1、 HYPERLINK Arraay SSPX工程安安裝配置置手冊認證授權權配置部部分TOC o 1-3 h z uSSL VPNN門戶VVirttuall Siite認認證配置置1Radiius 認證服服務配置置3LDAPP認證服服務配置置5AD認證證服務配配置8SecuurIDD動態口口令認證證配置9SSL VPNN門戶VVirttuall Siite授授權配置置10LocaalDBB的授權權13LDAPP服務器器的授權權15Radiius服服務器的的授權17Grouup MMapppingg 授權權方式19SSL VPNN門戶Virrtuaal SSitee認證配配置Arraay SSSL

2、 VPNN設備Virrtuaal SSitee的接入入支持多多種認證證方式，包包括LoccalDDB、LDAAP、AD、Raddiuss、SeccurIID等。門戶認認證也可可以關掉掉，這時時用戶登登陸就不不需要認認證了，當當然，也也喪失了了很大的的安全性性。每個個Virrtuaal SSitee最多可可以配置置四種認認證方法法，用戶戶登陸時時，按照照順序查查找認證證服務，當當第一種種認證方方法失敗敗會使用用第二種種認證方方法，直直到成功功或完全全失敗為為止。對對于AD、LDAAP、Raddiuss認證，每每種方法法最多可可以配置置3個認證證服務器器。由于于上一章章已經介介紹了LoccalDD

3、B的配置置方法，如如果您只只使用LoccalDDB，可以以越過本本章。本本章我們們主要介介紹其他他幾種認認證方式式的配置置。Sitee Coonfiigurratiion-AAAA-GenneraalSitee Coonfiigurratiion-AAAA-Metthodd命令行為為：aaa metthodd raank auuthoorizzatiion metthoddAuthhentticaatioonMethhod：指采用用的認證證方法Rankk：是 Virrtuaal SSitee的第幾幾種認證證方法Authhoriizattionn Methhod：定義義了使用用這種認認證方法法時

4、采用用的授權權方法，下下章祥述述。如：SP-DDemoo (cconffig)$aaaa mmethhod loccalddb 11 第一種認認證方法法采用LoccalDDB，授授權使用用LoccalDDB。SP-DDemoo (cconffig)$aaaa mmethhod ldaap 22 lddap第二種認認證方法法采用LDAAP服務器器，授權權也使用用LDAAP服務器器。Radiius認認證服務務配置Radiius認證是是業界普普遍采用用的認證證協議，Virrtuaal SSitee采用Raddiuss作認證證服務器器，需要要配置相相應參數數及端口口，當然然在SPXX與Raddiuss

5、服務器器中間的的通信要要保持暢暢通，如如果有防防火墻需需要打開開相應端端口。在在配置Raddiuss認證前前，先要要和用戶戶的管理理員詢問問一些Raddiuss服務器器的情況況，包括括：Raddiuss服務認認證端口口，一般般采用UDPP 18812或者是UDPP16445，當然然用戶也也可能使使用別的的端口。另外還還要詢問問服務器器使用的的通信密密鑰。命令行為為：aaa metthodd raadiuus auuthoorizzatiion metthoddaaa raddiuss hoost IP：指指Radiius服務器器的IPP地址Portt：Radiius服務所所使用的的端口Secr

6、ret：SPXX與Radiius服務器器之間使使用的通通信密鑰鑰Timeeoutt：超時時設定Retrriess：重試試次數如：SP-DDemoo (cconffig)$aaaa mmethhod raddiuss 2 SP-DDemoo (cconffig)$aaaa rradiius hosst 66 18812 raadiuus_ssecrret 200 3Sitee Coonfiigurratiion-AAAA-Autthennticcatiion-RAADIUUSLDAPP認證服服務配置置LDAPP是一種種輕型目目錄訪問問協議，具具有結構構清晰，查查找速度度較快的的特點。Virttu

