中软统一终端安全管理系统80安装手册

1、u非常感谢您选用我们的，本手册用于指导用户安装中软统一终端安全管理系统 8.0（中文简称安全管理系统），请您在安装仅提供电子文档。前，详细阅读本手册。本手册和系统一并出售且Copyright © 2008 by CS&S，中国软件与技术服务所有。u中软统一终端安全管理系统 8.0 是中国软件与技术服务研发的受法或律保护的商业软件。遵律是共同的责任，任何人本软件和手册，权利人将人，不得以及出于任何目的或者责任并保留要求赔偿的权利。u任何人或实体由于该手册提供的信息造成的任何损失或损害，中国软件与技术服务股不承担任何义务或责任。份系统中文名称：中软统一终端安全管理系统 8.0英文

2、简称：UEM8.0开发：中国软件与技术服务的中国软件与技术服务地址：北京市海淀区学院南路 55 号中软：（010）邮箱：waterbox，1000812前 言目前，个人计算机系统成为组成企业、的主体，也是绝大多数泄密发生的。，中软研发的终端安全管理系统是内网安全管理的，是加强个人计算机内部安全管理的重要工具。它作为国内市场上第一款成内部安全管理软件，填补了国内在该领域的空白，为我国保障工作注入了新的活力。本书详细了中软统一终端安全管理系统 8.0 安装全书共为七章。，为用户在安装时提供参考，第一章：系统概述第二章：体系结构和运行所需软硬件环境第三章：服务器安装与卸载第四章：台安装与卸载第五章：

3、Windows 客户端安装与卸载第六章：Linux 客户端安装与卸载第七章：审的安装与卸载本书内容全面，深入浅出，适合安装、使用中软统一终端安全管理系统的用户读者；检测、评估中软统一终端安全管理系统的技术和以及希望使用中软统一终端安全管理系统协助对其组织、机构或企业进行管理的管理等。本手册在编写过程中，尽管我们做了最大努力力求完美和准确，但由于水平有限，难免疏漏和缺陷之处。如果您对本手册有任何疑问、意见或建议，请与我们。感谢您对我们的支持和帮助。通用研发中心2015 年 11 月3目录第一章系统概述. - 1 -第二章体系结构和运行环境. - 3 -2.1系统体系结构. - 3 -2.2推荐硬

4、件需求. - 4 -2.3推荐软件需求. - 4 -第三章服务器安装与卸载. - 5 -3.1安装前准备. - 5 -3.1.1数据库的安装. - 5 -3.1.2添加 IIS 服务.- 15 -3.1.3配置认证服务.- 18 -3.2服务器的安装. - 61 -3.3服务器的卸载. - 78 -3.4服务器的升级. - 79 -3.5配置补丁服务器. - 80 -3.6补丁的导出和导入. - 84 -第四章台安装与卸载.- 86 -4.1台的安装. - 86 -4.2启动台系统. - 91 -4.3台的卸载. - 93 -4.4台的升级. - 95 -第五章WINDOWS 客户端安装与卸载

5、.- 96 -5.1安装方式. - 96 -5.1.1简单安装方式.- 96 -5.1.2认证安装模式.- 99 -5.1.3定制安装模式.- 102 -5.1.4自由安装模式.- 107 -5.1.5KEY 用户安装.- 108 -5.1.6域用户静黙安装.- 110 -5.2客户端升级. - 112 -5.2.1手动升级.- 112 -5.2.2自动升级.- 113 -5.3客户端的卸载. - 114 -5.3.1自动卸载.- 114 -5.3.2本地卸载.- 115 -第六章LINUX 客户端安装与卸载.- 118 -6.1客户端的安装. - 118 -6.1.1图形界面安装方式.- 1

