安全管理(域控制器)安装手册

1、安全管理（鉴权）安装手册叶家青 2006-4-20前言第一节 目的指导部署安全管理系统。第二节 内容本文介绍GP-NMS-SECURITY-V2.0系统的安装配置过程。在执行安装程序前，请首先安装以下几个支撑软件：Oracle Client 9i（安装在应用服务器）域控制器（操作系统为2003SERVER）授权管理器（操作系统为Windows2000SERVER,应该和域控制器安装一起）其中包括：准备安装；安装；配置；测试。第三节 谁应该读这本书本文针对省级移动网管系统三期和联通网管二期的系统安装，适用于软件安装和维护人员。第一章 准备安装第一节 软硬件要求硬件平台：两台PC服务器（P4 CP

2、U，256M Mem，50M Hardware） 软件要求：1、 Windows 2003 Server + IIS 5.0以上；2、 IE 6.0以上；3、 ；第二章 安装Oracle Client 9i 客户端第一节 首先需要注意的地方支持9i（开发环境是.1版本）建议安装该版本。第二节 安装正确安装数据库的客户端，配置nrmdb的数据库配置。第三节 Oracle l 对于9.2.0以上的版本会出现创建环境变量不成功的问题，这个问题是因为Web以NetWork Service帐号访问的，该版本及以上版本对权限设置的更细，所以需要吧NetWork Service 赋给Oracl

3、e客户端的根目录，如下图。l 如果出现OCI.Dll找不到，可能是安装不完全造成的，在oraibin下边没有该文件；需要将该文件拷贝过来或者重新安装；一般情况安装完成后需要重新启动机器。第三章 安全管理用到的表第一节 用到的表系统自身用到的表：l Taa_sm_acll Taa_sm_config公共表：l objects，l meta_objectsl objects_manul objects_manu_rl Tai_userinfol Tai_appnamel Tca_negrp_definel Type2string第二节 主要表的唯一标识和索引主要表的唯一标识：l 表taa_sm_a

4、cl 唯一标识：Role_name,object_idl 表taa_sm_config唯一标识：Role_name+object_id+ object_id 1+object_id 2+object_typel 表tai_userinfo唯一标识：（1）USER_ID（2）ZH_NAME（3）USER_NAME必要索引：下面是要创建的索引：请现场注意检查：l CREATE UNIQUE INDEX SYS_C0015250 ON NRMDB.TAI_USERINFO(USER_ID)l CREATE UNIQUE INDEX nrmdb.tai_userinfo.username_index

5、ON NRMDB.TAI_USERINFO (USER_NAME)删除，由程序判断如果已经创建的，需要删除 第三节 注意事项l 公用表中必须要有数据，而且一定要完善，否则可能会出现一些树图展不开的情况！l 安全管理系统用到的表是存储在资源数据库（nrmdb）中，在nmosdb中是同义词的方式存储，请现在确认和注意。第四章 安装域控制器域控制器选择一个操作系统为Windows 2003的机器。第一节 安装步骤一：进入服务器（windows server 2003系统），打开【管理工具】-【管理您的服务器】；步骤二：点击【添加或删除角色】；步骤三：点击【下一步】，等待步骤四：选择域控制器（Acti

6、ve Directory），点击下一步；步骤五：选择新域的域控制器，点击下一步；步骤六：选择在新林中的域，点击下一步步骤七：输入域名称（至少有一个点号）；步骤八：指定域名称；步骤九：指定数据库和日志文件；步骤十：DNS注册诊断；步骤十一：权限设置步骤十二：设置密码，密码与域管理员密码一致步骤十三：点击下一步；步骤十四：等待步骤十五：安装完成。第二节 提升域功能级别步骤一：打开活动目录，【管理工具】-【Active Directory 用户和计算机】；步骤二：选中Active Directory 用户和计算机点击鼠标右键，选择【提升级别】；步骤三：选择indows Server 2003，点击【

