移动4A项目维护手册-ailkuap3

Asialnfo项目管理文档AsiaiNFO™

亚信科技（中国）有限公司

移动4A项目

维护手册

编写何建涛（QA）编写时间2010-12-17

审核张会英（部门经理）审核时间2011-1-6

文档版本1.0

亚信科技（中国）有限公司版权所有

文档中的全部内容属亚信科技（中国）有限公司所有，

未经允许，不可全部或部分发表、复制、使用于任何目的。

A•4

AsiaiNFO.1321822417

文档修订摘要

日期修订号描述著者审阅者

2010-12-171将各个模块的手册合并，创建该文档何建涛张会英

增加认证中心的常见问题6（was下

2011-7-222何建涛

解决无效的列类型）

增加审计报表后台部署说明，修改前

2011-8-43贺威

台部署说明

V02r01c03版本增加认证中心和管

2011-8-84理平台新增配置项，见4.2.3.1和何建涛

5.2.6节

增加采集根据从帐号获取主帐号信

2011-8-105贺威

息配置

2011-9-16增力口iap_report_server酉己置信息贺威

V02r01c04版本增加认证中心、管理

2011-9-197平台、协议堡垒配置项，见4.231、

42.3.2、5.2.6和6.2.3节。

新建主机账号，指定所有普通账号的

2012-4-188的登陆目录为:/home/personal,见赵瑞星

4.2,3.1

系统资源从帐号批量触发金库配置，

2012-5-299赵瑞星

见

图形堡垒增加会话主机安装TS录屏

2012-8-710刘艳芳

T.J1

管理平台、认证中心配置文件解耦后

2012-10-3011配置说明，涉及4.2.3节，4.2.4节，申雅琼

523节，5.2.4节

增加认证中心工单定制审批人过滤

2012-11-2612申雅琼

实现类配置说明（内蒙）5.244节

2013-8-2013管理平台配置变化第4章申雅琼

亚信科技（中国）有限公司版权所有

文档中的全部内容属亚信科技（中国）有限公司所有，

未经允许，不可全部或部分发表、复制、使用于任何目的。

A•4

AsiaiNFO.1321822417

增加管理平台配置信息

isAppOrgSelShow,见,

smpjpjist,见42.4.2,工壬口壬口

2012-11-2913土柱柱

smp_token_time_out,见,

dynamicTokenValidate,见4.242,

增加认证中心配置信息

2012-11-2914王程程

isShowAppDir,见,

和对上海外网管理平

2012-12-2815申雅琼

台登录地址配置说明

和应用从账户个性化

功能类配置（产品默认）；主帐号批量

2013-3-716申雅琼

模板有哪些是从本地目录下载配置

（河南专有）

2013-3-27177江苏个性配置申雅琼

2013-8-2018管理平台维护第4章申雅琼

5.4Websphere应急配置不生效问

2013-8-2119申雅琼

题

Samba服务器升级到4.1.4版本，详

2014-2-2020张同幸

见7.2.1

亚信科技（中国）有限公司版权所有

文档中的全部内容属亚信科技（中国）有限公司所有，

未经允许，不可全部或部分发表、复制、使用于任何目的。

AsiaINFO1321822417

目录

第1章前言1

1.1文档用途1

1.2阅读对象1

第2章系统简介2

2.1系统功能和用途2

2.2系统结构2

2.3阅读指南3

第3章数据库初始化数据4

3.1安装前的准备4

3.1.1初始化步骤5

第4章管理平台系统8

4.1安装前的准备8

4.1.1运行环境8

4.2软件安装8

4.2.1软件安装步骤8

4.2.2安装完成后产生的文件清单9

4.2.3配置文件加载步骤9

4.2.4配置文件的修改错误!未定义书签。

4.3系统维护32

4.3.1运行程序32

4.3.2异常情况处理32

4.4常见问题32

第5章认证中心（应急系统）35

5.1安装前的准备35

5.1.1运行环境35

5.2软件安装35

5.2.1数据源配置35

5.2.2软件安装步骤52

5.2.3配置文件加载步骤63

5.2.4配置文件说明错误!未定义书签。

5.3系统维护83

5.3.1运行和停止程序83