6、18 -6.1.2静默安装.- 123 -6.2 客户端的卸载. - 126 -6.2.1台下发卸载命令.- 126 -6.2.2 客户端本地卸载.- 127 -第七章审的安装与卸载.- 129 -7.1安装前的准备. - 129 -7.2审的安装. - 129 -7.3审的卸载. - 134 -5第一章 系统概述第一章系统概述近年来，内网安全问题已经逐渐引起了各级的广泛重视，企业安全意识增强，安全投入增加，但是安全却不断在增多。分析其主要是因为安全解决方案缺陷，边界重视，内网安全的关注程度不够。同时国外的一项安全显示，超过 85%的安全威胁来自于内部，其危害程度更是远远超过及造成的损失，而这

7、些威胁绝大部分是内部各种和的操作行为所造成的,几乎没有一家企业管理不为企业终端的安全管理问题而苦恼。为了解决这些问题，很多用户采购并部署了多个终端安全管理的安全，比如：认证、补丁管理、软件分发、防软件等等。但是这一系列不同厂商的软件都是各自为政。每种软件都需要有其的服务器、的立的客户端，最终结果是将终端个人桌面系统划分为一个个的孤岛，导致管理和出现安全漏洞。同时客户端上不同的需要重复的占用很多系统，导致个人桌面系统运行速度变慢，系统性能严重下降。内网终端的安全实施是一个系统工程。安全问题涉及认证、数据性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务。内网终端安全管理是一个的、多

8、方位、多层次的系统问题。为此，中国软件与技术服务研发了中软防水墙系统,在历经了 7.0、7.0+、7.2、7.2R2 等版本的基础上，又推出了中软统一终端安全管理系统 8.0。中软统一终端安全管理系统 8.0不同安全等级的关键业务,进行风险分析并形成对各种风险适度的安全策略,依据涉密系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所安全风险和实施安全保护措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护，把各安全的功能模块融合在一个统一的管理、和响应的系统中。通过统一的桌面管理系统，提供综合的功能管理和安全的性能管理，从而降低系统的

9、复杂度和维护管理成本。中软统一终端安全管理系统 8.0 的主要功能是对客户终端桌面系统进的管理，对所有的桌面系统应用统一的安全策略，对所有的终端用户采用统一的管理策略，对终端产生的日志进的分析，为所有管理员提供统一的应急响应知识库。具体体现在从以下几个方面对终端桌面系统进行管理：u终端安全管理按照企业终端计算机安全管理规定，对接入内网的计算机进管理，配置终端计算机的安全策略，保证终端计算机的安全运行。它有安全策略管理、终端入网认证、用户认证、进程管理、防软件监测、补丁分发管理、临时文件删除和文件安全擦除。u终端运维管理- 1 -第一章 系统概述按照统一的安全策略客户端的运行状况，通过软件自动分

10、发和软硬件资产的统一管理，大大节约了企业信息系统的维护成本，通过系统帮助实现维护计算机，清除系统故障。它软件分发管理、软硬件资产管理、系统运行状况和用户帮助。u用户行为管理通过信息外泄途径的方式保护企业敏感信息的安全，防止用户误操作或行为带出企业敏感信息。它失泄密管理、介质管理、打印机管理和硬件接口管理。u数据安全管理从多个方面和多个层次实现对用户数据的安全管理。它：用户桌面安全保险箱，实现了终端用户对个人、小组等需要防护的数据的主动加密要求；安全文档管理，该功能从底层实现了企业对某类型的敏感数据的强制加密要求；移动介质管理，该功能帮助企业实现了移动介质数据的防护，实现了“外部的U 盘进来使不

11、了，里面的U 盘出去不可用”。u终端接入管理通过终端接入认证和主机扫描实现对接入的客户端进行认证，认证通过的可以连接网络，对通过其他途径进入的主机，通过扫描工具发现并告警。- 2 -第二章 体系结构和运行环境第二章体系结构和运行环境2.1 系统体系结构系统分为三个组件：客户端、服务器和台，系统采用分布式，集中式管理的工作模式。组件之间采用C/S 工作模式，组件的通信是采用 HTTP/HTTPS 加密传输方式。支持任意层级的服务器级联，上下级服务器之间采用 HTTPS 协议进行。体系结构如图1所示。图 1系统体系结构图n客户端：安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现

