ArraySPX工程安装配置基本手册

1、 HYPERLINK Arraay SSPX工程安安装配置置手册认证授权权配置部部分TOC o 1-3 h z uSSL VPNN门户VVirttuall Siite认认证配置置1Radiius 认证服服务配置置3LDAPP认证服服务配置置5AD认证证服务配配置8SecuurIDD动态口口令认证证配置9SSL VPNN门户VVirttuall Siite授授权配置置10LocaalDBB的授权权13LDAPP服务器器的授权权15Radiius服服务器的的授权17Grouup MMapppingg 授权权方式19SSL VPNN门户Virrtuaal SSitee认证配配置Arraay SSSL

2、 VPNN设备Virrtuaal SSitee的接入入支持多多种认证证方式，包包括LoccalDDB、LDAAP、AD、Raddiuss、SeccurIID等。门户认认证也可可以关掉掉，这时时用户登登陆就不不需要认认证了，当当然，也也丧失了了很大的的安全性性。每个个Virrtuaal SSitee最多可可以配置置四种认认证方法法，用户户登陆时时，按照照顺序查查找认证证服务，当当第一种种认证方方法失败败会使用用第二种种认证方方法，直直到成功功或完全全失败为为止。对对于AD、LDAAP、Raddiuss认证，每每种方法法最多可可以配置置3个认证证服务器器。由于于上一章章已经介介绍了LoccalDD

3、B的配置置方法，如如果您只只使用LoccalDDB，可以以越过本本章。本本章我们们主要介介绍其他他几种认认证方式式的配置置。Sitee Coonfiigurratiion-AAAA-GenneraalSitee Coonfiigurratiion-AAAA-Metthodd命令行为为：aaa metthodd raank auuthoorizzatiion metthoddAuthhentticaatioonMethhod：指采用用的认证证方法Rankk：是 Virrtuaal SSitee的第几几种认证证方法Authhoriizattionn Methhod：定义义了使用用这种认认证方法法时

4、采用用的授权权方法，下下章祥述述。如：SP-DDemoo (cconffig)$aaaa mmethhod loccalddb 11 第一种认认证方法法采用LoccalDDB，授授权使用用LoccalDDB。SP-DDemoo (cconffig)$aaaa mmethhod ldaap 22 lddap第二种认认证方法法采用LDAAP服务器器，授权权也使用用LDAAP服务器器。Radiius认认证服务务配置Radiius认证是是业界普普遍采用用的认证证协议，Virrtuaal SSitee采用Raddiuss作认证证服务器器，需要要配置相相应参数数及端口口，当然然在SPXX与Raddiuss

5、服务器器中间的的通信要要保持畅畅通，如如果有防防火墙需需要打开开相应端端口。在在配置Raddiuss认证前前，先要要和用户户的管理理员询问问一些Raddiuss服务器器的情况况，包括括：Raddiuss服务认认证端口口，一般般采用UDPP 18812或者是UDPP16445，当然然用户也也可能使使用别的的端口。另外还还要询问问服务器器使用的的通信密密钥。命令行为为：aaa metthodd raadiuus auuthoorizzatiion metthoddaaa raddiuss hoost IP：指指Radiius服务器器的IPP地址Portt：Radiius服务所所使用的的端口Secr

6、ret：SPXX与Radiius服务器器之间使使用的通通信密钥钥Timeeoutt：超时时设定Retrriess：重试试次数如：SP-DDemoo (cconffig)$aaaa mmethhod raddiuss 2 SP-DDemoo (cconffig)$aaaa rradiius hosst 66 18812 raadiuus_ssecrret 200 3Sitee Coonfiigurratiion-AAAA-Autthennticcatiion-RAADIUUSLDAPP认证服服务配置置LDAPP是一种种轻型目目录访问问协议，具具有结构构清晰，查查找速度度较快的的特点。Virttu