5.4常见问题84

第6章协议堡垒主机8

i

AsiaINFO1321822417

6.1安装前的准备90

6.1.1运行环境90

6.2软件安装90

6.2.1软件安装步骤90

6.3系统维护103

6.3.1运行程序错误!未定义书签。

6.3.2异常情况处理错误!未定义书签。

6.4常见问题103

第7章图形化堡垒主机90

7.1安装前的准备104

7.1.1运行环境104

7.1.2需要开通的网络104

7.2软件安装105

7.2.1软件安装步骤105

7.2.2Windows主机录像日志发送程序120

7.3配置文件的修改127

7.4常见问题和解答127

第8章采集系统134

8.1安装前的准备134

8.1.1运行环境134

8.2软件安装134

8.2.1软件安装步骤134

8.2.2安装完成后产生的文件清单135

8.2.3配置文件的修改135

8.3系统维护151

8.3.1运行程序151

8.3.2异常情况处理152

8.3.3更新采集注意事项152

8.3.4常见问题152

8.4神码SYSLOG后台安装153

8.4.1安装讥ar包153

8.4.2修改配置文件154

843运行程序157

8.4.4异常情况处理157

第9章短信密钥认证系统158

9.1.1安装组织结构158

9.1.2运行环境158

9.2软件安装158

ii

AsiaINFO1321822417

9.2.1软件安装步骤158

9.2.2安装完成后产生的文件清单158

9.2.3配置文件的修改158

9.3系统维护161

9.3.1运行程序161

9.3.2异常情况处理161

第10章VPNRADIUS认证系统162

10.1.1安装组织结构162

10.1.2运行环境162

10.2软件安装162

10.2.1软件安装步骤162

10.2.2配置文件的修改163

10.3系统维护164

10.3.1运行程序164

10.3.2异常情况处理164

第11章注意事项167

iii

AsiaINFO1321822417

第1章前言

1.1文档用途

本文档用于4A项目组现场维护，版本发布及测试人员参考。

1.2阅读对象

移动4A项目现场系统管理人员、测试人员及PSO。

1

AsiaINFO1321822417

第2章系统简介

2.1系统功能和用途

“AIUAP（AsiainfoUnified4APlatform―亚信统一帐号、认证、授权和审计平台）

是由“亚信科技（中国）有限公司”开发的安全服务系统，面向整个电信行业。

本系统为电信运营商解决日益突出的IT资产管理矛盾，通过统一平台，实现运营商内

部多种资源（包括应用系统、主机、网络设备、数据库等）的帐号、认证、授权和审计的

统一管理，目标是建立一种安全、自动、高效而且基于策略的工作环境，确保合法用户安

全、方便的使用特定资源。

2.2系统结构

本软件分为6个子系统：管理平台、认证中心、堡垒主机、采集系统、短信密钥、审

计系统。

这个软件结构图如下：

2

Asia："。1321822417

AIUAP系统总体结构图

Account厂主机

000

aiisokris

00

操

作

日linutwindows

志

数奥库••…

数据库SSO[Cmdl.inv]

.日上Server-

oracledb2

厂网络设法•

Audit

网络SSO(CmdLiae]

路由盘交换机

Ftp图形化工具

厂安全设备

数据用图形化工具

°

安全SSO[CmdLiae)

/审计系统•防火墙

2.3阅读指南

本文档分写讲解6个子系统安装、部署、配置，以及对安装环境的要求等。顺序为管

理平台、认证中心、堡垒主机、采集系统、审计系统、短信密钥系统。

3

AsiaINFO1321822417

第3章数据库初始化数据

3.1安装前的准备

各省在进行程序部署前需安装数据库（oraclelOg或oracle11g）并创建表空间，用户,

为用户分配权限，详细如下：

♦所需数据库表空间，表空间大小，各省根据数据量进行灵活配置。

4A表空间4A账号数据和索100000M

TS_AI4A20_UAP

引表空间

4A审计索引表空180000M

TS_AI4A20_IAP_IDX

lii]