12、客户端安全策略管理。一旦发现用户的行为或计算机的安全状态异常，系统及时向服务器告警信息，并执行预定义的应急响应策略。n客户服务器：安装在专业的数据服务器上，需要数据库的支持。通过安全认证建立与多个的连接，实现客户端策略的和下发、日志的收集和。上下级服务器间基于HTTPS 进行通信，实现组织结构、告警、日志统计信息等数据的搜集。- 3 -第二章 体系结构和运行环境n台：人机交互界面，是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。2.2推荐硬件需求表格 1 系统推荐硬件需求2.3推荐软件需求表格 2 系统软件需求提示：n 安全管理系统服务

13、器，服务器软件和支持数据库。建议在主机上安装安全管理系统服务器，并且关闭所有与安全管理系统无关的不必要的服务。支持操Windows 2003 系列，推荐 Advanced Server 版本。为 MSn 以上操，没有特别说明，仅指 32 位操。安全管理系统客户端不支持 Linux 系统，不能在 windows 双系统下同时安装UEM 客户端。n 为保证用户正常使用安全管理系统，最好将安全管理系统服务器、台和客户端分别运行于丁。的系统之上，同时用户安装前应将 Windows 版本进行升级，安装各自版本最高补- 4 -操所需其他软件支持服务器SQL Server 2000+SP4SQL Serve

14、r 2005Microsoft Windows Server 2003 / Advanced ServerSQL Server2008或达数据库。硬件“加密锁”驱动程序台Microsoft Windows Server 2003 , Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP客户端Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP Professiona

15、l，Microsoft Windows Server 2003，Microsoft Windows Vista (Ultimate / Business)， Microsoft Windows7（Ultimate / Enterprise / Business）（32/64 位） Ubuntu12.10审SQL Server 2000+SP4Microsoft Windows 2000 Professional / Server / Advanced Server,SQL Server 2005Microsoft Windows XP, Microsoft Windows Server 200

16、3SQL Server2008或达数据库客户端个数<200200-500500-1000>1000服务器主机个数1111+服务器CPU P4 3.0 RAM 1GB HDisk 120GBCPU P4 3.0 AT RAM 2GB HDisk 240GBCPU P4 3.0 AT RAM 4GB HDisk 480GBCPU Xeon 1G*4 RAM 4GBSCSI Disk 240GB RAID 5台CPU P4 2.0 RAM 512MBHDisk 40GBCPU P4 2.0 RAM 1GBHDisk 40GBCPU P4 3.0 RAM 1GBHDisk 40GBCPU

17、P4 3.0 RAM 1GBHDisk 80GB客户端审CPU P4 2.0/ RAM 512MB/ HDisk 40GBCPU P4 2.0/ RAM 512MB/ HDisk 120GB（参考服务器硬盘大小）第三章 服务器安装与卸载第三章 服务器安装与卸载安全管理系统服务器安装指南主要数据库 SQL Server 2000 的安装和服务器软件的安装。为保证服务器的正常通信，需要放开客户端与服务器通讯端口：3873、8080、8443、8180、8280、8380、8543、8643、8743、1199、1299、1399；台与服务器通讯端口：1098、1099、3843、3873、4444

18、、4445、8093，同时也应确保 SQL SERVER 的 1433 端口开放。在正式安装安全管理系统服务器前，需要作以下准备工作：nnn安装 SQL SERVER 服务器(或达数数据库)； 配置 IIS 服务，以支持补丁管理功能的运行；配置 IAS 服务，在启用终端接入认证功能的情况下，需要配置该服务。其中 IIS 服务和 IAS 服务也可以在安装完服务器后再安装和配置。3.1 安装前准备3.1.1 数据库的安装我们不提供数据库安装软件，由用户自行，这里以 SQL Server 2005 为例，一下安装过程，参考。1.将 SQL Serve 2005 安装光盘放入光驱中，运行 splash

