安盟双因素认证基础服务平台用户手册

安盟双因素认证基础服务平台

用户手册

四川安盟电子信息安全有限责任公司

2022年12月

目录

1系统介绍..............................................错误!未定义书签。

2配置前的准备..........................................错误!未定义书签。

2.1网络要求..........................................错误!未定义书签。

2.2在认证服务器上的配置.............................错误!未定义书签。

2.3对接系统的准备工作...............................错误!未定义书签。

3常见系统与安盟的对接配置..............................错误!未定义书签。

3.1华为SVN系统....................................错误!未定义书签。

3.1.1配置RADIUS服务器.........................错误!未定义书签。

3.1.2配置认证授权方式...........................错误!未定义书签。

3.1.3登录测试....................................错误!未定义书签。

3.2华为0C系统......................................错误!未定义书签。

3.2.1配置RADIUS服务器........................错误!未定义书签。

3.3天融信运维安全审计系统...........................错误!未定义书签。

3.3.1配置RADIUS服务器.........................错误!未定义书签。

3.3.2配置用户的登录认证方式.....................错误!未定义书签。

3.3.3登录测试....................................错误!未定义书签。

4对接常见问题..........................................错误!未定义书签。

4.1没有认讦日志......................................错误!未定义书签。

4.2密码不正确........................................错误!未定义书签。

4.3其他日志..........................................错误!未定义书签。

1系统介绍

安盟双因素认证基础服务平台的体系结构如下图所示:

