安全接入网关管理员手册

安全接入网关管理员手册移动云管理员手册V3.3声明本文的内容是橙乐移动云管理（以下简称SGA）平台配置。文中的资料、说明等相关内容的版权归西安橙乐信息技术有限公司所有和保留。本文中的任何部分未经西安橙乐信息技术有限公司（以下简称橙乐）许可，不得转印、影印或复印、发行。本手册仅作为操作使用手册，手册里包含的所有内容不提供任何明示或者暗示的担保。本手册只作为SGA3.0版本的使用说明，如需获取其它版本的使用手册，请联系服务部获取相关文档。解决方案中所谈及的科技产品的名称是橙乐的商标。方案中涉及的其他公司的注册商标属各商标注册人所有，恕不逐一列明。致谢感谢你使用橙乐的产品和使用手册，如果你在使用的过程中对我们的产品和手册有任何的建议或者意见，都可以通过电话、QQ或者邮件的形式反馈给我们。我们将不胜感激！联系信息办公地址：西安市经济技术开发区凤城九路海博广场C座10层11005室产品咨询热线：售后服务电话：029-邮箱：163.com邮编：2005-2015 版权所有 西安橙乐信息技术有限公司本手册以系统版本为例，在win7、IE9的情况下进行配置、演示。不同版本的SGA在后台配置会稍有不同。如有任何疑问，请咨询科技售后获取技术支持。本文约定：描述代替符号举例菜单栏【】应用发布按钮简化成【应用发布】连续菜单栏快捷菜单下的快捷配置简化成【快捷菜单】【快捷配置】按钮加粗并加上边框确定按钮简化成确定输入栏如基本配置的IP地址简化成IP地址单选框或复选框如网络设置的接入方式选项简化成接入方式弹出对话框更改密码网页对话框简化成更改密码网页对话框SGA后台配置中带有“*”标注的为必填项。本文如看到 “注：”表示需要您留意，请务必认真阅读。“移动云接入管理平台” 设备在本文描述中都将以“SGA”字样代替描述。目 录1 产品简介61.1 概述61.2 客户端环境要求21.3 管理员配置环境要求22 默认配置22.1 快捷菜单42.1.1 快捷配置42.2 应用发布132.2.1 CAB应用132.2.2 TCP应用192.2.3 IP应用212.2.5 移动视频资源292.2.4 单点登录302.2.5 IBOX云盘332.2.6 应用相关配置362.3 用户管理392.3.1系统用户392.3.2系统用户组452.3.3导入/导出用户482.3.4用户注册审批552.3.5 在线用户572.3.6 登录历史记录582.3.7 用户相关配置582.3.8 管理员账户602.4认证与策略632.4.1 登录策略632.4.2 认证服务配置662.4.3 客户端策略822.4.4 移动IP过滤822.5 证书中心822.5.1 CA配置822.5.2 生成证书832.5.3 证书列表862.5.4 证书申请审批862.5.5 证书吊销872.5.6 在线证书状态服务882.6 VPN882.6.1 IPSEC882.6.2 PPTP942.6.3网对网配置972.7 网络配置992.7.1 基本配置992.7.2 路由配置1032.7.3 SNMP配置1052.7.4 DHCP服务器1052.7.5 防火墙配置1062.7.6 网络测试1092.8 系统管理1102.8.1 系统配置1102.8.2 页面定制1132.8.3 消息公告1152.8.4 双机配置1162.8.5 备份/恢复1172.8.6 系统升级1182.8.7 关机重启1212.8.8 日志中心1223 附录1243.1串口下设置说明1243.2 双机热备功能配置说明1281 产品简介1.1 概述我公司作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的移动云产品。目前，手机上的应用还是很有局限性，应用软件供应商很难在智能手机上开发其应用系统，如果想把WINDOWS平台上的应用软件移植到智能手机上，还存在很多技术上的难度，底层支持，浏览器支持，兼容性等问题非常明显，的移动云应用平台给出了很好的解决方案，它借由客户端去访问互联网上的应用服务器资源，它既能充分利用手机的便携性，续航时间和通信能力等众多天生优势，又不要求其具有较高的数据处理、计算和存储能力。一方面，运用远端“云计算”的高速处理能力来解决手机处理能力低下的问题；另一方面，利用“云存储”则可以解决手机存储能力不足的问题。移动云软件具备在任何地点、向任何用户交付任何应用的能力。它给将基于云的资源交付给用户，通过这个应用集中管理的平台，不断优化用户的应用性能和安全性，以应对不断变化的工作负载需求和基础架构可用性。从而使手机用户能够轻松访问其授权的应用和程序，可以提供足以媲美本地PC的丰富、完整的用户体验。移动云软件的一般部署方式如图1所示。图 11.2 客户端环境要求移动终端推荐使用的操作系统：android 2.3及以上，IOS 4.3及以上。