19、.hta 文件，开始安装。选择适合电脑环境的版本，如图 3-1所示。图 3-1SQL Server 2005 安装界面- 5 -第三章 服务器安装与卸载2.选择你希望的操作项，此处如果安装SQLServe2005，则点击“服务器组件、工具、联机丛书和示例”，如图 3-2所示。图 3-2 SQL Server 2005 安装组件选择3.阅读并同意条款，“我接受条款和条件”，点击“”，如图 3-3所示。图 3-3 SQLServer 2005 用户协议- 6 -第三章 服务器安装与卸载4.检查所需组件。SQLServer 的运行需要一些其它程序的支持，此处列出的组件即是。点击“安装”按钮，开始安装

20、 SQLServer 所需要的支持组件，如图 3-4 所示。图 3-4SQLServer 2005 安装必备组件5.辅助组件安装完毕，点击“”，如图 3-5 所示。至此，SQLServer 支持组件方才安装完毕。图 3-5 辅助组件安装完毕- 7 -第三章服务器安装与卸载6.SQLServer 安装向导，“”进入安装，如图 3-6 所示。图 3-6SQLServer 安装向导7.系统配置检查，检查完毕后，点击“”，如图 3-7 所示。图 3-7系统配置检查- 8 -第三章服务器安装与卸载8.输入信息，您的序列号密匙，然后“”，如图示。图 3-8输入信息9.”，如图3-9所示。点击“高级”，可以

21、选择安装目录和选选择要安装的组件，“择详细组件，下图是“高级”选项。图 3-9 选择要安装的组件- 9 -第三章 服务器安装与卸载10. 高级选项显示，如图 3-10 所示。点击组件之后，点击“浏览”，可以改变安装路径；点击组件前面的“+”查看详细内容；点击组件图标，配置该组件是否安装。高级配置完毕后，可以点击“”返回上图，同时高级配置启用，再点击上图的“”；也可以直接点击该图的“”，作用一样。图 3-10 选择要安装的组件（高级选项）11.选择实例名称，默认为“默认实例”，点击“”，如图 3-11 所示。图 3-11 选择实例名称- 10 -第三章 服务器安装与卸载12.选择服务帐号，这里选

22、择“内置系统帐户”，如图 3-12 所示。”，安装结束时启动服务按默认选项，点击“图 3-12 选择服务帐户13.选择验证模式，点击“”，如图 3-13 所示。Windows 模式：是指启动电脑之后，再打开数据库的时候就能直接打开，不要输入数据库。Server模式：是指在打开进入数据库的时候，仍然需要输入数据库。图 3-13 选择验证模式- 11 -第三章 服务器安装与卸载14. 设置排序规则，黙认即可，直接“”，如图 3-14 所示。请用户注意：如果与 UEM 服务器结合使用，不能选择“二进制”、“区分大小写”、“二进制码位”，那样会使 UEM 服务器运行不正常。图 3-14 设置排序规则1

23、5.”，如图 3-15 所示。报表服务器安装，选择“安装默认配置”，“图 3-15 报表服务器安装选项- 12 -第三章 服务器安装与卸载16.错误和使用情况报告设置中，去掉两个选项，“”，如图 3-16 所示。图 3-16 错误和使用情况报告设置17.在准备安装界面中，点击“安装”按钮，开始安装，如图 3-17 所示。图 3-17 准备安装界面- 13 -第三章服务器安装与卸载18.安装过程中，请耐心等待，如图 3-18 所示。图 3-18 安装过程中19. SQL 组件安装完毕，点击“”，如图 3-19 所示。图 3-19 组件安装完毕- 14 -第三章服务器安装与卸载20.安装正式完成后

24、，点击“完成”按钮，安装，如图 3-20 所示。图 3-20安装3.1.2 添加 IIS 服务IIS 是 Internet Information Server 的简称。IIS 作为流行的 Web 服务器之一，提供了强大的 Internet 和 Intranet 服务功能，这里添加 IIS 服务主要用于补丁服务器。步骤 1从“开始”菜单中，依次选择“设置 面板 添加或删除程序”。然后“添加/删除 Windows 组件”，进入 Windows 组件向导。在组件列表框中，选择“应用程序服务器”，如图 3-21 所示。- 15 -第三章服务器安装与卸载图 3-21添加 Windows 组件步骤 2“