7、all Siite采采用LDAAP作認證證，同樣樣需要配配置一些些參數。所以在在作此項項配置之之前，要要先和用用戶的LDAAP管理理員作一一下溝通通，獲得得一些參參數信息息，并用用LDAAP Broowseer等客戶戶端工具具驗證一一下，把把他的LDAAP結構清清晰化。LDAAP服務一一般采用用TCPP 3889端口，基基于SSLL的協議一一般采用用6366端口。命令行為為：aaa metthodd lddap aauthhoriizattionn meethoodaaa ldaap hhostt tllsIP：LLDAPP服務器IP地址。Portt：LDAAP服務務端口Userr Namme

8、：有相應應LDAAPSearrch權限的的用戶名名Passsworrd：查找找時上面面用戶的的口令Basee：從哪哪一級目目錄進行行查找aaa ldaap ssearrch fillterr LDAPP查找的的Searrch規規則，如如：某屬屬性，其中代表用用戶在登登陸SSSL VVPNVVirttuall Site輸入的的字符串串，是參參數傳遞遞。接下來配配置綁定定規則，可可以選擇擇動態綁綁定，也也可以選選擇靜態態綁定，binnd是指用用戶DN的構成成規則。1動態態綁定：aaa ldaap bbindd dyynammicLDAPP查找時時根據CCompplette DDisttinggui

9、sshedd Naame，Basse信息息與seaarchh fiilteer在上面面命令種種定義2靜態態綁定：aaa ldaap bbindd sttatiic dn_ppreffix：前綴綴dn_ssufffix：后綴綴 一起構構成了用用戶DN如：SP-DDemoo (cconffig)$aaaa mmethhod ldaap 44 SP-DDemoo (cconffig)$aaaa lldapp hoost 76 3389 cnn=maanagger,dc=arrrayttsd,dc=comm seccrett dc=arrrayttsd,dc=comm 220 SP

10、-DDemoo (cconffig)$aaaa lldapp seearcch ffiltter cnn= SP-DDemoo (cconffig)$aaaa lldapp biind dynnamiicSitee Coonfiigurratiion-AAAA-Autthennticcatiion-LDDAPAD認證證服務配配置采用Acctivve DDireectoory作作認證服服務器，需需要配置置相應參參數及TCP端口，當當然在SPX與AD服務器器中間的的通信要要保持暢暢通，如如果有防防火墻需需要打開開相應端端口。AD的底層層也是一一個LDAAP，所以以也同樣樣可以通通過LDAAP的配置

11、置方法配配置他。命令行為為：aaa metthodd add aauthhoriizattionn meethoodaaa ad hosst 如：SP-DDemoo (cconffig)$aaaa mmethhod ad 2SP-DDemoo (cconffig)$aaaa aad hhostt 100.1.1755.7 3899 “arrrayydemmo.ccom”SecuurID動態口口令認證證配置Virttuall Sitee用seccurIID認證，重重要的配配置工作作在SeccurIID服務器器上，詳詳見SPX手冊，在在SeccurIID服務器器上生成成一個文文件，將將這個文文件導

12、入入SPXX即可，另另外，SeccurIID認證一一定要選選擇rannk1，并且且是全局局生效。Ace Serrverr和SPX的主機機名與IP地址的的對應關關系一定定要在兩兩臺設備備上都能能夠正確確的互訪訪到。使使用SPX的默認認路由所所指向的的intterffacee，作為ACEE Seerveer所指定定的priimarry iinteerfaace.，如果果其他端端口也配配置了IP地址，需需要將其其IP地址作作為secconddaryy innterrfacce，這樣樣采用能能夠在SPX和AceServver上正確確加密數數據流。命令行為為：aaa seccuriid iimpoort

13、 如：SP-DDemoo (cconffig)# aaaa seccuriid iimpoort sddconnf.rrecSP-DDemoo (cconffig)$aaaa mmethhod seccureed autthorrizaatioon mmethhod一般SeecurrID服務器器也同樣樣支持Raddiuss協議，如如果那您您把他看看作Raddiuss服務器器，也可可以按照照Raddiuss服務認認證的方方法配置置他，詳詳見前面面章節。SSL VPNN門戶Virrtuaal SSitee授權配配置授權是SSSL VPNN的一個個主要的的安全功功能，Arrray的授權權機制是是設置