PC推荐使用的操作系统：windows xp/win7/win81.3 管理员配置环境要求推荐使用浏览器：IE7，IE8，IE9，IE102 默认配置SGA默认在eth0口和eth1口设置了IP。 eth0口：54/24，eth1口：54/24。SGA的后台管理端口默认为：4433，前台登录端口默认为：443。现将设备的eth1口接入到网络中，则你的电脑也要配置一个192.168.1.X/24网段的IP，确保SGA与电脑室相通的。打开IE浏览器，输入SGA的后台管理地址：54:4433，则会看到图3的登录界面。图 2管理员输入：admin，密码输入：，这是设备默认的管理员密码。登录成功后，如图4所示：左边为模块区，点击每个模块都会进入相应模块的配置界面。上部为标题栏，能看到系统信息、修改密码、退出按钮，点击系统信息看到的就是图4的界面，点击修改密码可以修改管理员的密码，默认是最低6位，且必须含有字母、数字、特殊字符。退出，退出后台配置界面。图 32.1 快捷菜单可对初次使用系统进行最简配置，实现系统基本可用。2.1.1 快捷配置快捷配置里面包括6个选项卡，分别是【网口配置】，【DNS配置】，【动态域名】，【许可配置】，【时间配置】，【证书配置】，如图5所示。图 4【网口配置】：通过点击相应网口编辑按钮，可修改该网络接口的接入方式、IP地址、掩码、默认网关、MTU值、线路权重，也可配置多个虚拟IP地址（即一个网口绑定多IP地址）。如图6所示：图 5接入方式项中，支持3种接入线路方式：静态IP，DHCP，PPPOE。只有静态IP接入方式可配置虚拟IP（即一个网口绑定多IP地址）。只有静态IP和PPPOE接入方式可配置线路权重。“静态IP”，选择接入方式为“静态IP”时，看到图7的界面，可以对设备的接口配置静态的IP、掩码和网关。MTU值请保持默认，勿轻易修改。图 6“DHCP”模式：设备动态获取IP地址，不用手工分配（不建议采用这种方式）；“PPPoE”：将设备当网关直接接入到互联网，拥有一条拨号宽带线路，就可以拨号上网，填写由运营商为你提供的账户密码登陆，见图8。图 7线路权重：即线路负载均衡，只在有多条线路上网时起作用，该值针对内网通过设备上网的用户，调节本线路占整体的比重，值越大比重越大。具体举例说明：如eth0为PPPOE拨号上网线路，线路权重设置为3，eth1也为PPPOE拨号上网线路，线路权重设置为7，可理解为2条线路带宽看作一个整体值：10，eth0占整体的30%，eth1占整体的70%，即内网用户通过设备上网，数据流会从这2条线路分别出去，30%的数据会走eth0出去，70%的数据会走eth1出去。这一说法只是一个大约的数据流分配走向，具体不会有那么精确。【DNS配置】：配置DNS服务器的IP地址，使设备能正常解析域名，如图9：图 8【动态域名】：页面如图10所示，系统默认内置了希网和花生壳2个免费域名客户端。图 9以下以希网网络（）域名为例：图 10用户账号：希网网站上，您申请域名所登录的有效账号；登录密码：希网网站上，您申请域名所登录账号的密码；描述：可不填；绑定接口：绑定一个可以连接外网的设备接口；动态域名：您将绑定在设备上的有效域名；更新频率：设置系统将每几分钟去更新该域名所对应的设备的公网IP地址；自动启动：勾选上启用后，系统每次启动将自动启动该域名客户端；提交后，如需要马上启用该域名客户端，需要在返回页，操作项下点击启动。花生壳（）域名配置如下：图 11用户账号：花生壳网站上，您申请域名所登录的有效账号；登录密码：花生壳网站上，您申请域名所登录账号的密码；描述：可为空；绑定接口：绑定一个可以连接外网的设备的接口；Web服务地址：花生壳的Web服务地址，可不做修改；DDNS服务器：花生壳的DDNS服务器地址，可不做修改；自动启动：勾选上启用后，系统每次启动将自动启动该域名客户端；提交后，如需要马上启用该域名客户端，需要在返回页，操作项下点击启动。图 12注：请勿在无技术人员的情况下，随意修改序列号里的信息。【时间设置】：默认自动同步时间，如时间不对，需要手工同步系统时间，如下图14：图 13注：在配置时间服务器同步之前，请确认您的设备与外网是连通的，并且配置了有效的DNS。【证书配置】选项卡出厂时，设备上有一套自建的证书文件，包括CA根证，服务器证书，证书销毁列表，可进入CA配置页面查看证书的信息，如图15：用户可以不修改此证书，直接使用。设备支持多CA认证（三个CA），还可以在此配置其它CA信息。图 14用户如果要修改证书，可点击更新CA配置，进入以下界面：注意：在配置证书的时候，请务必先在【系统管理】【系统配置】【时间设置】里，将时间设置精确。证书创建方式分两种：一、自建证书，二、导入第三方签发的证书。