令牌代理主机认证服务器

安盟双因素认证基础服务平台由三部分构成：认证服务器、代理主机及认证令牌，从图中

可以看出这三部分在实际应用中对应的具体内容。认证服务器的功能，简单来说，是集中管理

用户、认证令牌、代理主机及三者之间的对应关系；代理主机在真实环境中就是那些需要使用

双因素身份认证系统来保护的第三方系统（包括路由器、交换机、VPN/SVN设备、Windows/Unix

主机及服务器、业务系统等）；认证令牌实际就是指用户。

安盟双因素认证基础服务平台采用国际标准的RADIUS认证协议，兼容支持SecurlD工业

事实标准，并提供相关管理功能接口，以及提供整合应用的各种版本的API,因此，第三方应

用系统（包括路由器、交换机、VPN/SVN设备、Windows/Unix主机及服务器、业务系统等）

如果需要和安盟双因素身份认证系统进行整合，可以采用RADIUS.SECURID和嵌入API这

三种方法中的任何一种。

2配置前的准备

2.1网络要求

安盟双因素认证基础服务平台的Radius服务默认监听的端口是UDP1812和UDP1813,因

此，在配置之前，请确定待对接系统和认证服务器之间是否有防火墙，如果有，请在防火墙上

开通UDP1812和UDP1813,让待对接系统可以访问到认证服务器的这两个端口。

2.2在认证服务器上的配置

安盟双因素认证基础服务平台的安装，请参考〈＜安盟双因素认证基础服务平台-部署手

册.docx＞＞。

安盟双因素认证基础服务平台的管理配置，请参考VV安盟双因素认证基础服务平台■巡检维

护手册.docx>>。

在进行对接之前，请在认证服务器上做以下配置：

1）查看认证服务器的防火墙是否开启，如有开启，请关闭防火墙或开放UDP1812和UDP

1813。

2）请安装好安盟认证系统，并导入令牌种子文件；

3）将待对接系统的地址加入到安盟认证系统中（即添加代理主机）。

注：添加代理主机时，必须设置RADIUS共享密钥，该密钥由用户自定义，密钥设置好后，

需要记住，稍后在待对接系统上配置RADIUS服务器的时候，需要用到这个密钥。

4）添加测试账号，并分配认证令牌和授权其可以访问待对接系统（即激活代理主机）；

5）安装并激活手机令牌，硬件令牌用户请跳过此步骤；

手机令牌的安装激活，请参考vv安盟双因素认证基础服务平台-巡检维护手册.doc>>。

6）打开安盟认证日志查看器，以便能实时观察对接测试情况。

2.3对接系统的准备工作

确保待对接系统已经安装并配置成功，即在没有和安盟双因素认证基础服务平台对接之前，

系统是可以正常使用的。

在配置之前，确保您有权限并能正常登录到待对接系统的后台管理进行相关的配置。

3常见系统与安盟的对接配置

注意:第三方系统在与安盟系统进行对接配置之前，必须先获取安盟认证系统的对接信息，

包括：主备认证服务器的IP地址（或Vip）,Radius认证端口，Radius共享密钥，请确保您已经

根据“配胃前的准备”小节中所描述的内容做好了相关的准备工作。

3.1华为SVN系统

3.1.1配置RADIUS服务器

登录到SVN系统的后台管理界面，点击页面右上角虚拟网关的下拉框，选择用户自定义的

虚拟网关（如果没有，请先创建），如下图中的“huawei”：

当前用户：-y18交保存都助美于做密码注请

婀关

root

huwei

TTUQ

切换虚拟网关之后，请先点击页面上方的SSLVPN,然后再点击“认证授权—>RADIUS

服务器”，并按照卜图中的序号进行操作:

在Radius服务器配置页面，配置安盟双因素认证系统的信息，其中共享密钥对应在安盟认

证系统上添加代理主机时所设置的Radius共享密钥，该密钥由用户自定义，且两端的密钥要设

置成一样。

安盟双因素认证系统的信息配置好后，点击“应用”按钮保存配置。

然后再点击“检测”按钮，通过认证测试来验证上面设置的信息是否正确。

注意：认证测试所采用的账号和密码，都需要在安盟认证系统上预先设置好。认证测试的

时候，请打开安盟认证日志，以观察认证测试的情况。

3.1.2配置认证授权方式

点击”认证授权，认证授权方式”，根据认证授权策略配置认证授权的优先级。

认证授权的配置有以下几个：

•任意一组认证授权方式通过

•全部认证授权方式通过

•按优先级选择第一组可用的认证授权方式

在启用双因素认证后，应该只允许用户通过动态密码来登录SVN系统，而不能允许用户采

用静态密码来登录SVN系统，因此，配置认证方式时，请将RADIUS认证的优先级设置最高，

或只保留RADIUS认证（仅供参考，相关配置请根据公司的安全策略来定义），如卜图所示:

Huawei后臼与享

SVN5630

诉"SttSSIE

wu・彼偏方K

aARA

cKuaHHP■w同awm科

2,RAD<UW^aHitVM*录

ZioAawa从良机WBIf电疫收城值危

工S«cul(W«

H止不■于但何便aam户费累,«?*”外/»校用户・享均段则户不w》

正2■方号

向_也.在然EW

iMBMMftftHtUSMmOMMUIBNOMM，:WMAMUMmMUaNMK

□越证号帽!

□姮口水皿

aw»3方卢“1方4

□

②

□twwerxRADIUSvRADIUSY

2jVJcd

□0・现

3-HONC-a-NONE••*

至此，SVN系统和安盟双因素认证系统的整合己经完成，接下来要做登录测试。

3.1.3登录测试

打开SVN系统的SSLVPN登录页面，输入用户名和密码（动态密码）进行登录，如下图

所示：

SSLVPN

HUAWei

不费不安，证书可以极融波全•叁极示衽.**助

于城甘仍（地度.KUMFS?巨线£务定卫

如索京使用口卷USBKenE^HUb诵夫KL入USB3

珂访河在贡御*6入USfi叼后喻本为西•

动态密码有以下两种情况；

1.如果登录账号的令牌已经设置好了PIN码，那么登录时的密码是PIN码+令牌上显示的6

位令牌码。假设PIN码是1234,令牌码是234528,那么登录密码就是。

2.如果登录账号的令牌尚未设置好PIN码，那么登录时的密码请直接输入令牌上显示的6位

令牌码，SVN系统会提示您输入验证码，如下图所示：

SSLVPN

MUAWCI

请输入验证科及交皿■黄

这实际是让您设置一个PIN码，请输入一个4至8位的PIN码，可数字和字母组合，PIN

码设置成功之后，以后您再登录的时候，就是第一种情况，即动态密码=PIN码+令牌码。

备注：PIN码是双因素认证不可缺少的重要组成部分，手动设置PIN码的方法请参考vv安

盟双因素认证基础服务平台•巡检维护手册.docx>>中“5.5重置PIN偈”小节。

关于SVN系统更为详细的配置，请参考SVN系统的相关文档。

3.2华为OC系统

3.2.1配置RADIUS服务器

登录到OC系统的后台管理界面，点击页面上方的系统管理，安全设置，如下图所示：

日口》"童・

达维地图fAM

在安全设置的远程认证配置中，选择RADIUS认证，输入安盟系统的IP地址、端口号（默

认证1812）及共享密钥（如果尚未设置，请先自定义一个，并记录下来），如下图所示：

®MUMmaouotiM*S£S国女化a幻化CMD8pragXA.