14、用用戶或組組享有的的特定權權限，授授權是和和認證方方法高度度相關的的，不同同的認證證采用不不同的授授權方法法。如用用LDAAP認證證，可以以通過LDAAP服務器器授權，也也可以通通過LoccalDDB或者者是Raddiuss服務器器授權。認證授權權關系表表認證方式式可認證可授權LocaalDBBYYRadiiusYY(需要要擴展Dicctioonarry)LDAPPYY(需要要擴展Schhemaa)ADYGrouup MMapppingg或LoccalDDBSecuurIDDYNArraay SSPX授權權權限分為為幾類：授權方式式授權內容容可授權ACL定義了用用戶或組組享有的的權限列列表So

15、urrceNNet定義了登登陸的原原地址范范圍Y(需要要擴展Dicctioonarry)NetPPooll定義了LL3VPPN所使用用的地址址池Y(需要要擴展Schhemaa)UID, GIID定義了用用戶使用用NFS功能時時用到的的UID和GID信息Grouup MMapppingg或LoccalDDB其中最主主要的授授權方式式是ACL。ACL分為兩兩大類，一類規定了WRM、g的控制規則，另一類定義了ClientApp和L3VPN的控制規則。一個用戶登陸SSL VPN時它的權限可以通過ACL作詳細的授權。Arraay SSPX缺缺省是沒沒有ACL配置的的，這時時所有的的資源對對所有的的用戶開

16、放放，一旦旦對某個個用戶或或組配置置了一個個ACL，則對對他需要要訪問的的內容權權限一定定要顯示示的配置置成PERRMITT，否則則不允許許訪問。對WRMM、生效的ACLL命令行為為： : ANND (PPERMMIT|DENNY)Priooritty：優先先級Scheeme:是針對對HTTTP還是是Hostt：目標標服務器器，支持持通配符符“*”。Pathh：路徑徑AND virrtuaal：在globaalmodee配置時時只關聯聯到相應應的Virttuall Sitee上，在Virttuall Sitee Conffig 模式時時，不需需要此參參數。如：0 htttp:10.1.1175

17、.7/eexchhangge AAND inttra DENNY1 htttp:* AAND inttra PERRMITT2 AAND inttra DENNY3 fiile:* AAND inttra PERRMITT我們會在在LoccalDDB授權時時給出具具體針對對不同用用戶的配配置方法法。2針對對CliienttAppp、L3VPPN的ACLL命令行為為： ipp :/:pportt ANDD PERRMITT|DEENYPriooritty 優先級Prottocool 針對那那種IP協議，可可以時TTCP、UDPP或prootoccol nummberr，*代表所所有協議議。Hos

18、tt_IPP：目標標服務器器Netmmaskk：掩碼碼Portt：端口口號AND virrtuaal：在glooball moode配置時時只施加加在那個個virrtuaail sitte，在virrtuaal ssitee coonfiig模式式時，不不需要此此參數如：0 ipp *:10.1.1175.0/2255.2555.2555.00 ANND pparttnerr PEERMIIT1 ipp *:0.00.0.0/00 ANND pparttnerr DEENY同樣，我我們會在在LoccalDDB授權時時給出具具體針對對不同用用戶的配配置方法法。LocaalDBB的授權權用Locc

19、alDDB授權比比較簡單單，只需需對相應應用戶或或組配置置相應ACL即可。命令行為為：Globbal模模式：locaaldbb accl aaccoountt locaaldbb accl ggrouup Virttuall Sitee模式：locaaldbb accl aaccoountt locaaldbb accl ggrouup 如：用戶的策策略SP-DDemoo (cconffig)$aaaa oon SP-DDemoo (cconffig)$aaaa mmethhod loccalddb 11 SP-DDemoo (cconffig)$loocalldb acccounnt tee