我们选择自建证书，用户只要填写好下面的信息，点提交，系统便可根据您提交的信息生成CA根证书。图 15CA根证书生成后，会自动跳转到服务器证书的生成界面，如图17：图 16用户填写好需要填写的信息，确定后，将会自动重启系统服务，用户可刷新页面重新回到CA配置页面，可查看到您刚才生成的证书信息，自建证书的生成将会自动为CA根证生成证书销毁列表。注：自建CA和自建服务器证书必须一气呵成，该次自建证书的生成才会有效。如果用户有自己的一套证书，也可以在系统上导入自己的证书，选择导入第三方签发的证书出现以下界面：系统支持X509，P12，P7B格式的根证书的导入，注意：根证书只有导入私钥文件，才能在系统里面的证书生成页面生成用户证书。如果不需要通过系统生成、签发与导入CA根证匹配的用户证书，可不导入根证书的私钥。服务器证书的导入支持X509和P12格式，服务器证书可不导入。需要注意的是：服务器证书一定要是上面导入根证书签发的。特别注意：服务器私钥文件不支持WINDOWS系统证书机构下生成的.pvk格式的文件，您可以在WINDOWS系统证书机构生成一个P12格式的服务器证书导入到系统里面。如果是WINDOWS下生成的服务器证书，请在生成证书的时候，选择类型为“服务器证书”，客户端证书类型是不能在此作为服务器证书导入的。证书销毁列表配置可不做配置，如果用户需要导入证书销毁列表，需要注意的是：该证书销毁列表一定要与上面导入的服务器证书和CA根证书相匹配，并且证书销毁列表的生成时间不能过期，否则系统将会提示导入第三方证书不成功。如果用户导入的根证书是带私钥的，提交后，系统为该CA根证书生成证书销毁列表。图 172.2 应用发布2.2.1 CAB应用CAB应用里面包括4个选项卡，分别是【CAB应用发布】、【CAB应用分组】、【CAB服务器】、【CAB服务配置】。【CAB应用发布】选项卡页面如图19所示：条件过滤，可针对已经发布的CAB应用资源，根据名称，描述，状态进行单独、组合、模糊、精确等查询。图 18添加/配置CAB应用资源，点添加后，出现图20、21配置界面（分为基本信息、通用配置、PC端配置和移动客户端配置。可以根据需要选择相应的选项配置后使用）：图 19图 20基本信息名称：CAB应用资源在系统和用户界面的显示名称。描述：可为空。排序优先级：值越大在前台资源列表中的显示位置越靠前,不填或为0则按默认排序。启用：是否启用该资源。通用配置是PC端和移动云客户端使用时都必须配置的选项如下：通用配置应用账户：可以采用“使用登录设备账号”和“设置默认账号”“使用登录设备账号”：如选择这一项，表示应用账户直接使用SGA设备内的账户进行登录，此种情况下需要iCylanAPP在相应服务器自动创建相应具有远程桌面登录权限的账号进行匹配使用，用户会自动登录相应的CAB应用资源。此种方法，Windows登录和SGA前台共用一套账号和密码。 “使用默认账号”：如选择这一项，表示应用账户可以使用终端服务器上具有远程桌面登录权限的账号自动登录使用。登录域：如果发布的cab服务器是域中心服务器或者是已经加入域的服务器，需要填写域名。登录后工作目录：登录CAB应用后启动的程序的工作目录。登录后启动程序：登录CAB应用后启动的执行程序名。中断会话保持：远程连接中断时将会话保持，可设置为：不保持、一直保持和设定保持时长。图标：该资源在客户端的显示图标。自定义图标可在【应用发布】【应用相关配置】【图标管理】模块页面上传。PC端配置，配置后只适用于登录PC前台的用户使用，如下：使用方式：CAB应用所走的隧道方式。有TCP，IP，内网方式三个选择项。是否隐藏：勾选后，在用户有权限访问该资源的情况下，用户登录前台将不会显示该资源。是否自动弹出：即一登录进移动云PC前台页面，马上弹出该应用页面，不用用户手工点击。移动客户端配置，配置后只适用于登录移动客户端的用户使用，如下：工作目录1,2,3：登录CAB应用后启动的程序的工作目录。启动程序1,2,3：登录CAB应用后启动的执行程序名。上述两项配置后，在移动云客户端可以同时启用多个应用程序关联SSO：关联相应SSO（单点登录）资源，再配合科技的iCylanAPP Server使用。可以直接用手持终端登录SSO资源，第一次输入用户名和密码后，以后访问无需再次输入即可登录使用。强制使用服务器配置：强制使用在SGA后台配置的分辨率等信息。关联CAB服务器：CAB资源关联到多个CAB服务器后，自动启用服务器负载均衡应用必须要关联CAB服务器！CAB服务器需要在【CAB服务器】选项卡中配置后才能显示，并且CAB负载均衡的依据是:网络利用率/CPU使用率/内存使用率, 不包含登录用户数）【CAB应用分组】选项卡：将多个应用分到一个指定的组，在前台访问后，应用会在一个分组里。