身份认证网关I系列用户手册V2.2.3-20101130

PAGE1身份认证网关I系列用户手册V2.2.3吉大正元信息技术股份有限公司JilinUniversityInformationTechnologiesCo.,Ltd.比目录1 引言 11.1 编写目的 12 布署结构图 13 安装配置 13.1 介绍 13.2 Web管理配置流程 23.2.1 安装管理员证书 23.2.2 系统管理员登录并配置 53.2.3 安全保密管理员登录并配置 73.2.4 审计管理员登录并配置 124 功能详解及使用方法 144.1 应用管理 144.1.1 添加应用 144.1.2 修改应用 154.1.3 删除应用 164.2 服务器管理 164.2.1 服务端口设置 164.2.2 申请站点证书 174.2.3 导入站点证书 174.2.4 导出站点证书 184.2.5 配置许可证 194.2.6 当前服务状态 194.3 认证管理 204.3.1 证书认证配置 204.3.2 口令认证配置 234.4 访问控制管理 254.4.1 访问控制设置 254.4.2 应用级访问控制 254.4.3 规则管理 264.5 Portal页面定制 294.5.1 设置隐藏应用 294.5.2 设置默认Portal 304.5.3 定制Portal页 304.5.4 定制登录页 314.6 相关产品设置 314.6.1 UMS配置 314.6.2 PMS配置 324.6.3 UMS/PMS缓存配置 334.6.4 配置应用代码 334.6.5 配置默认权限 334.7 SSO管理 344.7.1 令牌设置 344.7.2 认证地址配置 344.7.3 应用从账号管理 354.7.4 模拟代填设置 364.7.5 在线用户 374.8 管理员配置 374.8.1 配置管理员证书 374.8.2 配置管理员根证书 384.8.3 管理员IP设置 394.8.4 管理员IP列表 394.9 日志管理 394.9.1 配置系统日志 394.9.2 查询系统日志 404.9.3 日志空间预警 414.9.4 日志打包下载 424.10 系统设置 424.10.1 网卡设置 424.10.2 配置DNS服务 424.10.3 本地HOSTS配置 434.10.4 静态路由设置 434.10.5 系统硬件信息 434.10.6 系统时间设置 444.10.7 可信时间源设置 444.10.8 手动同步设备时间 444.10.9 服务器启停 454.11 系统维护 454.11.1 恢复出厂默认值 454.11.2 备份恢复 454.11.3 系统升级 464.12 硬件管理 464.12.1 HA服务管理 464.12.2 网络诊断管理 474.12.3 SNMP服务管理 504.12.4 系统监控 524.12.5 网络监控 535 常见问题解答(FAQ) 555.1 Agent无法做重定向认证 556 附录模拟代填工具 586.1 附录1CS模拟代填 586.1.1 CS模拟代填工具说明 586.1.2 CS模拟代替工具使用方法 586.2 附录2BS模拟代填 616.2.1 BS代填模板说明 616.2.2 BS代填工具使用方法 62身份认证网关I系列V2.2.3PAGE62吉大正元信息技术股份有限公司引言HYPERLINK\o"点击见说明"编写目的身份认证网关对外提供身份认证服务前需要对网关自身进行一系列的参数设置，为提高网关服务系统的易用性，我们提供专门的服务配置管理平台和WEB方式的操作界面，方便管理员对网关服务系统进行管理操作。HYPERLINK\o"点击见说明"布署结构图图表STYLEREF1\s2SEQ图表\*ARABIC\s11安装配置介绍吉大正元身份认证网关背面提供二个网络接口，分别为ETH0，ETH1。ETH0：网关的入口网卡，是用户访问网关的入口。ETH1：出口网卡，作为与应用服务器通信的网口，出厂默认地址是：10。Web管理配置流程安装管理员证书本系统采用分权管理方式，包括三个管理员，分别是系统管理员、安全保密管理员、安全审计员。相关证书从随机光盘中获取，首先安装网关默认的管理员证书，用默认的管理员进行初始的配置。以系统管理员证书为例说明证书的详细安装过程：一安装系统管理员证书找到系统管理员.pfx证书，单击右键，在出现的快捷菜单中选择“安装PFX（I）”如下图：图表STYLEREF1\s31进入到导入向导欢迎使用界面。图表STYLEREF1\s32二选择要安装的证书点“下一步”，进入“指定导入文件”界面，默认显示的证书就是上一步中打开的.pfx证书，即所要安装的，不需改动。图表STYLEREF1\s33三输入密码：点“下一步”，进入输入密码步骤；系统管理员.pfx证书默认密码是111111。图表STYLEREF1\s34四选择安装位置点“下一步”，进入选择存储路径；选择存储路径如图。图表STYLEREF1\s35五完成导入点“下一步”，完成导入步骤；查看安装信息，如果需要修改，点“上一步”，到相应的步骤进行修改。图表STYLEREF1\s36六导入成功点“完成”，已导入证书，导入成功显示如下。图表STYLEREF1\s37系统管理员登录并配置配置流程图：图表STYLEREF1\s38配置详细步骤：系统管理员登录：使用IE访问：https://ServerIP:6443选择使用“系统管理员”证书登录，进入网关欢迎界面。