7、all Siite采采用LDAAP作认证证，同样样需要配配置一些些参数。所以在在作此项项配置之之前，要要先和用用户的LDAAP管理理员作一一下沟通通，获得得一些参参数信息息，并用用LDAAP Broowseer等客户户端工具具验证一一下，把把他的LDAAP结构清清晰化。LDAAP服务一一般采用用TCPP 3889端口，基基于SSLL的协议一一般采用用6366端口。命令行为为：aaa metthodd lddap aauthhoriizattionn meethoodaaa ldaap hhostt tllsIP：LLDAPP服务器IP地址。Portt：LDAAP服务务端口Userr Namme

8、：有相应应LDAAPSearrch权限的的用户名名Passsworrd：查找找时上面面用户的的口令Basee：从哪哪一级目目录进行行查找aaa ldaap ssearrch fillterr LDAPP查找的的Searrch规规则，如如：某属属性，其中代表用用户在登登陆SSSL VVPNVVirttuall Site输入的的字符串串，是参参数传递递。接下来配配置绑定定规则，可可以选择择动态绑绑定，也也可以选选择静态态绑定，binnd是指用用户DN的构成成规则。1动态态绑定：aaa ldaap bbindd dyynammicLDAPP查找时时根据CCompplette DDisttinggui

9、sshedd Naame，Basse信息息与seaarchh fiilteer在上面面命令种种定义2静态态绑定：aaa ldaap bbindd sttatiic dn_ppreffix：前缀缀dn_ssufffix：后缀缀 一起构构成了用用户DN如：SP-DDemoo (cconffig)$aaaa mmethhod ldaap 44 SP-DDemoo (cconffig)$aaaa lldapp hoost 76 3389 cnn=maanagger,dc=arrrayttsd,dc=comm seccrett dc=arrrayttsd,dc=comm 220 SP

10、-DDemoo (cconffig)$aaaa lldapp seearcch ffiltter cnn= SP-DDemoo (cconffig)$aaaa lldapp biind dynnamiicSitee Coonfiigurratiion-AAAA-Autthennticcatiion-LDDAPAD认证证服务配配置采用Acctivve DDireectoory作作认证服服务器，需需要配置置相应参参数及TCP端口，当当然在SPX与AD服务器器中间的的通信要要保持畅畅通，如如果有防防火墙需需要打开开相应端端口。AD的底层层也是一一个LDAAP，所以以也同样样可以通通过LDAAP的配置

11、置方法配配置他。命令行为为：aaa metthodd add aauthhoriizattionn meethoodaaa ad hosst 如：SP-DDemoo (cconffig)$aaaa mmethhod ad 2SP-DDemoo (cconffig)$aaaa aad hhostt 100.1.1755.7 3899 “arrrayydemmo.ccom”SecuurID动态口口令认证证配置Virttuall Sitee用seccurIID认证，重重要的配配置工作作在SeccurIID服务器器上，详详见SPX手册，在在SeccurIID服务器器上生成成一个文文件，将将这个文文件导

12、入入SPXX即可，另另外，SeccurIID认证一一定要选选择rannk1，并且且是全局局生效。Ace Serrverr和SPX的主机机名与IP地址的的对应关关系一定定要在两两台设备备上都能能够正确确的互访访到。使使用SPX的默认认路由所所指向的的intterffacee，作为ACEE Seerveer所指定定的priimarry iinteerfaace.，如果果其他端端口也配配置了IP地址，需需要将其其IP地址作作为secconddaryy innterrfacce，这样样采用能能够在SPX和AceServver上正确确加密数数据流。命令行为为：aaa seccuriid iimpoort

13、 如：SP-DDemoo (cconffig)# aaaa seccuriid iimpoort sddconnf.rrecSP-DDemoo (cconffig)$aaaa mmethhod seccureed autthorrizaatioon mmethhod一般SeecurrID服务器器也同样样支持Raddiuss协议，如如果那您您把他看看作Raddiuss服务器器，也可可以按照照Raddiuss服务认认证的方方法配置置他，详详见前面面章节。SSL VPNN门户Virrtuaal SSitee授权配配置授权是SSSL VPNN的一个个主要的的安全功功能，Arrray的授权权机制是是设置