图 21【CAB服务器选项卡】页面如图23所示：图 22只有在此处添加了CAB服务器后，CAB应用发布页面中关联CAB服务器栏才有相应信息出现。并且必须要添加CAB服务器才能正常使用CAB应用。添加/配置CAB服务器，点添加后，出现以下配置界面：图 23基本信息 名称：在CAB应用发布页面中“关联CAB服务器”栏显示的服务器名称。描述：可为空。启用：是否启用该资源。通用配置CAB服务器地址：要发布的CAB应用服务器的IP地址。 iserver端口：iserver侦听端口，默认是19221端口PC端配置共享打印机：选择是否共享用户的打印机，分别有3个选择项：共享所有，共享默认，不共享。使用WINDOWS组合键： 有在远程计算机上，在本地计算机上，在全屏模式下三种选项。本地设备映射（PC端）将本地电脑的磁盘映射到服务器，可以实现远端文件保存到本地【CAB服务配置】选项卡,如图27所示：图 24配置信息：同步本地用户账号到CAB服务器（开启后，设备上的用户将自动同步到CAB服务器上）、同步用户账号时不带前缀（如遇同名账号，CAB服务器上原账号密码会被替代），并且在【用户管理】【系统用户】【系统用户】选项卡中会显示同步所有的按钮，如图28：图 25也可以通过此处，把所有SGA用户一次性同步到iserver服务器上。2.2.2 TCP应用条件过滤，可针对已经发布的TCP应用资源，根据名称，描述，地址类型，状态进行单独、组合、模糊、精确等查询。图 26添加/配置TCP隧道资源，点添加后，出现以下配置界面：图 27基本信息名称：TCP隧道资源在系统和用户界面的显示名称。描述：可为空。排序优先级：值越大在前台资源列表中的显示位置越靠前,不填或为0则按默认排序。启用：是否启用该TCP隧道资源。配置参数地址类型：有IP地址或域名，网段，子网三个选项。选择不同的地址类型，下面将会有相应的填写项出来。1. 如果选择的地址类型为“IP地址或域名”，则会出现协议类型、IP地址或域名、URL输入框；2. 如果选择的地址类型为“网段”，则会出现起始IP、结束IP、端口方式输入框；3. 如果选择的地址类型为“子网”，则会出现主机号、子网掩码、端口方式输入框；协议类型：只有在地址类型选择IP地址的时候，才有协议类型的选择，共有10项可供选择：http，ftp，smtp，pop3，imap，RDP，Telnet，SSH，https，others。注意：只有发布协议类型为http、https或ftp的，用户前台显示才会是个可直接点击的链接。IP地址或域名：应用服务器的IP地址或域名。注意：如填写域名，一定要在客户端域名配置页配置，用户才能正常使用。目录：该项只在协议类型选择http、https、ftp时显示。在发布的http、https和ftp链接有后缀时用。格式为：/news/a.html。端口方式：有单个端口，端口区间，端口序列三个选择项。端口号：根据端口方式的选择，可填写单个、一段连续的、或不连续的端口。是否隐藏：勾选后，在用户有权限访问该TCP应用资源情况下，用户登录前台将不会显示该TCP隧道资源。是否自动弹出：即一登录进页面，马上弹出该应用页面，不用用户手工点击。仅限IE形式和资源管理器形式打开的页面。图标：该资源在前台的显示图标。自定义图标可在【应用发布】【应用相关配置】【图标管理】模块页面上传。目前TCP应用已经支持在客户端上访问。2.2.3 IP应用条件过滤，可针对已经发布的IP隧道应用资源，根据名称，描述，地址类型，状态进行单独、组合、模糊、精确等查询。图 28添加/配置IP应用资源，点击添加后，弹出以下配置界面：图 29基本信息名称：IP隧道资源在系统和用户界面的显示名称。描述：可为空。排序优先级：值越大在前台资源列表中的显示位置越靠前,不填或为0则按默认排序。启用：是否启用该IP隧道资源。配置参数地址类型：有IP地址或域名，网段，子网三个选项。选择不同的地址类型，下面将会有相应的填写项出来。1. 如果选择的地址类型为“IP地址或域名”，则会出现协议类型、IP地址或域名、URL输入框；2. 如果选择的地址类型为“网段”，则会出现起始IP、结束IP、端口方式输入框；3. 如果选择的地址类型为“子网”，则会出现主机号、子网掩码、端口方式输入框；协议类型：只有在地址类型选择IP地址的时候，才有协议类型的选择，共有10项可供选择：http，https，ftp，smtp，pop3，imap，rdp，Telnet，SSH，smb，other。注意：只有发布协议类型为http、https、ftp，smb的，用户前台显示才会是个可直接点击的链接。IP地址或域名：应用服务器的IP地址或域名。如填写的域名在【网络配置】【客户端域名解析】页面找不到相应的项，在提交完这个IP资源配置后，将自动弹出客户端域名解析配置页面，管理员填写好后确定即可。