20、st “passs“SP-DDemoo (cconffig)$loocalldb acll acccouunt teest 00 htttp:10.1.1175.7/eexchhangge AAND SP-Demmo DENNYSP-DDemoo (cconffig)$loocalldb acll acccouunt teest 11 htttp:* AAND SP-Demmo PEERMIITSP-DDemoo (cconffig)$loocalldb acll acccouunt teest 00 AAND SP-Demmo DEENYSP-DDemoo (cconffig)$loocal

21、ldb acll acccouunt teest 11 fiile:* AAND SP-Demmo PEERMIITSP-DDemoo (cconffig)$locaaldbb accl aaccoountt ttestt 2 iip *:100.1.1755.0/2555.2555.2255.0 AAND SP-Demmo PEERMIITSP-DDemoo (cconffig)$loocalldb acll acccouunt teest 33 ipp *:0.00.0.0/00 ANND SSP-DDemoo DEENY“組的策略略：locaaldbb neetpoool grooup

22、地址池分分配locaaldbb soourcceneet ggrouup 登陸原地地址限制制很多種認認證方法法都可以以通過LoccalDDB授權權，不過過這時一一般需要要用戶名名一一對對應。如如采用LLDAPP認證，LLocaalDBB授權，要要求LDDAP服服務器上上的帳號號和LoocallDB上上的帳號號對應，如如果LoocallDB上上沒有這這個帳號號，需要要用Defaaultt Grouup作在在LocaalDBB上沒有有的帳號號的授權權。如：SP-DDemoo (cconffig)$aaaa oon SP-DDemoo (cconffig)$aaaa rradiius acccoun

23、ntinng ooff SP-DDemoo (cconffig)$aaaa mmethhod ad 1 llocaaldbbSP-DDemoo (cconffig)$aaaa aad hhostt 1 3899 maiin.aarraay.ccomSP-DDemoo (cconffig)$aaaa llocaaldbb grroupp deefauult arrrayygrooupSP-DDemoo (cconffig)$aaaa llocaaldbb auuthoorizzatiion useedeffaulltLDAPP服務器器的授權權如果您使使用LDAPP認證，缺缺省

24、是采采用LDAAP服務器器作授權權，即將將ACL作為LDAAP服務器器用戶的的相應屬屬性來進進行授權權，這時時需要擴擴充LDAAP的schhemaa。如果果您的認認證服務務器和LLDAPP授權服服務器不不是一臺臺機器，那那您需要要單獨配配置LDDAP授授權服務務器。LDAPP授權命命令行為為：SP-DDemoo(coonfiig)$aaaa meethood ldaapSP-DDemoo(coonfiig)$aaaa lddap autthorrizee hoost tlls具體參數數概念參參見上一一章中LDDAP認認證部分分。SP-DDemoo(coonfiig)$aaaa lddap au

25、tthorrizee seearcch ffiltter 具體參數數概念參參見上一一章中LDAAP認證證部分。然后主要要的任務務是配置置LDAAP服務器器，首先先擴充LDAAP服務器器的schhemaa，然后后配置需需要授權權用戶的的ACL屬性賦賦予相應應的權限限。我們以OOpennLDAAP為例敘敘述過程程，一般般需要在在slaapd.connf中加入inccludde文件：inclludeed:/opeenlddap/etcc/scchemma/ccoree.scchemmainclludeed:/opeenlddap/etcc/scchemma/iinettorggperrsonn.sc

26、chemmainclludeed:/opeenlddap/etcc/scchemma/aarraay.sscheema然后在相相應目錄錄下放置置arrray.sheema文件，內內容如下下：#Arrray exttendded schhemaa ,aaddeed bby wwuyuuepeeng# ArrrayyNettworrks Schhemaa# caase sennstiive urll prrefiix iie *.t/maarkeetinngattrribuutettypee ( .44.1.75664.110000.1NAMEE aacceeptuurlDESCC

27、 aacceept urll exxpreersssionnSYNTTAX .44.1.14666.1115.1211.1.26 )# acccepptedd soourcce nnetwworkk adddreessees# off thhe fformm neetwoork/massk eeg /2255.2555.0.0attrribuutettypee ( .44.1.75664.110000.2NAMEE ssourrcennetDESCC SSourrce Nettworrk iip/mmaskkSYNTTAX .