7、提升】，提升成功；第三节 修改密码策略在修改密码时一般很难输入符合密码策略的密码，因为根据window的默认域密码策略很难设定密码，所以必须修改密码策略。可以通过如下方式修改：步骤一：打开【管理工具】-【域安全策略】；步骤二：选择【window设置】-【安全设置】-【帐户策略】-【密码策略】；步骤三：将选项设定为：n 密码必须符合复杂性要求：已启用；n 密码长度最小值：8个字符；n 密码最长使用期限：32；n 密码最短使用期限：；n 强制密码历史：个记住的密码；n 用可还原的加密来储存密码：已禁用；步骤四：【开始】-【运行】运行gpupdate /force命令，更新策略。如果系统提示找不到g

8、pupdate /force，可在运行中执行cmd,把路径指到gpupdate所在的目录下(C:WINDOWSsystem32)再执行即可注意：密码最长使用期限设定为，即表示无期限，如果设定为“没有定义”，系统会自动将密码最短使用期限改为“没有定义”密码最短使用期限如果设定为“没有定义”，系统会默认为，即密码必须使用超过天才能更改。强制密码历史如果设定为“没有定义”，系统会默认为，即新密码不能与以前用过的24个密码中任何一个相同。第四节 创建网管中心组织单元在默认情况下我们的用户都是存放在这个目录下，创建完后选中该组织单元的属性，然后在安全中添加适当的用户（根据自己的需要，安全系统以什么用户访

9、问该目录）。其中给authenticated users 全部权限。注意：安全选项只有在Active Directory用户和计算机的【查看】功能中选中【高级功能】后才能看到。第五章 安装授权管理器一般情况将授权管理器安装在域控制器所在机器上，步骤如下。步骤一：【开始】-【运行】键入MMC 打开控制台；步骤二：菜单栏选择【控制台】-【删除添加管理单元】；步骤三：在删除添加管理单元中点击【添加】，选择授权管理器，点击【确定】进入授权管理器界面；步骤四：点击授权管理器右键-【选项】，选择开发人员模式，点击【确定】；步骤五：点击授权管理器右键，创建一个新的授权管理器（可以选择活动目录，也可以选择XM

10、L文件；建议选择活动目录），在存储名称中在添加”CN=BOCO,”或者其他名称；步骤六：在BOCO上选择创建应用程序，点击BOCO右键；步骤七：输入应用程序名（系统默认是NMS4，建议使用该名字）称和其他信息，点击【确定】完成添加应用程序；步骤八：设置安全权限：设置权限，这一项很重要，如果不设置，系统将无法正常访问！选中BOCO改授权管理器，右键选择属性；将Authenticated Users 用户添加进来，这个用户是系统用户（它允许加入到域的计算机用户访问，实际上它相当于域中的计算机）；附录：FAQ问题一：初始化授权管理器STORE不成功n 授权路径是否正确：CN=BOCO,CN=Prog

11、ram Data,DC=boco,DC=com；n 权限是否配对：将Authenticated Users 用户添加到授权管理器BOCO的安全中。问题二：机器不够用怎么办建议在WebServer上安装两个虚拟机，一台做域控制器，一台运行集中鉴权的程序。windows2000可以用vmware，windows2003可以用virtual server 2003。 问题三：添加用户时报：“添加用户失败：一般性拒绝访问错误”n 需要将集中鉴权的机器加入域，并且以域用户启动，该机器；以域用户访问授权网页。 n 配置文件中的ADUsername配置是否正确，是否将该用户付给网管中心。问题四：对用户分配角

12、色时报错。对用户分配角色时报：“角色分配失败！向角色添加成员bocoxpz出错！有可能该成员已经在该角色中了，或者是您没有权限进行这样的操作。此工作站和主域间的信任关系失败。”n 需要将集中鉴权的机器的指到域控制器；n 修改应用服务器的名字重新加入域中；问题五：能够创建用户，但修改用户出错。能够创建用户，但设定和修改用户可用性和密码时报错：“调用的目标发生了异常。System.UnauthorizedAccessException: 拒绝访问。”使Web.config中设定的ADUsername用户拥有Domain Admins的权限。因为ADUsername用户在程序中是用来创建用户和设定用

13、户密码的，如果只有Domain Users的权限则只能创建同级的Domain Users，但不能设定该用户的密码。注意：由于ADUsername用户的密码不能更改，所以不要使用administrator用户。 问题六：密码复杂度问题。在修改密码时报错：“修改用户失败：在设置用户的可用性或密码时发生错误！调用的目标发生了异常。System.Runtime.InteropServices.COMException (0x800708C5): 密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。” 需要修改域安全策略：window的默认域密码策略很难设定，可以通过如下方式修改：1