注意：一定要在客户端域名解析配置页配置该域名和IP的对应关系，用户才能正常使用。目录：该项只在协议类型选择http，https、ftp，smb时显示。在发布的http、https、ftp，smb应用链接有后缀时用。格式：http、https、ftp，smb格式例如:/news/a.html；文件共享格式例如：software 。端口方式：有单个端口，端口区间，端口序列三个选择项。端口号：根据端口方式的选择，可填写单个、一段连续的、或不连续的端口。是否隐藏：勾选后，在用户有权限访问该IP应用资源情况下，用户登录前台将不会显示该IP隧道资源。是否自动弹出：即一登录进PC前台页面，马上弹出该应用页面，不用用户手工点击。仅限IE形式和资源管理器形式打开的页面。图标：该资源在前台的显示图标。自定义图标可在【应用发布】【应用相关配置】【图标管理】模块页面上传。【隧道服务配置】选项卡，可配置IP隧道的模式和虚拟网络以及选择是否启用全隧道模式。隧道应用有三种工作模式：1、NAT模式，2、路由模式，3、网桥模式。NAT模式下，会将客户端源IP转换为设备分发的虚拟IP地址与服务器通信，如图33所示；图 30路由模式下，不会改变客户端源IP地址，需要在服务器端做个路由，即到客户端虚拟网络IP的包走我们设备的接口出去，如图34所示；图 31网桥模式下，客户端直接分配与设备接口同网段的IP地址，系统这时将是透明模式的（类似交换机），客户端直接用分配的内网IP地址与服务器通信，如图30所示；图 32注：NAT和路由模式下建议该虚拟网络不要跟客户端网络和服务端的网络一样，以免造成IP地址冲突。掩码的书写一定要与虚拟网络处填写的网络号对应，否则将无法保存，提示掩码错误。网桥模式IP地址范围一定要跟网卡IP地址在一个网段，并且是内网没有使用过的IP段。NAT模式和路由模式都需要在隧道路由配置页面配置与设备同网段的路由规则，该路由是下发到客户端的；网桥模式可不配置客户端路由，仅在我们的设备端有多网段的情况下才需要配置；注：网桥模式下，您会在【网络配置】【基本配置】【网络接口】信息里面看到相应设备接口的地址消失了。启用全隧道模式后，会出现短时间的断网现象，连接后，所有客户端访问都走隧道出去。（注意：目前版本需要配置隧道路由）【隧道路由】选项卡，通过隧道接入的客户端，如果需要访问某个网段里的服务器，需要在这里添加相应的路由配置。如果您在虚拟网络配置页面里面配置的是NAT模式或路由模式，则需要在这里配置客户端路由，包括设备本身所在的网段，如需要访问设备本身所在的网段，需要把该网段的路由发布出来。如果是单一网络结构，即我们的设备端只有一个网段，在网桥模式下，则不需要配置客户端路由。如图36所示：图 33添加/配置隧道路由，点添加后，出现以下配置界面：图 34【虚拟IP导出/绑定】选项卡。如图38所示： 图 35在此页面可以先导出虚拟IP列表，按照列表的格式编辑新的虚拟IP列表。注：若导入文本中包含中文字符，需转换为UTF-8格式的文本文件。只有私有用户才拥有手动设置虚拟ip的功能。图 36【虚拟IP列表】选项卡。如图40所示：在此页面可以先显示虚拟IP列表，并对相应虚拟IP进行绑定或解除绑定。 图 372.2.5 移动视频资源在移动端可以将摄像头视频资源发布出来，供实时查看。基本信息名称：移动视频资源在系统和用户界面的显示名称。描述：可为空。排序优先级：值越大在前台资源列表中的显示位置越靠前,不填或为0则按默认排序。启用：是否启用该IP隧道资源。配置参数URL地址：视频资源的地址。是否隐藏：勾选后，在用户有权限访问该IP应用资源情况下，用户登录前台将不会显示该IP隧道资源。是否自动弹出：即一登录进PC前台页面，马上弹出该应用页面，不用用户手工点击。仅限IE形式和资源管理器形式打开的页面。图标：该资源在前台的显示图标。自定义图标可在【应用发布】【应用相关配置】【图标管理】模块页面上传。图 382.2.4 单点登录单点登录的使用是需要您本身能访问该单点登录所发布的资源的前提下使用的，即您要能通过自身网络，TCP应用或者隧道应用下能访问到该资源，才能正常的使用单点登录打开您所要访问的系统。这里着重介绍【助手配置】模块，模板配置与助手配置原理相通，如需要配置单点登录，建议使用【助手配置】完成。【助手配置】模块首先你需要下载助手配置助手，可以在【单点登录】【助手配置】页面点击下载配置助手下载，录制好相关应用对应的XML文件。在下载的助手工具中会有详细操作说明。图 39添加/配置助手配置资源，点添加后，出现图41配置界面：图 40基本信息资源名称：助手配置资源在系统和用户界面的显示名称。描述：可为空。排序优先级：值越大在前台资源列表中的显示位置越靠前,不填或为0则按默认排序。是否启用：是否启用该助手配置资源。上传录制的XML文件：浏览选择制作好的XML文件路径并选择此文件上传。