28、44.1.14666.1115.1211.1.26 )# caase sennstiive nettworrk ppooll naameattrribuutettypee ( .44.1.75664.110000.3NAMEE nnetppoollDESCC nnetwworkk pooolss foor LL3 VVPNSYNTTAX .44.1.14666.1115.1211.1.26 )#Arrray Useer iinheeartts ffromm innetOOrgPPerobjeectcclasss ( .4.11.75564.100

29、00NAMEE AArraayUsserDESCC AArraay AApplliannce Nettworrk UUserrSUP toppAUXIILIAARYMAY ( aacceeptuurl $ ssourrcennet )# Boorroow tthe accceptturll annd ssourrcennet froom AArraayUsserobjeectcclasss ( .4.11.75564.10001NAMEE AArraayGrrouppDESCC AArraay AApplliannce Nettworrk GGrouupSUP toppAUXI

30、ILIAARYMAY ( aacceeptuurl $ ssourrcennet $ nnetppooll )然后在用用戶的相相應屬性性增加相相應的權權限即可可：如：在accceptturll屬性賦賦值為一一個ACL：0 hhttpp:100.1.1755.7/excchannge ANDD SPP-Deemo DENNYRadiius服務器器的授權權同LDAAP授權一一樣，如如果您使使用Raddiuss做認證證，缺省省是采用用Raddiuss服務器器作授權權，即將將ACL作為Raddiuss服務器器用戶的的相應屬屬性來進進行授權權，這時時需要擴擴充Raddiuss的Dicctioonarry

31、。如果果您的認認證服務務器和Raddiuss授權服服務器不不是一臺臺機器，那那您需要要單獨配配置Raddiuss授權服服務器。Radiius授權命命令行為為：SP-DDemoo (cconffig)$aaaa mmethhod raadiuusSp-DDemoo (cconffig)$aaaa lldapp auuthoorizze hhostt 具體參數數概念參參見上一一章中RRadiius認認證部分分。然后就是是擴充Raddiuss服務器器的Dicttionnaryy，將ACL的屬性性定義加加進去，進進而配置置用戶的的相應屬屬性進行行ACL授權。擴充的的Dicttionnaryy文件內內容

32、如下下：#Arrray Nettworrks# boorroowedd frrom snmmpd, maay lleadd too trroubble latterVENDDORAArraay-NNetwworkks 775644# Arrrayy Neetorrks ExttenssionnsATTRRIBUUTE Accceptt-Accls11strringgArrray-NettworrksATTRRIBUUTE SouurceeNetts 22strringgArrray-NettworrksATTRRIBUUTE memmberrUidd 3 inntegger Arrrayy-N

33、eetwoorkssATTRRIBUUTE memmberrGidd 4 sttrinng Arrray-NettworrksATTRRIBUUTE NettPoool 55 sstriing Arrrayy-Neetwoorkss然后在用用戶的相相應屬性性增加相相應的權權限即可可：如某用戶戶的相應應屬性：Foo Autth-TTypee = Loccal, Paasswwordd =“fooobarr”Acceept-Aclls = 00 htttp:*/ ANDD alll PPERMMIT,SourrceNNetss =“10.2.00.0/2555.2555.00.0”uidNNumbber = 220633,gidNNumbber = 10000 110200 23300Grouup MMapppingg授權方方式有的用戶戶用Raddiuss、AD、LDAAP認證，他他們又不不想修改改這些服服務器，加加上Arrray的授權權屬性。這時我我們可以以抓取這這些服務務器的組組信息放放到LoccalDDB上，將將這些認認證服務務器的組組映射到到LocaalDBB的相應應組進行行授權。首先要找找到Raddiuss、AD、LDAAP那個屬屬性是他他的組屬屬性，然然后當這這個屬性性等于某某個值時時映射到到LoccalDDB特定組組上。如如AD上的這這個屬性性就是