14、）打开“管理工具”->“域安全策略”2）选择“window设置”->“安全设置”->“帐户策略”->“密码策略”3）将选项设定为：密码必须符合复杂性要求：已禁用密码长度最小值：0个字符密码最长使用期限：0密码最短使用期限：0强制密码历史：0个记住的密码用可还原的加密来储存密码：已禁用运行gpupdate /force命令注意：n 密码最长使用期限设定为0，即表示无期限，如果设定为“没有定义”，系统会自动将密码最短使用期限改为“没有定义”；n 密码最短使用期限如果设定为“没有定义”，系统会默认为，即密码必须使用超过天才能更改n 强制密码历史如果设定为“没有定义”，系统会默

15、认为，即新密码不能与以前用过的24个密码中任何一个相同。问题七：如果想让用户可以通过自己的帐号加入到域，如何保证域控制器的安全性？如果想让用户可以通过自己的帐号加入到域，必须要使该用户属于Domain Admins组（这样就保护了administrator用户的密码）。但集中鉴权程序默认是将用户加入Domain Users组，所以必须使将Domain Users加入到Domain Admins组才能让用户自己将机器加入到域中。域控制器的安全性就会受到威胁，可以通过如下两个方法避免：1) 设定允许终端服务登录的用户名n 打开“管理工具”->“域控制器安全策略”n 选择“window设置”-

16、>“安全设置”->“本地策略”->“用户权限分配”将“通过终端服务允许登录”设定为Administrator 2) 去掉windows默认共享。问题八：域安全策略和域控制器安全策略有什么不同？顾名思义，域安全策略是针对整个域，而域控制器安全策略只是针对域控制器这台机器的，对我们用户起作用的是域安全策略。问题九：TAI_USERINFO表说明。为什么使用了2003集中鉴权方式后，还要在数据库的tai_userinfo表中有一条相同用户名的记录？是程序设计的不彻底造成的。1) 即使设定的是通过2003集中鉴权方式，由于AD中没有保存user_id，NMSecurity4.dll需

17、要在数据库中读取user_id供程序使用。2) 上层的ava程序（NMClient, SCClient）没有使用NMSecurity4.dll组件，只能使用数据库的方式来鉴权。问题十：如何在集中鉴权中创建用户和设定密码都失效时使用安全管理？1) 可以在域控制器中直接创建用户和设定密码2) 向nrmdb中插入记录：insert into tai_userinfo (user_id, user_name, password)values(2011, 'bocosradmin', 'sradmin');3) 在集中鉴权中对该用户授权 4) 在集中配置和性能报表的web

18、.config都需要这样配置。 问题十一：为何在使用了2003鉴权后，应用程序都不能显示地区？需要在角色授权中对角色赋予地区级的控制：在树图类型中选择“对象”，在左边的树图上选择“应用&网元类型”，“应用&地理类型”中选择地区即可。问题十二：Oracle数据库问题。Oracle 数据库可能会出现“Could not create an environment:OCIEnvCreate return -1”和“”1) 找不到oci.dll是因为在安装的Oracle客户端的时候不正确，bin目录下并没有该文件，需要重新安装客户端，有时候从别的地方拷贝过来也可以。如果还不行，将net

19、work service帐号加到orc9i访问权限，然后重新启动。2) 不能创建环境变量返回-1是因为Oracle.1往后版本增加了安全性，集中鉴权程序是用Network Service访问的，需要将该帐号赋予访问Ora9i的权限。如果这样还不行则建议安装.1版本，这个版本是开发版本，没有问题的；因为Oracle9.2版本也支持低版本的客户端，所以完全没有问题的。问题十三：鉴权时发生错误初始化授权管理器store时发生错误1) 授权路径不正确2) 没有将Authorization Users 赋予为BOCO访问权限。问题十四：怎样融合Portal系统大多数省份都没有上该系统，如果上了该系统需要启用配置项SystemTag，并且需要在host中添加.12 eomsws 项；这个项指向portal的Web service。问题十五：手动注销日志组件若要部署前请手动注销日志组建（authoriz