登录账号填写方式：该方式有三种：1）用户首次访问之前预先设置。选择该项，前台用户第一次访问该助手单点登录资源，会弹出用户名密码等信息的录入页面，填写好后，下次再访问时，即直接用第一次录入的信息登录发布的系统。2）自动填写为登录此设备的账户名和密码。如图38：可复选适用这样使用的用户类型。图 41选择该项后，前台用户第一次访问该助手单点登录资源，会弹出录入信息框，但是用户不需要录入用户名密码，只需要录入其他信息即可，填写好后，下次再访问时，即直接用登录SGA前台的账户和密码来登录该单点登录资源系统。3）自动从资源认证用户数据库获取并填写。该功能可直接从第三方数据库中取账户密码作为单点登录资源的登录账户密码。如图39：该项要与下面将介绍的资源认证用户数据库和资源账户关联结合使用。图 42用户数据库：该处选择，需要先在【资源认证用户数据库】模块先建立数据库资源。登录账户名关联：此处有三项选择：手动配置关联，同名关联，自定义规则关联。可查看旁边的查看说明链接了解其使用。其中手动配置关联需要结合资源账户关联模块使用。该关联配置是将要用在单点登录资源的数据库账户与SGA系统账户做关联。点击查看说明，如图44：图 43是否隐藏：勾选后，用户登录前台将不会显示该助手配置资源。是否自动弹出：即一登录进SGA前台页面，马上弹出该应用页面，不用用户手工点击。图标：该资源在前台的显示图标。自定义图标可在【应用发布】【图标管理】模块页面上传。2.2.5 IBOX云盘用户使用PC或手机客户端访问服务器时，支持从该服务器下载文件，远程打开并且支持从本地上传文件到服务器端。配置如下图45所示：图 44图 45启用IBOX：勾选后，即可启用该功能。用户独立配置：未勾选的话，那么所有用户的IBOX信息都是在这里配置，如果勾选，那么IBOX的信息会在【用户管理】【系统用户】【系统用户】看到图47的配置界面。IBOX云打开主机： IBOX打开远程文件调用的服务器地址。图 46存储系统类型：默认选择windows文件服务器。如果有专门存放文件的网络文件服务器，可以选择IP地址：该存储服务器的内网地址目录：存放上传下载文件的文件夹目录。注意：windows文件服务器目录格式：sharedoc，网络文件服务器目录格式：/share/doc用户名：能访问到该服务器的用户密码：能访问到该服务器的用户对应的密码登录域：如果要登录该服务器的域则填写该服务器的登录域状态：显示绿色字体已挂载则表示成功挂载了ibox，红色字体未挂载则表示没有成功挂载ibox。以上信息配置好后，使用手机客户端登录前台地址， 比如以ipad为例，在服务器地址栏输入,用户名密码输入demo/，登录进入资源列表后，选择【文件中心】，如下图所示：图 47注：如果在移动云管理平台没有配置相应的信息或者未授权使用该功能，该手机客户端ibox页面将不会显示任何信息2.2.6 应用相关配置包括【图标管理】，【内网主机】，【内网域名服务器】三个选项卡，为了配合配置的隧道应用使用，如图49所示：图 48【图标管理】选项卡，会内置一些应用图标在设备里，方便使用。可以自由添加符合尺寸要求的图片。内置图标如图46所示：图 49【内网主机】和【内网域名服务器】两个选项卡，主要实现功能：应用发布里面如发布的资源以域名形式发布的，需要配置此项。以下几种情况的配置方法：1）服务器端内部有DNS 服务器，客户端在连进我们的设备后需要由该DNS 服务器来解析相关的域名；或者管理员指定某个域名对应某个IP 地址，客户端在连进我们的设备后，需要通过这个域名的访问准确的定位到固定的服务器。这时只需要在该页面下把内部DNS服务器地址填写上即可。2）接入网络没有内部DNS服务器，只需要将固定域名对应固定IP的情况下。这时需要在该页面下把我们设备的本机地址填写上，即，然后到【网络配置】【基本配置】【主机解析】选项卡下配置IP与域名的对应关系即可。3）如应用发布里面的资源是发布的外网域名地址，如，同样也需要配置该页面，只需要将公网的DNS服务器地址填写上即可，因为所有发布的资源，无论内外网资源，只要是用户通过前台访问的，都会走隧道去访问，不会走用户本地的网络。【内网主机】选项卡如下图：条件过滤，可针对已经发布的资源，根据主机名称，IP 地址，状态进行单独、组合、模糊、精确等查询。图 50点击添加，出来图52界面，配置主机名称，IP地址、选择。图 51主机名称：用户要访问的域名或者主机名称；类型：固定IP 类型即给上面的主机名称对应一个固定的IP 地址，该IP 地址在下面的IP 地址项填写；DNS 解析类型即把上面主机名称的解析工作交由DNS 服务器做，然后把解析后的主机名称和IP 地址对应关系下发到客户机，DNS 服务器的指定可在“客户端域名服务器“或【网络配置】【基本配置】【域名服务器】下配置，如果这两个地址都有配置域名服务器，对于客户端主机名称的解析，客户端域名服务器优先级高于【基本配置】【域名服务器】。