14、用用户或组组享有的的特定权权限，授授权是和和认证方方法高度度相关的的，不同同的认证证采用不不同的授授权方法法。如用用LDAAP认证证，可以以通过LDAAP服务器器授权，也也可以通通过LoccalDDB或者者是Raddiuss服务器器授权。认证授权权关系表表认证方式式可认证可授权LocaalDBBYYRadiiusYY(需要要扩展Dicctioonarry)LDAPPYY(需要要扩展Schhemaa)ADYGrouup MMapppingg或LoccalDDBSecuurIDDYNArraay SSPX授权权权限分为为几类：授权方式式授权内容容可授权ACL定义了用用户或组组享有的的权限列列表So

15、urrceNNet定义了登登陆的原原地址范范围Y(需要要扩展Dicctioonarry)NetPPooll定义了LL3VPPN所使用用的地址址池Y(需要要扩展Schhemaa)UID, GIID定义了用用户使用用NFS功能时时用到的的UID和GID信息Grouup MMapppingg或LoccalDDB其中最主主要的授授权方式式是ACL。ACL分为两两大类，一类规定了WRM、g的控制规则，另一类定义了ClientApp和L3VPN的控制规则。一个用户登陆SSL VPN时它的权限可以通过ACL作详细的授权。Arraay SSPX缺缺省是没没有ACL配置的的，这时时所有的的资源对对所有的的用户开

16、放放，一旦旦对某个个用户或或组配置置了一个个ACL，则对对他需要要访问的的内容权权限一定定要显示示的配置置成PERRMITT，否则则不允许许访问。对WRMM、生效的ACLL命令行为为： : ANND (PPERMMIT|DENNY)Priooritty：优先先级Scheeme:是针对对HTTTP还是是Hostt：目标标服务器器，支持持通配符符“*”。Pathh：路径径AND virrtuaal：在globaalmodee配置时时只关联联到相应应的Virttuall Sitee上，在Virttuall Sitee Conffig 模式时时，不需需要此参参数。如：0 htttp:10.1.1175

17、.7/eexchhangge AAND inttra DENNY1 htttp:* AAND inttra PERRMITT2 AAND inttra DENNY3 fiile:* AAND inttra PERRMITT我们会在在LoccalDDB授权时时给出具具体针对对不同用用户的配配置方法法。2针对对CliienttAppp、L3VPPN的ACLL命令行为为： ipp :/:pportt ANDD PERRMITT|DEENYPriooritty 优先级Prottocool 针对那那种IP协议，可可以时TTCP、UDPP或prootoccol nummberr，*代表所所有协议议。Hos

18、tt_IPP：目标标服务器器Netmmaskk：掩码码Portt：端口口号AND virrtuaal：在glooball moode配置时时只施加加在那个个virrtuaail sitte，在virrtuaal ssitee coonfiig模式式时，不不需要此此参数如：0 ipp *:10.1.1175.0/2255.2555.2555.00 ANND pparttnerr PEERMIIT1 ipp *:0.00.0.0/00 ANND pparttnerr DEENY同样，我我们会在在LoccalDDB授权时时给出具具体针对对不同用用户的配配置方法法。LocaalDBB的授权权用Locc

19、alDDB授权比比较简单单，只需需对相应应用户或或组配置置相应ACL即可。命令行为为：Globbal模模式：locaaldbb accl aaccoountt locaaldbb accl ggrouup Virttuall Sitee模式：locaaldbb accl aaccoountt locaaldbb accl ggrouup 如：用户的策策略SP-DDemoo (cconffig)$aaaa oon SP-DDemoo (cconffig)$aaaa mmethhod loccalddb 11 SP-DDemoo (cconffig)$loocalldb acccounnt tee