4A短信数据和索40000M

TS_AI4A20,SMS

引表空间

Audit_orig原审计库

Audit_wait待审计库

♦数据库用户

数据库用户用户默认表空间权限

Aiuap20管理平台用户TS_AI4A20_UAP连接，表的插入，编辑，删除，

查询等基本权限

创建表，创建序列，创建索引

权限

SMS20短信密钥系统用户TS_AI4A20_SMS连接，表的插入，编辑，删除，

查询等基本权限

创建表，创建序列，创建索引

权限

lapA20（原始审审计系统用户（建议单Audit_orig连接，表的插入，编辑，删除，

计库）独一个库,和管理平台查询等基本权限

lapB20（待审计用户分开）Audit_wait创建任何表，创建序列，创建

库）索引权限

4

AsiaINFO1321822417

3.1.1初始化步骤

各省根据实际情况在数据库创建系统所需的表，序列以及插入初始化数据，详细如

下：

3.1.1.1管理平台和认证中心初始化步骤

1.使用管理平台数据库用户连接到数据库

2.依次分别执行AIUAP20目录下的脚本，创建管理平台所需的表，视图，序列。

01_uap_table.20101221.sql

O3_uapJndex.2O1012O9.sql

04_uac_sequence.20101123.sql

04_uap_sequence.201012O9.sql

3.依次分别执行AIDSCP20目录下的脚本，创建数据管控所需的表，序列，（无数据管控

的省份可以省略）

01_dscp_table.20101124.sql

04_dscp_sequence.20101124.sql

4.依次分别执行data目录的脚本，创建管理平台所需的基础数据。

可直接执行main.sql,完成初始化数据的创建过程，为了防止中间出错便于跟踪，建

议依次执行以下脚本。

01-uap_dictionary_cfg.sqI

02-uap_res_cfg.sql

03-uap_authen_cfg.sql

04-uap_role_permission_init.sql

05-iap_role_permission_init.sql

06-uac_role_permission_init.sql

07-uap_audit_app_init.sql

08-uap_app_directory_link.sql

09-uap_main_acct.sql

10-uap_main_acct_role.sql

11-uap_mng_scope_main_acct.sql

12-super_audit_scope_main_acct.sql

13-super_audit_scope_res.sql

14-uap_main_acct_audit_level.sql

15-uap_nd_acct_level.sql

16_uap_db_modify.sql

5

AsiaINFO1321822417

3.1.1.2审计平台初始化步骤

1.数据库初始化数据

A：审计系统需要两个数据库：原审计库和待审计库

数据库用户用户默认表空间权限

AUDITA原审计库用户Audit_orig连接，表的插入，编辑，删除，

查询等基本权限创建任何表，

创建序列，创建索引权限

AUDITB待审计库用户Audit_wait连接，表的插入，编辑，删除，

创建任何表，创建序列，创建

索引权限查询等基本权限

汴：关于表空间的大小.请根据各现场的日志量进行评估，原则按照原审计库和待审计

10:1的比例进行分配。

B：使用audita用户连接原审计库：

刷表如下：01表结构_原始日志库-分区.sql

03初始数据一原始审计日志库一河南.sql

使用auditb用户连接待审计库：

刷表如下：02表结构_待审计日志库-分区.sql

04初始数据—待审计日志库J可南.sql

注意1:原审计库和待审计库中都有IAP_APP表：请查看现场uap_audit_app表中

lap_app_code是否能和初始化数据IAP_APP的iap_叩p_id相对应。另外

UAP_APP_CODE请不同现场根据实际情况进行修改，以及增加其它应用。

注意2：待审计库的初始化数据库IAP_AUDIT_TYPE和IAP_APP_OPERATE_TYPE

审计类型和操作类型表请使用本地数据刷表。

注意:3：原审计库和待审计库表IAP_APP_LOG和IAP_DEVICE_SESSION进行了

分区表的维护--范围分区，

如何添加加一个分区：

altertableiap_app_logaddpartitionPART_APP_LOG_201201valueslessthan

(to_date('20120201','yyyymmdd'));

3.1.1.3短信密钥平台初始化步骤

1.使用短信密钥数据库用户连接数据库

6

AsiaINFO1321822417

2.依次执行AISMS20目录下的脚本，创建所需的表和插入初始化数据

01_smka_table.sql

02_smka_data.sql

03_db_modify.sql

7

AsiaINFO1321822417

第4章管理平台系统

4.1安装前的准备

4.1.1运行环境

各省根据实际业务量进行灵活配置，此值只作为参考。

1.服务器

♦工作站

♦操作系统unixjmux主流版本

♦内存Memory:16G

♦硬盘空间40G

♦软件需求jdk1.5,tomcat应用服务器(建议安装6.0版本)