IP 地址：只在类型选择为固定IP 地址时填写，在客户机上，该IP 地址将对应上面配置的主机名称被写入客户机的hosts 文件里面。启用：是否启用该资源。【内网域名服务器】页面如图53：该配置页必须与内网主机配置结合使用。图 52配置客户端域名服务器：勾选该项，将启用客户端域名服务器。首选DNS 服务器：勾选上配置客户端域名服务器后，该项为必填项，填写DNS 服务器IP 地址。备用DNS 服务器：选填项，填写备用的DNS 服务器IP 地址。2.3 用户管理2.3.1系统用户条件过滤，可针对已经存在的系统用户，根据名称，所属用户组，用户类型，认证类型，真实姓名，描述，证书序列号，状态进行单独、组合、模糊、精确等查询。图 53点击添加，出现图55、56界面：图 54图 55用户基本信息用户名：用户登录前台的登录名称。真实姓名：可为空。E-Mail：该项需要在【认证与策略】【认证服务配置】勾选启用邮箱认证服务才会出现。描述：可为空账号期限：账号可以使用的有效年限。默认是当前时间+10年，用户在该期限内可以正常使用，超过该期限，帐号为过期状态，用户无法用该帐号登录。账户选项：勾选“启用该用户”，该帐号为启用状态，可以正常使用，没有勾选，该帐号为禁用状态，用户无法使用该帐号。勾选“私有账户”，新建用户默认勾选。即同一时间，该账户只能一个用户登录，除非在【认证与策略】【登录策略】勾选允许私有账户重复登录后，才允许私有用户也能同时多终端登录。匿名账户选项需要在【认证与策略】【登录策略】下，勾选匿名访问策略项才会出现。认证策略用户类型：该处能选择的用户类型共有7个，除本地用户外，其余类型需要勾选【认证与策略】【认证服务器】配置下的相关认证服务才会出现。在此出现的6种用户类型有：本地用户，LDAP用户，RADIUS用户，数据库用户， HTTP用户，本地令牌认证用户，手机令牌认证用户。认证选项：有用户名/密码和数字证书两个复选框，都勾选后，会显示认证方式同时使用（用户登录时必须同时使用用户名/密码认证和数字证书这两种认证方式才能认证通过）、任选一种（用户可任意选择使用用户名/密码认证和数字证书中的一种）辅助认证方式：可灵活选择是否启用硬件特征码绑定、短信验证和令牌认证等功能。勾选启用硬件特征码绑定选项后，在下面的认证信息框中会有“登录硬件特征码”的绑定信息显示。认证信息： 密码和确认密码：是用户名/密码认证方式要使用的密码选择证书类型：作为数字证书认证的证书选择类型，可选择X509证书和P12证书这两种证书类型其它配置：TCP限速：该功能可限制该用户每次登录前台资源访问页面使用隧道的流量，仅限TCP协议流量。(单位:KB/s,为0表示不限制)TCP流量总量限制：该功能项可按照每日，每周，每月来限制该用户使用隧道的总TCP协议流量。登录硬件特征码：如果用户所属组勾选使用机器码绑定策略，则用户首次登录时，系统会自动采集用户电脑上的CPU，网卡等信息来生成唯一标识该电脑的特征码并自动绑定。绑定后，持有这个特征码对应的电脑，平板或者手机才能使用这个账户进行登录。该功能使用说明：第一次配置时，管理员只需在系统用户组把绑定硬件特征码的勾上即可。用户在第一次成功登录后，设备会对应登录的用户记录下第一个使用该账户登录电脑的特征码信息到缓存区，当硬件特征码发生变化时，可以保存，但需要审批才能使用新的硬件特征码登录。虚拟IP：私有账户默认开启该功能。该项需要与IP隧道结合使用，即在使用IP隧道资源时分配的虚拟IP地址可以给每个用户绑定固定的虚拟IP地址。为了防止IP地址冲突，绑定虚拟IP的用户都强制为私有账户。并且管理员在配置时一定要注意不要把IP段的第一个地址分配给任何用户（如），因为第一个虚拟IP地址将给设备使用的。同时也要注意一个用户对应一个固定的虚拟IP，相同的虚拟IP地址不要绑在不同的用户上。虚拟IP地址的范围参照你在隧道服务配置页配置的虚拟网络，在配置用户时也有相应的说明及检查。使用组的时间策略：勾选此项后，该用户的登录时间将采用他所在组的时间登录所属站点。如果该用户加入了多个组，时间策略为所有组时间叠加后的时间。自定义开放时间：如果勾选上面的“使用组的时间策略”，该项将消失，反之，用户将使用自己的时间策略登录所属站点。“远程用户组”：新建/编辑系统用户或者点同步所有按钮，可以把系统用户自动同步到iserver服务器上去，意思是会在iserver服务器中创建一个以SGA_加对应的系统用户名命名的用户。可以根据需要选择加入Remote Desktop Users,Administrators，Power Users，Users的一个或多个组内。默认添加到Remote Desktop Users组。