20、st “passs“SP-DDemoo (cconffig)$loocalldb acll acccouunt teest 00 htttp:10.1.1175.7/eexchhangge AAND SP-Demmo DENNYSP-DDemoo (cconffig)$loocalldb acll acccouunt teest 11 htttp:* AAND SP-Demmo PEERMIITSP-DDemoo (cconffig)$loocalldb acll acccouunt teest 00 AAND SP-Demmo DEENYSP-DDemoo (cconffig)$loocal

21、ldb acll acccouunt teest 11 fiile:* AAND SP-Demmo PEERMIITSP-DDemoo (cconffig)$locaaldbb accl aaccoountt ttestt 2 iip *:100.1.1755.0/2555.2555.2255.0 AAND SP-Demmo PEERMIITSP-DDemoo (cconffig)$loocalldb acll acccouunt teest 33 ipp *:0.00.0.0/00 ANND SSP-DDemoo DEENY“组的策略略：locaaldbb neetpoool grooup

22、地址池分分配locaaldbb soourcceneet ggrouup 登陆原地地址限制制很多种认认证方法法都可以以通过LoccalDDB授权权，不过过这时一一般需要要用户名名一一对对应。如如采用LLDAPP认证，LLocaalDBB授权，要要求LDDAP服服务器上上的帐号号和LoocallDB上上的帐号号对应，如如果LoocallDB上上没有这这个帐号号，需要要用Defaaultt Grouup作在在LocaalDBB上没有有的帐号号的授权权。如：SP-DDemoo (cconffig)$aaaa oon SP-DDemoo (cconffig)$aaaa rradiius acccoun

23、ntinng ooff SP-DDemoo (cconffig)$aaaa mmethhod ad 1 llocaaldbbSP-DDemoo (cconffig)$aaaa aad hhostt 1 3899 maiin.aarraay.ccomSP-DDemoo (cconffig)$aaaa llocaaldbb grroupp deefauult arrrayygrooupSP-DDemoo (cconffig)$aaaa llocaaldbb auuthoorizzatiion useedeffaulltLDAPP服务器器的授权权如果您使使用LDAPP认证，缺缺省

24、是采采用LDAAP服务器器作授权权，即将将ACL作为LDAAP服务器器用户的的相应属属性来进进行授权权，这时时需要扩扩充LDAAP的schhemaa。如果果您的认认证服务务器和LLDAPP授权服服务器不不是一台台机器，那那您需要要单独配配置LDDAP授授权服务务器。LDAPP授权命命令行为为：SP-DDemoo(coonfiig)$aaaa meethood ldaapSP-DDemoo(coonfiig)$aaaa lddap autthorrizee hoost tlls具体参数数概念参参见上一一章中LDDAP认认证部分分。SP-DDemoo(coonfiig)$aaaa lddap au

25、tthorrizee seearcch ffiltter 具体参数数概念参参见上一一章中LDAAP认证证部分。然后主要要的任务务是配置置LDAAP服务器器，首先先扩充LDAAP服务器器的schhemaa，然后后配置需需要授权权用户的的ACL属性赋赋予相应应的权限限。我们以OOpennLDAAP为例叙叙述过程程，一般般需要在在slaapd.connf中加入inccludde文件：inclludeed:/opeenlddap/etcc/scchemma/ccoree.scchemmainclludeed:/opeenlddap/etcc/scchemma/iinettorggperrsonn.sc

26、chemmainclludeed:/opeenlddap/etcc/scchemma/aarraay.sscheema然后在相相应目录录下放置置arrray.sheema文件，内内容如下下：#Arrray exttendded schhemaa ,aaddeed bby wwuyuuepeeng# ArrrayyNettworrks Schhemaa# caase sennstiive urll prrefiix iie *.t/maarkeetinngattrribuutettypee ( .44.1.75664.110000.1NAMEE aacceeptuurlDESCC

27、 aacceept urll exxpreersssionnSYNTTAX .44.1.14666.1115.1211.1.26 )# acccepptedd soourcce nnetwworkk adddreessees# off thhe fformm neetwoork/massk eeg /2255.2555.0.0attrribuutettypee ( .44.1.75664.110000.2NAMEE ssourrcennetDESCC SSourrce Nettworrk iip/mmaskkSYNTTAX .

