安盟双因素身份认证系统

1、安盟双因素身份认证系统快速安装手册（Anmeng Server 7.0 Agent5.5）四川安盟电子信息安全有限责任公司2018年7月安盟双因素身份认证系统文档应用：本地认证保护的设置与应用。读者对象：网络安全管理员 使用软件：安盟双因素身份认证软件Anmeng7.0安盟双因素代理v5.5目 录 TOC o 1-3 h z u HYPERLINK l _Toc3800865 1安装服务基本概念和提前准备 PAGEREF _Toc3800865 h 1 HYPERLINK l _Toc3800866 1.1安装认证服务器和认证客户端 PAGEREF _Toc3800866 h 1 HYPERL

2、INK l _Toc3800867 1.2提前准备 PAGEREF _Toc3800867 h 1 HYPERLINK l _Toc3800868 2安装服务器端 PAGEREF _Toc3800868 h 2 HYPERLINK l _Toc3800869 1.1安装认证服务器 PAGEREF _Toc3800869 h 2 HYPERLINK l _Toc3800870 1.2登录服务器管理 PAGEREF _Toc3800870 h 5 HYPERLINK l _Toc3800871 1.3导入令牌 PAGEREF _Toc3800871 h 6 HYPERLINK l _Toc3800

3、872 1.4添加代理主机 PAGEREF _Toc3800872 h 7 HYPERLINK l _Toc3800873 1.5添加用户 PAGEREF _Toc3800873 h 9 HYPERLINK l _Toc3800874 2.1安装标准认证客户端 PAGEREF _Toc3800874 h 10 HYPERLINK l _Toc3800875 1.6测试标准的客户端 PAGEREF _Toc3800875 h 13 HYPERLINK l _Toc3800876 1.7Radius客户端验证 PAGEREF _Toc3800876 h 16 HYPERLINK l _Toc380

4、0877 2安盟认证查看器 PAGEREF _Toc3800877 h 17 HYPERLINK l _Toc3800878 3安装备份服务器 PAGEREF _Toc3800878 h 17 HYPERLINK l _Toc3800879 4本地认证保护的设置与应用 PAGEREF _Toc3800879 h 21 HYPERLINK l _Toc3800880 2.1本地认证保护的设置 PAGEREF _Toc3800880 h 21 HYPERLINK l _Toc3800881 2.2本地认证保护的应用 PAGEREF _Toc3800881 h 22 HYPERLINK l _Toc

5、3800882 5常见问题排除方法 PAGEREF _Toc3800882 h 22 HYPERLINK l _Toc3800883 5.1用户登录没有认证日志 PAGEREF _Toc3800883 h 22 HYPERLINK l _Toc3800884 5.2认证日志提示未注册用户 PAGEREF _Toc3800884 h 22 HYPERLINK l _Toc3800885 5.3认证日志提示提示用户不在代理主机上 PAGEREF _Toc3800885 h 23 HYPERLINK l _Toc3800886 5.4认证日志提示源地址与目的地址不一致 PAGEREF _Toc380

6、0886 h 23 HYPERLINK l _Toc3800887 5.5清理节点密文 PAGEREF _Toc3800887 h 23 PAGE 23安装服务基本概念和提前准备安装认证服务器和认证客户端基本思路是：在服务器上安装安盟认证服务器软件。将生成的sdconf.rec文件，从服务端复制到客户端。在客户端（工作站）安装标准客户认证软件。提前准备License.xml 授权文件，每个产品唯一的授权文件。安盟会通过光盘或信件发送给终端用户。请妥善保管，后期维护安装，升级都需要此文件。种子文件口令 电话问询北京销售中心。获得种子文件口令，请妥善保管。每个种子文件只有一个种子口令。是一个长度为

7、16位的密码 种子文件口令为:7BB5E4DDB448DF6B安装服务器端安装认证服务器在安盟认证软件Anmeng Server 7.0文件夹里边双击Anmeng7.exe启动安装，得到如下提示：图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 1图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 2继续安装，单击“下一步”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 3继续单击“是”。 图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 4选择“主认证服务器”，单击“下一步”继续安装。图 STYLERE

8、F 1 s 1 SEQ 图 * ARABIC s 1 5导入许可证文件（license.xml），安盟有专用的一张光盘。单击“确定”继续安装。通过浏览按钮，找到许可证文件所在目录，单击“确认”。许可证文件路径出现在文本框中，单击“下一步” ，进入下一步的安装。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 6设置安装路径，单击“下一步”，继续安装。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 7认证服务器自动安装。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 8单击“完成”。安盟认证服务器7.0版本安装完成。这样就可以

9、启动服务器。登录服务器管理在开始所有程序中，安盟认证服务器7.0，打开安盟服务管理器图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 9 安盟服务管理器单击开始所有程序安盟认证服务器7.0服务管理器，就会出现连接服务器的画面图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 10 连接服务器单击“连接服务器”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 11 认证服务器管理登录输入用户名Administrator，口令是1111（安盟身份认证系统初始密码是1111），单击“下一步”，就可以进入到安盟认证服务器的管理界面。如下