25、详细信息”按钮，进入“应用程序服务器”界面，如图 3-22 所示。选择 Internet信息服务（IIS），“确定”，返回到上一界面。图 3-22选择 Internet 信息服务（IIS）- 16 -第三章 服务器安装与卸载步骤 3在 Windows 组件界面中，“”，开始配置组件，如图 3-23 所示。图 3-23正在配置组件步骤 4完成 Windows 组件安装后，“完成”按钮，如图 3-24 所示。图 3-24完成 Windows 组件安装提示：安装完成后,在管理工具中出现“Internet 信息服务(IIS)管理器”,请查看。- 17 -第三章 服务器安装与卸载3.1.3 配置认证服务

26、如果要启用务。认证功能，需要配置有认证功能的交换机、添加 IAS 服务，并配置 IAS 服 交换机配置不同的交换机配置不同，下面分别以Cisco 2950 及 6509 系列交换机Quidway S2000-EI系列交换机、3Com SuperStack 3 Switch 4400 交换机为例，说明配置，以供参考，其中红色字体是需要输入令，字体稍大的紫色斜体是需要根据实际情况设置的信息。一、登录到交换机的操作命令及说明（1）打开 Windows框。鼠标点击 Windows 屏幕左下方的“开始”菜单，令提示符”然后依次点击“程序”、“附件”和“命令提示符”。（2）在命令提示符框中输

27、入下列命令此处 是用户输入的交换机管理 IP 地址。当系统提示你输入交换码时，输入交换码并，登录到交换机配置模式时需输入交换机的。二、Cisco 2950 操作命令及说明（见图 3-25 所示）- 18 -S w i t c h > e n a b l e# 进 入模 式 ， 需模 式S w i t c h # c o nf i g u r e t e r mi n a l# 进 入 全 局 配 置 模 式S w i t c h ( c o n f i g ) # a a a n e w - m# 启用 a a a 模 式 时 ， 需 配 置 用 户 名 和S

28、w i t c h ( c o n f i g ) # a a a a u t h e n t i c a t i o n d o t 1 x d e f a u l t g r o u p r a d i u s# 启用 8 0 2 . 1 X 认证 S w i t c h ( c o n f i g ) # u s e r n a me cisco p a s s w o r d cisco# 配置 交 换 机 的 用 户 名 和分别为 c i s c o 、 c i s c oS w i t c h ( c o n f i g ) # r a d i u s - s e r v e r

29、h o s t A. B. C. D a u t h - p o r t 1 8 1 2 k e y uem 80# 配置 r a d i u s 服 务 器 地 址 为 A . B . C . D ， 共 享 密 钥 为 u e m 8 0（ 记 下， 后 面 配 置 I A S 服务时需要） S w i t c h ( c o n f i g ) # i n t e r f a c e F a s t E t h e r n et 0/ 1# 对端口 0/ 1 配置 8 0 2 . 1 X ，如需配置其他端口 ，则 应将 0 / 1 改 为 相 应 的 端S w i t c h ( c o

30、 n f i g - i f ) # d o t 1 x p o r t - c o n t r o l a u t o# 启用 该 端口 的 认证模式 S w i t c h ( c o n f i g - i f ) # d o t 1 x t i m e o u t q u i e t - p e r i o d 10 # 端 口 所 连 接 计 算 机 认 证 错 误 后 等 待 重 试 的 时 间 为 10 秒t e l n e t 1 9 2 . 1 6 8 . 1 3 . 1第三章服务器安装与卸载图 3-25 Cisco 2950 操作命令三、Cisco 6509 操作命令及说明

31、（见图 3-26 所示）- 19 -S w i t c h ( c o n f i g - i f ) # d o t 1 x t i m e o u t r e a u t h - p e r i o d 60# 端 口 周 期 性 重 新 认 证 的 时 间 为 60 秒 ，即每隔 60 秒计算机重认证 一次 S w i t c h ( c o n f i g - i f ) # d o t 1 x t i m e o u t t x - p e r i o d 30 # 该端口 收 不 到 客 户 E AP 请求回应的重传时间 为 30 秒S w i t c h ( c o n f i