ServerIP是网关的ETH0口的IP地址,6443为默认管理端口，如下图：图表STYLEREF1\s39配置网络：主要进行网络IP设置和DNS服务。网络IP设置：进入“系统设置->网卡设置”页面可以对系统每个网口的IP地址进行修改包括ETH0-外网和ETH1-内网。如下图：图表STYLEREF1\s310图表STYLEREF1\s311配置DNS服务：进入“系统设置->配置DNS服务”页面。如下图：图表STYLEREF1\s312添加上网络的DNS后，配置应用时可以直接配置域名来访问。例如：某应用要访问网址添加一个BS应用，应用服务栏填写,，可以通过该域名访问到后台应用。更换管理员证书：更新系统管理员证书为实际使用的管理员证书（在更新管理员证书前先在管理员根证书的列表中添加管理员证书的根证书）更换管理员如下图：图表STYLEREF1\s313接入用户网络环境：根据用户的实际情况将网关以旁路的方式接入到用户的网络环境中，将一般用户连接到ETH0外网口，启动网关。重启机器，进入服务器启停页面重启网关，如下图：图表STYLEREF1\s314安全保密管理员登录并配置配置流程图：安全保密管理员安全保密管理员启动电源更新管理员配置管理员根证配置站点证书图表STYLEREF1\s315配置详细步骤：安全保密管理员登录：使用IE访问：https://ServerIP:6443选择使用“安全保密管理员”证书登录，进入网关欢迎界面。ServerIP是网关的ETH0口的IP地址，6443为默认管理端口，如下图：图表STYLEREF1\s316配置管理员根证书：进入“管理员配置->配置管理员根证书”页面，点击“添加管理员根证”按钮会弹出如下页面：图表STYLEREF1\s317根证文件：根证书文件的物理存储位置，可点击“浏览”按钮选择根证书。该根证书是签发管理员证书的根证书。配置站点证书：配置站点证书需要进行申请站点证书和导入站点证书操作。申请站点证书：以下是站点证书的申请页面，管理员需要填写证书主题，选择密钥长度，填写私钥保护口令和确认保护口令，点击‘产生’按钮生成申请书，然后拷贝站点证书申请书内容到CA签发站点证书如下图：图表STYLEREF1\s318配置项：证书主题：所要生成证书的证书主题，例如：“cn=localhost,o=jit,c=cn”。证书主题所填内容必须符合证书主题书写规范。密钥长度：设置生成证书所使用的密钥的长度，选项包含512；1024；2048长度。私钥保护口令：设置私钥保护口令，保护口令字段信息必须为合法字段，只包含’a-z’;’A-Z’;’0-9’确认私钥的保护口令：对已经输入的私钥保护口令进行确认。站点证书申请书内容：显示站点证书申请书内容，将该内容进行拷贝，可以到证书签发系统申请证书。拷贝时注意，拷贝内容不包含’BEGINCERTIFICATEREQUEST’和’ENDCERTIFICATEREQUEST’。导入站点证书，这里是站点证书的显示与导入页面，如下图：图表STYLEREF1\s319这里可以显示当前站点证书的信息，如：序列号、签名算法、颁发者主题、有效起始日期、有效终止日期和证书主题。导入站点证书是指从本地的系统中，将指定的证书上传到服务器。可以导入的站点证书有两种类型，X509证书和PKCS12证书。在站点证书申请书处生成的站点证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入，如下图为X509证书的导入页面：图表STYLEREF1\s320也可以直接导入.pfx证书（PKCS12证书）作为站点证书，如下图为PKCS12证书的导入页面：与X509证书导入相比，多了一项输入保护口令，是指输入PKCS12证书的保护口令图表STYLEREF1\s321注意：如果想这部分配置后生效，需要重启网关导出站点证书：如果需要也可以将站点证书导出，输入证书的导出密码后点“导出”按钮就可以将站点证书导出到本地，如下图：图表STYLEREF1\s322更换管理员：更新安全保密管理员证书为实际使用的管理员证书（在更新管理员证书前先在管理员根证列表中添加管理员证书的根证书）更换管理员如下图：图表STYLEREF1\s323审计管理员登录并配置配置流程图：图表STYLEREF1\s324配置详细步骤：审计管理员登录：使用IE访问：https://ServerIP:6443选择使用“审计管理员”证书登录，进入I网关欢迎界面。ServerIP是I网关的ETH0口的IP地址,6443为默认管理端口，如下图：图表STYLEREF1\s325更换管理员证书：更新审计管理员证书为实际使用的管理员证书（在更新管理员证书前先在配置管理员证书的列表中添加管理员证书的根证书）更换管理员如下图：图表STYLEREF1\s3263.审计管理员配置可以对需要记录的日志类型和日志保存方式进行设置图表STYLEREF1\s327功能详解及使用方法应用管理在应用管理这个模块可以注册应用，包括Agent代理、模拟代填和报文认证的BS，报文认证和模拟代填的CS应用。添加应用在“

应用管理

→