10、图所示：图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 12 安盟认证服务器管理画面到此安盟认证服务器的安装与启动全部介绍完毕。导入令牌进入管理界面后，在“令牌管理”中，选择“导入令牌”。导入种子文件保护口令系统会提示导入，以xml后缀名的种子文件，这时系统会提示“设置令牌工作模式”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 13 设置令牌工作方式默认安装，单击“确定”。系统会显示导入令牌的个数。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 14 令牌导入状态新导入的令牌在“未分配令牌”一栏中，分配给用户后进入“已

11、分配令牌”一栏。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 15选中某一令牌后双击，可以直接编辑该令牌。添加代理主机添加代理主机，也就是需要保护的目标机，打开安盟认证服务器的管理画面。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 16 增加代理主机在树列表区选择“代理机管理”，在信息列表区，单击鼠标右键，选着“增加代理主机”图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 17 编辑代理主机填写“代理主机名称”和“IP地址”，这个地方还要勾选“向所有用户开放”。保存退出，到此代理机就添加完成。接下来，就是要生成配置文件

12、sdconf.rec文件。该文件在后期安装客户端的时候使用到。我们临时将其临时放在桌面。在菜单栏上边点击“代理机主机管理”选择“导出配置文件”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 18 导出配置文件将配置文件sdconf.rec文件临时放到桌面保存。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 19 保存配置文件单击“保存”这样客户端的配置文件制作完成。添加用户在管理画面上边，在树列表区选择“管理员”，然后在信息列表区，单击鼠标右键选择“增加用户”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 20 增加用

13、户假如我们添加一个用户cc，并且给它分配令牌 如下显示：图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 21 编辑添加用户填写账号，用户名，分配一个令牌，最后勾选“在所有代理机上激活”，单击“保存”。一个用户添加完成。安装标准认证客户端将安装认证服务器时保存的配置文件“sdconf.rec”，复制到客户端（工作站）。假设我们仍然放到桌面上。为了保证客户端和认证端是连接正常，安装程序前最好ping测试一下。如果连接正常，开始安装程序。双击安盟ACE Agent 5.5中的setup.exe文件，会出现下面的画面图 STYLEREF 1 s 1 SEQ 图 * ARABIC

14、 s 1 22图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 23选择“下一步”继续安装图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 24选择“中国大陆（不包括香港）及南北美洲”图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 25单击“是”，继续安装图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 26选择“本地访问认证（客户端）”，单击“下一步”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 27将刚才我们保存在桌面上的sdconf.rec文件导入，单击“下一步”。现在程

15、序开始安装。屏幕会显示安装进度的画面。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 28安装完成，单击“下一步”。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 29选择“是，立即重新启动计算机。”单击“完成”。这样客户端安装完成。测试标准的客户端进入控制面板打开客户端，在开始控制面板安盟ACE/Agent会出现下面的画面图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 30点击“用安盟ACE/Server测试认证”图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 31单击“安盟认证服务器直接测试”，

16、会弹出下边画面。图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 32输入用户名，前边的cc，输入令牌口令，一般是6位，会出现下面的画面图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 33输入PIN码，例如：1234，点击“确定”系统会提示你图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 34点击“确定”这个时候又会出现上边的话框，此时输入PIN码+令牌码，例如：1234+令牌上的数字。系统会提示您图 STYLEREF 1 s 1 SEQ 图 * ARABIC s 1 35身份认证成功，到此身份认证客户端，就可以正常使用了。

17、Radius客户端验证测试步骤：填写认证服务器地址填写认证服务端口，1812 或 1645填写Radius 密钥 例如1qaz2wsx输入用户名输入密码点击 Send如果验证信息返回信息里边提示PASSCODE Accept，证明验证成功。如果验证失败，检查认证服务器认证日志安盟认证查看器安盟认证日志开始所有程序 安盟认证服务器 认证日志查看器安盟管理日志打开所有程序 安盟认证服务器 管理日志查看器安装备份服务器安装备份服务器操作步骤：第一步，在系统 / 备份服务器管理 / 输入备份服务器，填入预作备份机的IP地址。图 STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 1添加

18、备份服务器地址单击“生成备份服务器数据库”，图 STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 2生成备份数据包此时，在主认证服务器上生成一个包，在安装认证服务器默认路径下会出现一个replicaDB备份包（例如：C:Program FilesAnmeng Security LTDAnmeng Auth 7.0 ）。第二步，在备份机上，继续安装安盟认证服务器7.0软件，勾选选备份认证服务器和服务管理器。此处服务管理器必须安装，否则后期无法启停备份认证服务器。安装完成后，关闭安盟所有服务。在开始所有程序安盟认证服务器7.0安盟服务控制器。单击“停止”。第三步，将第一步生成的replicaDB包，复制到备份服务器上，进入认证服务器默认路径下，在对应目录下覆盖替换原有对应文件夹，分别是data文件夹和idx文件夹。第四步，再启动安盟服务。查看备份机的认证日志，出现“连接主机请求成功”的信息。此时就完成了备份。证明主备机之间连接成功，并且实现了即时同步。如果要是查询其他服务器的，只要在服务器IP地址栏上选择相应的服务器即可。注意：在进行备份操作的时候，要统一进行备份，然后将备份包发送到各个备份机上。替换默认目录下文件。在这个过程中不要做增删改操作，等备机与主机正常通信后，在进行操作配置。本地认证保护的设置与应用本地认证保护的设置单击开始控制