客户端完整性保障配置指导

1、客户端完整性保障实施指导一 概述客户端完整性保障，其主要目的是强制用户使用官版的客户端，防止用户对客户端软件做破解，随意更改客户端的功能。客户端完整行保障的机理是在认证过程中，在用户口令校验通过后，SAM服务端对客户端送上来的版本信息进行检查，如不符合规定，则做如下动作：1、 拒绝用户上线，并提示认证失败信息2、 在服务端数据库中记录用户使用非法客户端的行为当用户使用非法客户端，且达到一定次数后，系统自动锁定该帐户，把该帐号投入到“黑名单”中，此时即使用户使用合法的客户端，也不能上网。用户将因为自己的违例，受到惩戒，在预设的惩戒时间到达后，系统会自动将用户从黑名单中释放出来。二客户端完整性保障

2、实施工作前提条件 1、服务端：必须是SAM2.1(认证版/标准版/企业版)或更高版本 2、客户端：必须是Su (A)2.44版，或更高版本 三、实施步骤： 1、编辑supplicantinfo.ini文件客户端完整性保障相关配置，集中在supplicantinfo.ini文件中。一个典型的supplicantinfo.ini配置包含如下内容:#Last updated: #Mon Nov 15 18:05:15 CST 2004 bRunFileCheck=1 bDealSuHacker=1 nForgivenHackCount=10 nPunishedHours=72 0x01000100=

3、xxxxxxxxxxxxxxxxxxxxxxxx 0x02280001=yyyyyyyyyyyyyyyyyyyyyyyy 0x02280000=zzzzzzzzzzzzzzzzzzzzzzzzzzz 0x01000100Alg=V1 0x02280000Alg=V1 0x02280001Alg=V1 0x022c0000Alg=V2 0x022d0000Alg=V2 0x02320000Alg=V2 其中： bRunFileCheck=1 bRunFileCheck是一个全局开关，来指定是否要验证文件完整性 bDealSuHacker=1 表示对使用破解版本的人进行专门记录，并在使用超过nFo

4、rgivenHackCount次数后，将其自动加入黑名单nPunishedHours小时，但nPunishedHours小时用户会自动释放。bDealSuHacker=0,表示不对用户做破解专门记录，此时nForgivenHackCount和nPunishedHours的配置也失效。因为做专门的记录和处理对认证性能有一定的影响，因此可关闭该功能，提高系统效率。如果supplicantinfo.ini中没有配置该字段，则RG-SAM以bDealSuHacker=0进行处理。 nForgivenHackCount=10 表示最多容忍用户使用破解版本10次，超过该次数后，将自动将该用户加入黑名单。仅

5、在bDealSuHacker=1时生效。如果supplicantinfo.ini中没有配置该字段，则RG-SAM以nForgivenHackCount=3进行处理。 nPunishedHours=72表示用户因破解次数过多加入黑名单的时间为72个小时，72小时后用户从黑名单中自动释放。仅在bDealSuHacker=1时生效。如果supplicantinfo.ini中没有配置该字段，则RG-SAM以nPunishedHours=24进行处理。 0x01000100=xxxxxxxxxxxxxxxxxxxxxxxx 0x02280001=yyyyyyyyyyyyyyyyyyyyyyyy 0x02

6、280000=zzzzzzzzzzzzzzzzzzzzzzzzzzz / “0x01000100” “0x02280001”等均为Supplicant版本号，其中0x02280001第一个字节表示主版本号(16进制) 0x02280001第二个字节表示小版本号(16进制) 0x02280001第三个字节表示操作系统号(16进制), 0x01标识Linux操作系统,0x00标识微软操作系统0x02280001第四个字节为应用标识(16进制),0x00表示SuA,0x01表示SuB,例：0x02280000表示：Su(A)2.40 / xyz表示运行于各版本的特征校验码（具体值与产品经理联系） 0

7、x01000100Alg=V1 0x02280000Alg=V1 0x02280001Alg=V1 0x02320000Alg=V2V1表示采用其左边所代表的客户端版本，采用旧算法。即按照前面所述的特征校验码检查用户客户端程序是否合法。V2表示采用新的客户端完整性保障校验算法。新算法不采用特征校验码，而是需要su的代码段文件的支持。代码段文件名为su版本代号.dat，放在supplicantinfo.ini同一目录下。一个客户端版本，对应有一个dat文件例：0x02320000Alg=V2表示采用新算法，需要把0x02320000.dat文件（SuA2.5的代码段文件）与supplicanti

8、nfo.ini放在同一目录下。 2、supplicantinfo.ini文件的安置缺省安装情况下，supplicantinfo.ini文件应放在C:RG-SAM.sam目录下，与log文件夹并列。3、 在SAM中设置“启用客户端完整性保障功能”如下图，在SAM管理界面的“系统管理”“系统配置”“服务器配置”中，选择“客户端完整性保障”，即启用了客户端完整性保障功能配置注意事项：编辑supplicantinfo.ini文件，与选择“客户端完整性保障”这些操作均需点击“系统管理”中“配置生效”栏后才生效五、运行维护 1、日常维护时可以在“日志管理”“Radius服务日志”中，查看用户认证情况，如果

9、有用户使用非法客户端认证，则会提示如下信息： 2、在SAM管理界面的“系统管理”“黑名单管理”中可以查询到被锁定的用户的名单，对于一些误杀的用户，可以在这里把他们从黑名单中删除，但是请注意，删除后需到“配置生效”栏点击“配置生效”才生效。 3、用户违例时客户端提示信息（1）使用旧版非法客户端认证时，客户端提示的信息（图3.1） （图3.1） （2）帐号被锁定后，用户即使改用合法客户端，也不能上网，此时客户端提示信息（图3.2） （图3.2）附：配置范例由于internet上有破解了老算法的客户端在流传，为了保证客户端完整性保障的严密性，给用户部署时建议仅配置支持新算法（V2）的客户端。 #Last updated: #Mon Nov 15 18:05:15 CST 2004 bRunFileCheck=1 bDealSuHacker=1 记录使用非法版本的用户 nForgivenHackCount