所属用户组：从左边选择用户需要加入的组，添加到右边。如果用户所在的用户组被禁用了，则用户登录到前台，将无法看见和使用该用户组的任何资源。添加系统用户成功后可以如下所示：（以添加CABTest用户为例）图 56可在图57所示页面对CABtest账户进行编辑，查看，删除等操作。登录记录按钮。可查看账户CABtest最近的登录记录，CAB账户按钮可为CABtest账户绑定属于它的CAB资源自动登录账户，前提是需要CABtest账户下有可以访问的CAB资源。【批量添加用户到组】选项，如图58。在这里，可以批量添加已有用户到特定组，图 57【用户批量移出组】选项卡如下图所示：选择当前用户组，在下面列表会出现该组里面的所有用户，这时你可对该组的用户进行查看和删除动作。图 58【批量修改用户属性】选项卡如图56所示。在这里，可以批量修改用户的账号期限，启用账户选项，私有账户选项，TCP限速设置，TCP流量总量限制，硬件特征码启用选项、清除已绑定硬件特征码和清除已绑定SIM卡特征码。图 59【用户多硬件绑定管理】选项卡如图57所示。图 60在这里，所有终端使用硬件特征码绑定前都需要先申请，管理员审批通过的会显示硬件ID，绑定时间以及绑定状态为已绑定。未审批的在记录后面会有批准的按钮。图 612.3.2系统用户组条件过滤，可针对已经有的用户组，根据组名，描述，组类型，状态进行单独、组合、模糊、精确等查询。图 62点击添加，出来以下界面：图 63用户组名：在系统里显示的用户组的名称。描述：可为空。组类型：该处能选择的组类型共有3个，除本地用户组外，其余类型需要勾选认证管理认证策略下的相关认证服务才会出现。在此出现的3种用户类型有：本地用户组，LDAP用户组，HTTP用户组。RADIUS认证类型：该处有三种认证类型，分别是：短信认证，令牌认证，证书认证。勾选相关认证后，所属组会使用该认证类型。开放时间：限制该组一天内能正常访问的时间段，默认是全天任何时间。原则上，用户开放时间范围应该在用户组的开放时间之内。是否启用：是否启用该组。“资源分配”：分配该组能访问的应用资源。添加系统用户组成功后可以如下所示：（以添加demo用户组为例）图 64可在图61中对demo用户组做编辑，查看，删除操作。导入LDAP用户组选项卡。如图62所示：图 65选择对应的LDAP服务器。根据组类型导入相关的组。2.3.3导入/导出用户该功能模块可从第三方数据库，LDAP服务器及文本文件中批量导入用户到系统用户中，同样也可以将设备中的系统用户导出到文本文件，并批量更新用户的配置信息。该模块包括四个选项卡：【从数据库导入】，【从LDAP服务器导入】，【导入文件】，【导出/更新】。从数据库导入页面如图63：选择数据库：有新建数据库连接和已有数据库连接可选择。选择已有数据库连接需要首先在【认证与策略】【认证服务器】配置下，勾选启用数据库认证服务，然后在【认证服务器配置】【数据库认证模块】中配置好相关数据库信息（具体配置请参照下面介绍的数据库认证页面配置说明）。这时再到从数据库导入页面选项卡选择已有数据库连接，即可看到在数据库认证页面配置好的数据库。我们的系统暂时只支持MYSQL，Oracle，Sybase和Microsoft SQL Server四种数据库的用户导入。点击从数据库导入选项卡，配置相关选项。以下我们以新建数据库连接为例：图 66上图中选择新建数据库连接，然后数据库项再选择Microsoft SQL Server，配置好相关信息后，可点击测试连接按钮检查数据库是否可以正常连接上，如图64：图 67点测试连接，如果提示连接正常，则表示数据库与SGA连接无问题，如图65:图 68点确定，可以点击下一步进入下个阶段，如图66：图 69图 70上图中，用户名对应字段和密码对应字段项中，会出现数据库表里面的所有字段选项，你只需把数据库中的字段名与系统用户的字段名做个对应即可导入你想要的用户信息。可以根据用户实际需求可以选择使用证书认证，导入真实姓名，证书序列号等，其他不需要导入项配置好后，所有用户将使用相同的配置。在导入第三方数据库用户时，还可以字段名对用户表中的用户进行筛选导入。从LDAP服务器导入页面如图68：要使用此功能，首先需要在【认证与策略】【认证服务器配置】中，勾选启用LDAP服务器认证，然后在【认证服务器配置】【LDAP认证】模块页面中配置好LDAP服务器资源。做好以上配置后，可进入从LDAP服务器导入选项卡，在LDAP服务器项选择你要导入的LDAP服务器。按照要求配置下面各项。其中搜索路径项，可以按照你选择的按LDAP组织单位导入还是按LDAP角色组导入。如果选按LDAP组织单位导入，如下图所示。点击选择按钮自动搜索，并可在搜索完毕后的弹出框中自行选择后自动填入。图 71图 72按照以上要求进行配置后，点击导入即可。如果选