安盟多因素身份认证系统网络代理客户端v7

1、安盟多因素身份认证系统网络代理客户端v7.x使用手册安盟(中国)电子信息安全有限责任公司2019年11月版本管理版本摘要作者时间1.00基本操作陈俊2019/11/20目录1 前言1.1 适用范围1.2 支持平台2 安装在客户端上的操作：在安盟认证代理Windows版V7.1安装目录中运行 setup.exe 文件(注: 在该目录中，有两个目录，分别对应32位和64位系统，请根据客户端的真实环境选择正确的安装。)。根据提示一路确定或下一步，直到出现指定配置文件（sdconf.rec）所在目录， 如下图：在这里，为便于查找，可将sdconf.rec放在C盘根目录中，点击下一步。如果你指定的目录中

2、没有sdconf.rec， 则会提示“Invalid sdconf.rec”，请重新指定。如果能找到sdconf.rec，则会提示你将开始安装，如下图所示：点击安装按钮，直到安装完成。3 测试3.1 基本测试主程序功能说明：1 认证服务器： 在这里输出的信息，是认证服务器的信息，请比对该信息是否和你网络环境中的一致。如果有问题， 请在认证服务器中重新生成配置文件(sdconf.rec)，并更新到system32目录中。2 域名和本地IP地址： 如果你的机器加入的域，请在此设置好域名，不然的话，在登录的时候，则需要你手动将域名输入，即你的帐号名为“域名登录名”，如果在这里设置了域名，则在登录的时

3、候，只要输入“登录名”即可。需要设置域名，请在域名和本机IP地址中上面的输入框中输入，下面地址栏中，请输入客户端本地的地址，即192.168.1.102。客户端本地的地址一定要设置，且在设置完成之后，需点“保存配置”进行保存。3 安盟认证客户端状态：首次安装的时候，安盟认证客户端状态为禁用，即登录的时候，不需要使用动态密码。如果需要在登录的时候，使用动态密码，请点击“启动安盟认证”按钮。注： 在启动安盟认证之前，请先做认证测试，并认证测试成功。4 过滤器：如果你在登录Windows的时候，只想看到安盟的登录选项，请勾选“启用过滤器”，如果不选则，那么在登录的时候，将会看到Windows默认的登

4、录选项和安盟的登录选项。5 保存Windows口令：如果勾选了保存Windows口令，那么在登录成功之后，会将Windows的密码记录下来，等下一次再登录的时候，就不需要再输入Windows密码了。6 启用屏保保护：当勾选了启用屏保保护之后，在解锁的时候，需要验证动态密码，如果不勾选，那么解锁的时候，就不需要验证动态密码了。7 用户： 在这里，请将需要使用动态密码的用户添加，即启用了安盟认证之后，如果你没有在此添加用户，那么所有的帐号都不能登录。如要增加，请按增加用户按钮。8 认证测试： 使用该功能，可验证客户端和认证服务器之间是否能正常通讯，并测试帐号采用动态密码能否正常使用，如下图所示：注

5、： 请在认证测试成功之后，再启用安盟认证功能。9 增加用户： 在启动安盟认证功能之后，所有需要登录Windows的帐号，都需要在安盟认证代理软件中增加， 没有增加的用户不能登录Windows系统。增加用户时，需要指定用户名（即Windows的登录名），主机密码（即Windows密码），预留口令（即客户端如果和认证服务器之间无法通讯时所输入的密码）。日志排除故常。根据日志判断故障3.2 认证日志排错选择开始程序安盟认证服务器7.0认证日志查看器，在经过权限验证后(只有管理员级别的用户方可查看该日志)，可查看认证日志，如下图：如果用户登录有问题，或者在测试时，都可以通过查看认证日志，找到问题所在。

6、常见的认证日志错误及解决办法如下所示：3.2.1 密码不正确认证信息如下：解决办法：1 如果是所有登录某个代理主机的用户均报密码不正确，请确定代理主机对接的协议：a) 如果是RADIUS协议，请确保双方的RADIUS共享密钥一致。b) 如果是SECURID协议，请清除代理主机上的节点密文。2 请确保用户的密码类型，a) 如果是静态密码，请确保静态密码没有过期，并重置密码。b) 动态密码i. 请确保用户令牌的状态为可用状态；ii. 请确保用户的令牌没有过期；iii. 请重置令牌的PIN码，并同步令牌。3.2.2 用户不在代理主机上认证信息如下：解决办法：1. 根据日志信息中的操作主机信息，请确保

7、 192.168.1.103 已经添加成为了代理主机，如果尚未添加，请根据6.2添加代理主机中所描述的步骤进行增加。2. 如果已经把 192.168.1.103 添加成了代理主机，请确保代理主机向root用户开放了访问权限，可根据6.5激活代理主机小节中所描述的内容进行授权。3.2.3 需要设置新PIN码1) 当认证对象为令牌序号时，表示用户的令牌模式钩选了使用PIN，但尚未设置PIN码，或者是用户令牌的状态为新PIN模式，如下图所示：解决方法：a) 在编辑令牌窗口，点击编辑PIN码按钮，手动设置PIN码，并将令牌的状态设置为启用状态。b) 通过认证代理软件或支持RADIUS挑战应答的工具，并

8、根据提示设置PIN码，如下图所示：PIN设置成功，在认证日志中，将新生成一条设置新PIN码成功的日志，如下图所示：3.2.4 需要下一个令牌码当用户令牌的模式钩选了启用下一令牌码，且令牌的状态为下一令牌码时，在用户输入正确的PIN码+令牌码后，会提示需要下一个令牌码，如下图所示：解决办法：a) 在编辑令牌窗口，将令牌的状态设置为启用状态，并保存。b) 通过认证代理软件或支持RADIUS挑战应答的工具，并根据提示设置PIN码，如下图所示：所谓的下一个令牌码，是相对于用户登录时，所输入的那个令牌码来讲的，假设有以下5个令牌码：387212413870785858341375901562假设，用户在

9、登录时，输入的密码是abcd1234413870，其中，abcd1234是PIN码，413870是令牌码，那么，等413870变化之后的第一个令牌码，就是下一个令牌码，即785858。下一个令牌码验证成功之后，在认证日志中，将新生成一条登录成功的日志，如下图所示：3.2.5 没有可用的令牌当用户在登录的时候，输入了正确的PIN码+正确的令牌码，得到没有可用的令牌时，表示用户的令牌已经过期了。解决方法：请为用户重新分配一个没有过期的令牌。4 保护设置4.1 主机设防注意： 在做这个操作之前，请确保上一步（认证测试）操作成功。打开主程序之后，点击“启用安盟认证”按钮，钩选“启用过滤器”，并增加登录的帐号。按上述配置好之后，在登录Windows的时候，只会出现安盟的登录选项，如下图所示：请输入用户名和动态口令进行登录，登录时，不需要输入Windows密码。4.2 5 主机撤防要取消保护Windows主机，需点击“禁用安盟认证”，并将“启用过滤器”钩