32、g - i f ) # d o t 1 x r e a u t h e n t i c a t i o n# 启用 该 端口 的 重 认 证 模 式 ，即每隔一段时间 要求 计算机重新认证 S w i t c h ( c o n f i g - i f ) # d o t 1 x h o s t - m o d e s i n g l e - h o s t# 将 该 端 口 配 置 为 只单 主 机 接 入 模 式S w i t c h ( c o n f i g - i f ) # e x i t#端 口 0 / 1 配置 S w i t c h ( c o n f i g ) # d o

33、 t 1 x s y s t e m - a u t h - c o n t r o l# 启 用 交 换 机 的 全局 8 0 2 . 1 X 功能（必需） 第三章服务器安装与卸载- 20 -S w i t c h > e n a b l e# 进 入模 式 ， 需模 式S w i t c h > ( e n a b l e ) s e t r a d i us s e r v e r A. B. C. D# 配置 r a d i u s 服 务 器 地 址 为 A . B . C . DS w i t c h > ( e n a b l e ) s e t r a d i

34、 us k e y uem 80# 配置 r a d i u s 服 务 器 的 共 享 密 钥 为 u e m 8 0 （ 记 下， 后 面 配 置 I A S 服 务 时 需 要 ）S w i t c h > ( e n a b l e ) s e t r a d i us t i me o u t 30 # 配 置 等 待 r a d i us 服 务 器 回 复 的 超 时 时 间 为 30 秒S w i t c h > ( e n a b l e ) s e t r a d i u s r e t r a n s m i t 5# 配置 r a d i u s 服 务 器

35、 的 重 传 次 数 为 5 次S w i t c h > ( e n a b l e ) s e t d o t 1 x m a x - r e q 5# 配置认 证 时 的 最 大 重 传 次 数 为 5 次S w i t c h > ( e n a b l e ) s e t d o t 1 x t x - p e r i o d 30 # 配置端口 收 不 到 客 户 E AP 请 求 回 应 的 重 传 时 间 为 30 秒S w i t c h > ( e n a b l e ) s e t d o t 1 x q u i e t - p e r i o d 10

36、 # 配 置 端 口 所 连 接 计 算 机 认证错误后等待重试 的时 间为 10 秒S w i t c h > ( e n a b l e ) s e t d o t 1 x r e - a u t h p e r i o d 60 # 配置 端 口 周 期 性 重 新 认 证 的 时 间 为 60 秒 ， 即 每 隔 60 秒 计 算 机 重 认 证 一 次S w i t c h > ( e n a b l e ) s e t d o t 1 x s y s t e m - a u t h - c o n t r o l e n a b l e# 启 用 交 换 机 的 全局

37、8 0 2 . 1 X 功能（必需） S w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x 4/ 1 i n i t i a l i z e# 对端口 4 / 1 配置 8 0 2 . 1 XS w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x 4/ 1 p o r t - c o n t r o l a u t o# 启 用 端 口 4 / 1 的 认 证 模 式S w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x

38、 4/ 1 re - a u t h e n t i c a t i o n e n a b l e# 启 用 端 口 4/ 1 的 重 认 证 模 式 ， 即 每 隔 一 段 时 间 要 求 计 算 机 重 新 认 证S w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x 4/ 1 m u l t i p l e - h o s t d i s a b l e# 将端口 4 / 1 配 置 为 只单 主 机 接 入 模 式第三章服务器安装与卸载图 3-26Cisco 6509 操作命令注意事项：1如果端口配置为 single-host

39、，那么一个端口只能一台计算机认证通过，如果端口配置为multi-host，那么该端口下只要第一台计算机认证通过，其他同端口下接入的计算机均无需认证即可，我们推荐选用 single-host 模式。cisco 交换机的 802.1x 实现是基于端口的，不支持基于Mac 地址的 802.1x 认证。2. 认证服务器中的共享密钥后不能跟空格符。3. 只能在接入终端pc 的端口上作上述配置，级联口上不能配置。4. 交换机必须配置管理 IP，否则无法进行认证。5. 配置 2950 交换机时，由于交换机上作了 aaa 配置，结束配置后一定要配置用户和否则下次无法登录交换机。但是可以继续通过 console

