获取短信密码。如果60秒内未收到短信，可重新点击获取短信密码按钮。2.4.3客户端方略客户端方略配备页面如下图所示：图SEQ图\*ARABIC134‘断线超时时间’：默认超时时间是600S，如果客户端与服务端连接断线，超过此设定值仍未恢复连接，则顾客会被强制退出。‘空闲超时时间’：0表达无限制，它表达前台顾客因无操作而导致空闲时间。2.4.4移动IP过滤可以检测客户端公网IP所属运营商并限制访问，只需把容许访问运营商IP地址段导入设备中即可。如下图所示：图SEQ图\*ARABIC1352.5证书中心2.5.1CA配备请参照【快捷菜单】→【快捷配备】→【证书配备】，2.5.2生成证书该某些有五个选项卡：【生成证书】，【本地顾客批量生成证书】，【导入文本批量生成证书】，【批量导入证书】，【生成证书祈求文献】。【生成证书】选项卡：如果是系统自建证书，或者导入第三方CA根证书带私钥，管理员可通过证书生成页面，直接在系统里面生成和签发顾客证书，填写好下面信息后，点提交，将会出来顾客证书下载页面，管理员可以通过下载下来证书在系统里面配备绑定证书顾客，并把该顾客证书发放给最后顾客。图SEQ图\*ARABIC136【本地顾客批量生成证书】选项卡如下图所示。图SEQ图\*ARABIC137在此页面可以批量生成本地顾客证书。『证书使用者名称』：1.使用顾客名2.使用真实姓名，真实姓名需保证唯一，且不能为空，如果为空则不创立相应证书。『证书保护口令』：1.设立为统一保护口令。此时需要设立相应顾客口令。2.使用顾客账户密码作为保护口令。选取此项，不需要设定顾客证书口令，直接使用顾客账户密码作为保护口令。‘请输入口令’：顾客登录证书统一口令。‘证书有效期’：证书有效期限，最大为9125天（25年）。『顾客认证方式』：包括证书绑定认证，密码或证书绑定认证，密码和证书绑定认证。『证书签发对象』：可以针对所有顾客，也可以针对不同组顾客，如选取顾客组，则仅对属于该组顾客签发证书。『忽视已绑定证书顾客』：勾选此项，则对已绑定证书顾客跳过，不签发新证书，保持原证书和顾客之间绑定关系。【导入文本批量生成证书】选项卡如图134所示。在此页面可以批量导入文本证书，设立所有签发顾客证书保护口令。注：文本中顾客名与部门之间以英文半角（,）隔开，逗