配置应用”界面中，点击“添加新应用”按钮，进入应用类型选择页面，可以添加BS应用或CS应用添加BS应用页面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s11配置项：应用名称：输入英文、数字或汉字，作为应用名称。单点登陆方式：包括Agent代理，模拟代填和报文认证。Agent代理方式：指在应用服务器端需要安装过滤器，当用户访问应用时由过滤器转向到网关做认证（此方式适合后台应用可以做改造的情况）。模拟代填方式：指将服务器的策略（代填策略）下载到客户端来实现模拟代填（此方式适合零改造应用）。报文认证方式：指在应用服务器端向网关发送认证报文，网关认证后返回认证结果。应用标识：应用的唯一标识，一旦保存，不可更改。（注:应用标识不允许输入中文而且不能输入重复的应用标识）。应用服务器地址格式：可以是域名或ip地址。应用服务器：指要访问的后台应用的服务器地址。应用通讯协议：是指网关与应用服务器之间采用的传输协议，支持明文通信(http)和SSL/TLS（https）。添加CS应用页面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s12配置项：应用名称：输入英文、数字，或汉字，作为应用名称。应用标识：应用的唯一标识，一旦保存，不可更改。（注:应用标识不允许输入中文而且不能输入重复的应用标识）。应用类型：模拟代填方式：指将服务器的策略（包括：菜单portal策略和代填策略）下载到客户端来实现模拟代填（此方式适合零改造应用）。报文认证方式：指在应用服务器端向网关发送认证报文，网关认证后给客户端返回认证结果，网关只进行认证操作的一种认证方式。修改应用在应用列表页面点击某个应用后面的修改图标，进入应用的详细信息页面，可以对应用的各项信息进行修改（应用标识不允许修改），如下图为BS应用的修改页面，用户可以对应用名称等项进行修改。图表STYLEREF1\s4SEQ图表\*ARABIC\s13删除应用在应用列表页面点击某个应用后面的删除图标可以删除被选择的应用，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s14服务器管理服务器管理主要是对服务器端口、站点证书、许可证的配置，同时可以查看在线用户。服务端口设置配置服务器的通讯端口以及业务通讯类型。图表STYLEREF1\s4SEQ图表\*ARABIC\s15配置项：口令认证端口：配置服务器的单向SSL通信端口。证书认证端口：配置服务器的双向SSL通信端口。业务通讯端口：网关与Agent通信的端口。业务通讯类型：分为明文和密文，明文通讯速度快，但没有密文安全。管理端口：访问网关管理页面的端口。注：当业务通讯类型配置为密文时，Agent应用必须部署与网关对应的密钥库，以进行加密传输业务。申请站点证书以下是站点证书的申请页面，管理员需要填写证书主题，选择密钥长度，填写私钥保护口令和确认保护口令，点击产生按钮就可以生成站点证书申请书，然后拷贝站点证书申请书内容到CA签发站点证书如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s16配置项：证书主题：所要生成证书的证书主题，例如：“cn=localhost,o=jit,c=cn”。证书主题所填内容必须符合证书主题书写规范。密钥长度：设置生成证书所使用的密钥的长度，选项包含512、1024、2048长度。私钥保护口令：设置私钥保护口令，保护口令字段信息必须为合法字段，只包含’a-z’;’A-Z’;’0-9’以及下划线的有效字符确认私钥的保护口令：对已经输入的私钥保护口令进行确认。站点证书申请书内容：显示站点证书申请书内容，将该内容进行拷贝，可以到证书签发系统申请证书。拷贝时注意，拷贝内容不包含’BEGINCERTIFICATEREQUEST’和’ENDCERTIFICATEREQUEST’。导入站点证书显示当前站点证书的信息，如：序列号、签名算法、颁发者主题、有效起始日期、有效终止日期和证书主题。导入站点证书是指从本地的系统中，将得到的证书上传到服务器。可以导入的站点证书有两种类型，X509证书和PKCS12证书。在站点证书申请处生成的站点证书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入，如下图为X509证书的导入页面：图表STYLEREF1\s4SEQ图表\*ARABIC\s17也可以直接导入.pfx证书（PKCS12证书）作为站点证书，如下图为PKCS12证书的导入页面：与X509证书导入相比，多了一项输入保护口令，是指输入PKCS12证书的保护口令图表STYLEREF1\s4SEQ图表\*ARABIC\s18注意：如果想这部分配置后生效，需要重新启动身份认证网关。导出站点证书输入证书的导出密码后，点“导出”按钮就可以将站点证书导出到本地如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s19配置许可证根据用户需要可以使用不同的许可证，在许可证中指定软件使用期限、最大用户数量、网关接入应用数、网关接入用户数等信息。许可证文件可以在购买软件的同时获得。在管理界面中，点击“服务器管理－配置许可证”，进入“许可证管理

→