40、 口连接配置交换机。6. 配置 2950 交换机时，遇到紧急情况可以执行 no dot1x system-auth-control，该配置会，交换机的 802.1x 认证功能。紧急情况处理后应执行 dot1x system-auth-control 恢复交换机 802.1x 功能。7配置 6509 交换机时，遇到紧急情况可以执行 set dot1x system-auth-control disable，该配置会交换机的 802.1x 认证功能。紧急情况处理后应执行 set dot1x system-auth-control enable 恢复交换机 802.1x 功能。8请确认认证功能正常运

41、行后再保存交换机配置，以免影响使用。- 21 -第三章服务器安装与卸载四、Quidway H2403 操作命令及说明（见图 3-27 所示）- 22 -< Q u i d w a y> s u p e r# 进 入模 式 ， 需模 式< Q u i d w a y> s y s t e m - v i e w# 进 入 系 统 视 图 模 式 Q u i d w a y r a d i u s s c he m e myradius# 创建 r a d i u s 配置方案 my r a d i u s 并 进 入 其 视 图 ，“ m yr a d i u s ”是自

42、定义字符串 Q u i d w a y - r a d i u s - myr a d i u s pr i m a r y a u t he n t i c a t i o n A. B. C. D 1 8 1 2# 设置 r a d i u s 认证服务器 A . B . C . D 及端口 Q u i d w a y - r a d i u s - myr a d i u s a c c o u n t i n g o p t i o n a l# 打开 R A D I U S 计费可选开关 （必需） Q u i d w a y - r a d i u s - myr a d i u s

43、 k e y a u t h e n t i c a t i o n uem 80# 设置 R A D I U S 报文的加密密钥（记下， 后面 配置 I A S 服务时需要） Q u i d w a y - r a d i u s - myr a d i u s u s e r - n a me - f or m a t w i t h ou t - d o m a in # 指 示 系 统 从 用 户 名 中 去 除 用 户后 再 将 之 传 给 R A D I U S 服务器 Q u i d w a y - r a d i u s - myr a d i u s q u i t#r a

44、d i u s 配置方案 my r a d i u s Q u i d w a y d o m a i n mydomain# 创 建 用 户 域 myd o ma i n 并进入其视图 ，“ my d o ma i n ” 是 自 定 义 字 符 串 ， 可 以 随 便 命 名 ， 也可以将此字符串命名 为“ m yr a d i u s ”即跟“ r a d i u s s c h e m e m yr a d i u s ”中的一样 Q u i d w a y - i s p - myd o ma i n r a d i u s - s c h e me myradius# 指 定 上

45、面 创 建 的 r a d i u s 配置方案 m yr a d i u s ， 即 上 面 “ r a d i u s s c h e me m yr a d i u s ” 中的“ m yr a d i u s ” 为该用户域的 R A D I U S 服务器组 Q u i d w a y - i s p - myd o ma i n q u i t#用 户 域 myd o ma i n 视图 Q u i d w a y d o m a i n d e f a u l t e n a b l e mydomain# 设 置 用 户 域 myd o ma i n 为默认 域，即上面“ d

46、o ma i n my d o ma i n ”中的“ my d o ma i n ” Q u i d w a y d o t 1 x a u t h e n t i c a t i o n - me t h o d e a p# 设 置 认 证为 eap Q u i d w a y d o t 1 x p o r t - c o n t r o l a u t o# 设 置 端 口 认 证 模 式 Q u i d w a y d o t 1 x p o r t - m e t h o d m a c b a s e d# 设 置 接 入方 式 （ 该 命 令 可 以 不 配 置 ， 因 为默

47、 认 就 是 基 于 M A C 地 址 的 ） Q u i d w a y d o t 1 x r e - a u t h e n t i c a t e第三章服务器安装与卸载注意事项：1因为没有设置 radius 计费服务器，所以必须要打开 RADIUS 计费可选开关即 accountingoptional。2必须指示系统从用户名中去除用户without-domain后再将之传给 RADIUS 服务器即 user-name-format3. key authentication uem80 中的共享密钥（uem80）后不能跟空格符。4. 只能在接入终端pc 的端口上作上述配置，级联口上不能