28、44.1.14666.1115.1211.1.26 )# caase sennstiive nettworrk ppooll naameattrribuutettypee ( .44.1.75664.110000.3NAMEE nnetppoollDESCC nnetwworkk pooolss foor LL3 VVPNSYNTTAX .44.1.14666.1115.1211.1.26 )#Arrray Useer iinheeartts ffromm innetOOrgPPerobjeectcclasss ( .4.11.75564.100

29、00NAMEE AArraayUsserDESCC AArraay AApplliannce Nettworrk UUserrSUP toppAUXIILIAARYMAY ( aacceeptuurl $ ssourrcennet )# Boorroow tthe accceptturll annd ssourrcennet froom AArraayUsserobjeectcclasss ( .4.11.75564.10001NAMEE AArraayGrrouppDESCC AArraay AApplliannce Nettworrk GGrouupSUP toppAUXI

30、ILIAARYMAY ( aacceeptuurl $ ssourrcennet $ nnetppooll )然后在用用户的相相应属性性增加相相应的权权限即可可：如：在accceptturll属性赋赋值为一一个ACL：0 hhttpp:100.1.1755.7/excchannge ANDD SPP-Deemo DENNYRadiius服务器器的授权权同LDAAP授权一一样，如如果您使使用Raddiuss做认证证，缺省省是采用用Raddiuss服务器器作授权权，即将将ACL作为Raddiuss服务器器用户的的相应属属性来进进行授权权，这时时需要扩扩充Raddiuss的Dicctioonarry

31、。如果果您的认认证服务务器和Raddiuss授权服服务器不不是一台台机器，那那您需要要单独配配置Raddiuss授权服服务器。Radiius授权命命令行为为：SP-DDemoo (cconffig)$aaaa mmethhod raadiuusSp-DDemoo (cconffig)$aaaa lldapp auuthoorizze hhostt 具体参数数概念参参见上一一章中RRadiius认认证部分分。然后就是是扩充Raddiuss服务器器的Dicttionnaryy，将ACL的属性性定义加加进去，进进而配置置用户的的相应属属性进行行ACL授权。扩充的的Dicttionnaryy文件内内容

32、如下下：#Arrray Nettworrks# boorroowedd frrom snmmpd, maay lleadd too trroubble latterVENDDORAArraay-NNetwworkks 775644# Arrrayy Neetorrks ExttenssionnsATTRRIBUUTE Accceptt-Accls11strringgArrray-NettworrksATTRRIBUUTE SouurceeNetts 22strringgArrray-NettworrksATTRRIBUUTE memmberrUidd 3 inntegger Arrrayy-N

33、eetwoorkssATTRRIBUUTE memmberrGidd 4 sttrinng Arrray-NettworrksATTRRIBUUTE NettPoool 55 sstriing Arrrayy-Neetwoorkss然后在用用户的相相应属性性增加相相应的权权限即可可：如某用户户的相应应属性：Foo Autth-TTypee = Loccal, Paasswwordd =“fooobarr”Acceept-Aclls = 00 htttp:*/ ANDD alll PPERMMIT,SourrceNNetss =“10.2.00.0/2555.2555.00.0”uidNNumbber = 220633,gidNNumbber = 10000 110200 23300Grouup MMapppingg授权方方式有的用户户用Raddiuss、AD、LDAAP认证，他他们又不不想修改改这些服服务器，加加上Arrray的授权权属性。这时我我们可以以抓取这这些服务务器的组组信息放放到LoccalDDB上，将将这些认认证服务务器的组组映射到到LocaalDBB的相应应组进行行授权。首先要找找到Raddiuss、AD、LDAAP那个属属性是他他的组属属性，然然后当这这个属性性等于某某个值时时映射到到LoccalDDB特定组组上。如如AD上的这这个属性性就是