♦需设置主机的字符集为LANG=zh_CN

4.2软件安装

421软件安装步骤

如果是第一次部属直接将uap.war上传至Utomcat的webapps目录下，启动tomcat即可,

如果不是第一次部属请参考以下步骤

1.进入管理平台所在的目录(tomcatuap)

2.停止管理平台(,/bin/shutdown.sh)

3.运行ps-ef|greptomcatu即验证下进程是否停掉

4.将原有程序包备份(uap目录)

备注：需远程备份，不能备份在当前目录,tar-cvfuap.yyyymmdd.taruap,并将打的

8

AsiaINFO1321822417

tar包上传到别处并删除。

5.将./webapps下的uap目录删除,rm-rf./webapps/uap

6.删除./work临时目录rm-rf./work

7.创建./webapps/uap目录mkdir./webapps/uap

8.将编译成功的管理平台war包传到新建的uap目录

9.对uap.war包进行解压，jar-xvfuap.war。

10.根据现场情况修改配置文件，参考。

11.启动管理平台./startup.sh

12.查看日志，验证管理平台是否正常启动完毕./logs/catalina.out

422安装完成后产生的文件清单

文件名称权限功能

Uap：程序，负责管理平台系统各功能

423配置文件加载步骤

4.2.3.1配置文件加载说明

加载模式控制文件：

/perties管理平台加载控制文件，设置各省份个性化目录的根目录和各省使用的数

据源名称等。

默认加载配置文件(4a-core-common-$version.jar的com/asiainfo/a4/core/common/config目录下)：

/perties管理平台和认证中心环境配置文件。

/perties管理平台和认证中心默认策略配置文件。

/perties金库模块环境配置文件，涉及IP端口等现场一定会修改的配置项，各地

可在本地目录下配置，配置后将覆盖默认配置文件的同名配置项，本地没配的使用默认配置文件

的配置。

/perties金库模块默认策略配置文件，若本地有特殊配置，各地可在本地目录下

配置，配置后将覆盖默认配置文件的同名配置项，本地没配的使用默认配置文件的配置。

本地加载模式配置文件：

/perties管理平台和认证中心环境配置文件，涉及IP端口等现场一定会修改的配置项，各

地可在本地目录下配置，配置后将覆盖默认配置文件的同名配置项，本地没配的使用默认配置文

件的配置。

9

AsiaINFO1321822417

/perties管理平台和认证中心策略配置文件，若本地有特殊配置，各地可在本地目录下配

置，配置后将覆盖默认配置文件的同名配置项，本地没配的使用默认配置文件的配置。

/perties金库模块环境配置文件，涉及IP端口等现场一定会修改的配置项，各地

可在本地目录下配置，配置后将覆盖默认配置文件的同名配置项，本地没配的使用默认配置文件

的配置。

/perties金库模块策略配置文件，若本地有特殊配置，各地可在本地目录下配置，

配置后将覆盖默认配置文件的同名配置项，本地没配的使用默认配置文件的配置。

加载原则：

根据配置文件/WEB・INF/classes/base・perties,配置项provLocalRootDir（省份配置根目录）,

dataSourceName（指定各省使用的数据源名称，只有在使用weblogic、websphere等中间件的JDBC数

据源时需要配置，不配置时使用默认的defaultsource）

加载顺序：

1.provLocalRootDir,配置为各省份目录，如henan,加载顺序如下：

1.依次加载4a-core-common-$version.jar下的配置文件：

/com/asiainfo/a4/core/common/config/perties、

/com/asiainfo/a4/core/common/config/perties、

/com/asiainfo/a4/core/common/config/perties、

/com/asiainfo/a4/core/common/config/perties

2.依次加载省份目录下的配置文件（如henan）：

/WEB-INF/classes/local/henan/config/perties、

/WEB-INF/classes/local/henan/config/perties、

/WEB-INF/classes/local/henan/config/perties、

/WEB-INF/classes/local/henan/config/perties

即：先加载默认配置文件（4a-core-common-$version.jar下的各配置文件）的各配置项，再

加载本地目录下（uap/WEB-INF/classes/local/省份目录名称/config）的配置文件，同名配

置项直接覆盖，本地没有的配置项，使用默认配置文件的配置项。

2.provLocalRootDir,配置为develop,仅加载4a-core-common-$version.jar下的各配置文件

/com/asiainfo/a4/core/common/config/perties、

/com/asiainfo/a4/core/common/config/perties、

/com/asiainfo/a4/core/common/config/perties、

/com/asiainfo/a4/core/common/config/perties

10

AsiaINFO1321822417

4.2.3.2配置文件加载流程