48、配置。5. 交换机必须配置管理 IP，否则无法进行认证。6. 遇到紧急情况可以执行 undo dot1x，该配置会后应执行 dot1x 恢复交换机 802.1x 功能。7. 如果各项配置均正确，但发现仍不能认证交换机的 802.1x 认证功能。紧急情况处理，此时可查看此交换机能否 ping 通认证服务器。如果不可以ping 通，请尝试将认证服务器 IP 地址与此交换机配置到一个 vlan。”8. 对于 H3C 的交换机，如若配置完 IAS 服务器后，客户端请求验证件日志有类似“从无效客户端A.B.C.D 收到请求”，则请将本文档“3.3.3 配置 IAS 服务器，增加 radius 客户时”在

49、“客户端 IP 地址”一栏中分别输入该交换机的各个 Vlan 的 IP 地址。9请确认认证功能正常运行后再保存交换机配置，以免影响使用。- 23 -# 设 置 端 口 为 重 认 证 模 式 ，即每隔一段时间要 求计 算机重新认证 Q u i d w a y d o t 1 x t i m e r q u i e t - pe r i o d 10 # 配 置 端 口 所 连 接 计 算 机 认证错误后 等 待 重 试 的 时 间 为 10 秒 Q u i d w a y d o t 1 x t i m e r r e a u t h - p e r i o d 60# 配置 端 口 周 期

50、性 重 新 认 证 的 时 间 为 60 秒 ， 即 每 隔 60 秒 计 算 机 重 认 证 一 次 Q u i d w a y d o t 1 x t i m e r t x - p e r i o d 30 # 配置端口 收 不 到 客 户 E AP 请 求 回 应 后 的 重 传 时 间 为 30 秒 Q u i d w a y d o t 1 x i n t e r f a c e E t h e r n e t 0 / 1 t o E t h e r n e t 0 / 2# 开 启 指 定 端 口 E t h e r n e t 0 / 1 和 E t h e r n e t 0

51、 / 2 的 8 0 2 . 1 x 功能 Q u i d w a y d o t 1 x# 开 启 交 换 机 的 全局 8 0 2 . 1 x 功能 ( 必需 )第三章服务器安装与卸载图 3-27Quidway H2403 操作命令- 24 -第三章服务器安装与卸载五、Quidway S5300 系列交换机配置- 25 -< Q u i d w a y> s u p e r# 进 入模 式 ， 需模 式< Q u i d w a y> s y s t e m - v i e w# 进 入 系 统 视 图 模 式 Q u i d w a y r a d i u s -

52、 s e r ve r t e m p l a t e myradius# 创建 r a d i u s 配置方案 my r a d i u s 并 进 入 其 视 图 ， “ m yr a d i u s ”是自定义字符串 Q u i d w a y - r a d i u s - m yr a d i u s r a d i u s - s e r v e r a u t h e n t i c a t i o n A. B. C. D 1 8 1 2# 设置 r a d i u s 认证服务器 A . B . C . D 及端口 Q u i d w a y - r a d i u s -

53、 m yr a d i u s r a d i u s - s e r v e r s h a r e d - k e y uem 80# 设置 R A D I U S 报文的加密密钥（记下， 后面 配置 I A S 服务时需要） Q u i d w a y - r a d i u s - m yr a d i u s u n d o r a d i u s - s e r v e r u s e r - n a m e d o m a i n - i n c l u d e d# 指 示 系 统 从 用 户 名 中 去 除 用 户后 再 将 之 传 给 R A D I U S 服务器 Q u i d w a y - r a d i u s - m yr a d i u s r a d i u s - s e r ve r t y pe s t a n d a r d# 设置 R A D I U S 服务器类型为标准类型 Q u i d w a y a a a# 进 入 交 换 机 aaa 模式 Q u i d w a y - a a a a u t h e n