认证配置

不皿证LDMU证

aMV.vZEI矶本信息

ssou•主mpg出OIPv4OFv6

25.83.241.140

1812

OVM02

■•舒,叩t25.83.242.152

•KffBAC：1912

■WiRCOCHAPPAPOM$<HAPv2Two-Uctor

-1

•共享E：1——

文冷和:»

接着，在响应报文中，选择“使用本地用户组绑定关系”（如需选择其他项，请查阅OC系

统管理员文档），然后点击页面右下方的“测试”按钮，将弹出连接测试页面，如下图所示：

9M电”»

itH

开Brt•:

请求修文连擂》做

血.…:厂

•«w

值定自定义■«：O

・定

加修文

从皿《«物障吩国G定关凄

从白国义■任中丽用户®牍美事

在连接测试页面，输入安盟系统上的用户名和密码（如果是动态密码，需先输入PIN码,

然后接着输入令牌码），并采用审计管理员（如auditadmin）登录安盟系统查看认证日志，观察

是否有测试日志。

下图中jjztest为测试时显示的结果，提示“用户不在代理主机上”，表示OC系统尚未在

安盟系统的代理主机中注册，请采用系统管理员或安全管理员登录安盟认证系统添加代理主机

（其中Radius密钥应该和0C上设置的共享密钥一致），并设置向所有用户开放，如下图所示：

认证时间▼认证用户认证主机受影晌对象认证结果认证来源来源也址租户名称

2022-12-0117:57:27t11192.168.1.9用户不在代理主机上-adius192.168.1.150公共资源区

RnjmEnjG^=资涯乐统RADIUS及性RtBWff

McurityJL

8!»W»

impiw

，令0省l?radiui-tdt-9一自定义

仲才矶情理

»但主眠192」网.9j必须和认证日志中的认证地址一致

1B3SWS

RADmsew

自定义，但必须和0C上设置的一致

fii否向所杓用户开放

蚀式自用新PIN懵式层用下令刖启用0伍自用用户在树8制

提交保存

请确保在OC上做认证测试并测试成功，然后点“应用”按钮启用RADIUS认证策略。

至此，0C系统和安盟双因素认证系统的整合已经完成，接下来就可以安盟系统的账号登

录0C系统了。

3.3天融信运维安全审计系统

3.3.1配置RADIUS服务器

登录到天融信运维安全审计系统的后台管理界面，按照下图中的序号进行操作，配置第三

方OTP服务器的信息，如下图所示：

济M90•代♦•ee至・•«3■»3D2m1卬■«[XRWhW-T'>芳3・"1<9»£

1♦♦■urtU

，w：

-t

|■uOTIW|2

*

«3yl

♦S3—

.MM

■EE

-e今点

£.R<MA

丈

y

1

;emeu

.SYSLOCCfl

其中，OTP服务器主机地址对应的是安盟认证系统的主服务器的地址，OTP服务器备机地

址对应的是安盟认证系统的备份服务器的地址，OTP认证端口对应的是安盟认证系统RADIUS

服务的认证端口（默认是1812）,OTP认证方法为PAP,通信密钥对应的是RADIUS共享密钥。

信息设置好后，请点击保存按钮，让其生效。

3.3.2配置用户的登录认证方式

然后在用户管理下，找到需要后用安盟认证的用户，修改它的登录认证方式，如下图所示:

编辑用户，设置用户的登录认证方式为OTP认证（一次性口令），如下图所示:

鱼日Q利用户越理设置用户口力猊"

设印户登录认

□»上口令认证

|例,OTP认口（一次性口令）

□，证书认证

口,AD1•认证

设置完成之后，点击保存按钮，让其生效。

3.3.3登录测试

打开天融信运维安全审计系统的登录页面，您将看到如下界面:

天岫体运缎安全审计系及

天融信

TOF>SEC

&««