管理平台配置文件加载流程

e

〈Jj|!4X4a-core-common-

仅,,力口载力口载力口

Cl4a-core-common-4a-core-common-^<4a-core-common-

蒯Oe$version.jar的com/

Ed$version.jarfK]com/$version.jar的com/$version.jarft\|com/

息Eoasiainfo/a4/core/

O-asiainfo/a4/core/asiainfo/a4/core/asiainfo/a4/core/

区

赫common/config/

Ucommon/config/common/config/common/config/

韩

与goldbank-

pertiespertiesperties

perties

区

导(加载WEB-加载WEB-加载WEB-加载WEB-

号u

eINF/classes/local/hINF/classes/local/h

)uINF/classes/local/hINF/classes/local/h

«qoenan/config/env.procnan/config/rule.prenan/configgoldbankenan/config/goldbank

»pertiesoperties-env.properties-rule,properties

perties

保存在"$tomcat/webapps/uap/WEB-INF/classes/"目录下的配置文件

perties控制认证中心配置文件的本地加载路径和使用的数据源。

说明：

•没有的项请不要配置。

•每个配置项占一行。

•不要加入多余字符。

文件说明及其内容如下（红色部分需根据各地情况修改）：

#各省份个性化目录的根目录

provLocalRootDir=henan

#指定各省使用的数据源名称，不配置时使用默认的defaultsource

#用途：仅在需要使用jndi数据源时，配置成各省自己datasource.xml文件中定义的jndi数据

源名称，各省不要使用相同的名字，2位省份码开头

#dataSourceName=haUapSource

perties

perties分另ij保存在4a-core-common-$version.jar的

com/asiainfo/a4/core/common/config目录下和本地目录的/WEB-INF/classes/local/省份目录

/config下，系统先加载jar包中的配置，再加载本地配置，本地配置覆盖默认配置文件的同

名配置项，本地没配的使用默认配置文件的配置。

说明：

•配置路径时应为绝对路径。

•没有的项请不要配置。

•每个配置项占一行。

•不要加入多余字符。

文件说明及其内容如下：

#管理平台认证中心数据库连接

11

A4

AsiaINFO1321822417

uap.jdbc.driverClassName=oracle.jdbc.driver.OracleDriver

uap.url.server=jdbc:oracle:thin:@3:1521:ai4a

uap.jdbc.username=uap30test

uap.jdbc.password=16|-35|-36|-1211-68|-125|-46|-89|-112|-58|1011-56|-119|-67|-54|-30|1

#审计平台独立应用接入的数据库连接

iap.jdbc.driverClassName=oracle.jdbc.driver.OracleDriver

iap.url.server=jdbc:oracle:thin:@3:1521:AI4A

iap.jdbc.username=auditb

iap.jdbc.password=8|15|-45|-7|119|111164|-72|75

#认证中心soap服务地址

#token3佥1正月艮务:CheckAiuapTokenSoap

#uacLocation=7:7081/uac/services

uacLocation=http\://7\:7081/uac/services/CheckAiuapTokenSoap?wsdl

#消，息通知月艮务:gendNoticeSoap

UapNoticeServiceAddr=http\://7\:7081/uac/services/SendNoticeSoap?wsdl

#应急同步服务:DataCopySoap

UacEmergencySyncService=http\://7\:7081/uac/services/DataCopySoap?wsdl

#应用批量上传文件存放目录

appBatchUpLoadPath=d\:/batchmodel/upload

#应用批量操作处理结果导出存放目录

appBatchDownLoadPath=d\:/batchmodel/download

#系统批量上传文件存放目录

sysBatchUpLoadPath=d\:/batchmodel/upload

#系统批量操作处理结果导出存放目录

sysBatchDownLoadPath=d\:/batchmodel/download

#主帐号批量操作处理结果导出存放目录

mainbatchtemplatesDownLoadPath=d\:/batchmodel/download

#审计soap发送接口属性，注意不能直接使用管理平台该配置项，各系统和采集的端口不同

AppCode=AIUAPCOMMON

ldentity_Name=4AMgtLog

auditSoapServerlp=06

auditSoapSe