配置许可证”窗口，点击“浏览”按钮，选择正确的许可证文件（.lce），再点击“确定”按钮，重新启动服务，更新的许可证方可生效。图表STYLEREF1\s4SEQ图表\*ARABIC\s110当前服务状态可以查看到用户访问网关和应用的访问量，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s111查看项：在线用户数：指当前正在访问网关或应用服务器的用户数。应用累计访问总量：指访问某一个应用的累计总次数。认证管理是进行信任域的配置以及信任域的证书状态校验方式的配置。证书认证配置对信任域和证书状态验证的配置，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s112配置信任域：点“添加”按钮，进入信任域的添加页面如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s113配置项：上级信任域：在添加信任域的时候如果这项选择“不指定”那么在添加多级信任域的时候不验证信任域的上下级关系，如果指定的话在添加信任域时会验证信任域的上下关系。CA证书更新LDAP地址：可以配置CA的LDAP地址，在线更新证书。配置证书状态验证：证书状态验证方式支持以下几种不验证：指用证书访问portal或应用的时候，系统不验证证书是否被注销或冻结。CRL校验：支持“目录服务器(LDAP)”、“Web服务器(http)”下载证书吊销列表来验证证书的有效性，或两者组合校验。具体的配置如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s114当选择“目录服务器（LDAP）”显示如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s115配置项：CRL更新周期：可选择“不自动更新、定时更新、按照CRL更新时间”三种方式。管理员DN/密码：登录LDAP的管理员用户名口令，在LDAP允许匿名方式访问时，此项可不填写。总CRL更新地址：指可以下载目录服务器总的crl文件进行证书有效性验证，crl地址格式为:ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl*当crl文件下载成功后可以点“手动管理CRL”查看下载到的crl文件分CRL地址格式如下：ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl1可以添加多个分crl地址，当分crl地址写为如下格式：ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl*会下载所有的crl文件。当选择“Web服务器（HTTP）”显示如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s116配置项：CRL更新周期：可选择“不自动更新、定时更新、按照CRL更新时间”三种方式总CRL更新地址：23:8080/crl/crl.crl分CRL更新地址：23:8080/crl/crl1.crl手工方式导入CRL文件：网关提供手工导入CRL文件，临时取代LDAP或HTTP方式下载的CRL文件，进行证书验证检查。在界面中点击“手动管理CRL”按钮图表STYLEREF1\s4SEQ图表\*ARABIC\s117进入界面，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s118通过执行‘浏览’按钮，选择并导入CRL文件。导入的CRL文件会显示在CRL列表中。OCSP校验：连接OCSP服务器在线查询证书的状态，对用户登录出示的证书进行有效性校验，可以配置两个ocsp服务器，当主ocsp服务器发生错误的时候可以连接备用的机器做验证，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s119配置项：OCSP地址格式为：11:20443/ocspOCSP和CRL组合校验：支持ocsp和crl的组合验证方式，当同时配置了ocsp和crl时会首先采用ocsp服务器进行证书有效性校验，当ocsp出现问题时会自动采用crl的方式进行验证。口令认证配置在采用用户名口令认证策略时，需要进行口令认证配置图表STYLEREF1\s4SEQ图表\*ARABIC\s120选择认证来源：当前版本网关，用户名口令认证来源只支持以UMS为认证源（相关UMS配置请参看‘相关产品设置’章节）增加验证码：选择为‘是’，则在登录网关login页面时，除了要填写用户名口令，还需要填写验证码一项，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s121校验策略：有明文和SHA1两种选择，明文是指登录时输入的用户口令与UMS中配置的口令一致。SHA1可增加密码安全性，是指UMS配置口令时，输入口令的SHA1码，登录时输入实际口令。（SHA1码获取方式：将密码写入某文档，用hash工具对该文档进行hash计算，即可获得SHA1值）图表STYLEREF1\s4SEQ图表\*ARABIC\s122认证配置报文认证支持X509证书+SSL认证方式：当服务器与网关之间通过报文改造方式并使用单向SSL通讯时，可以直接提交X509证书到网关做认证。支持机构扩展属性：当组织机构有扩展属性时，需要选择此选项，网关将把UMS上机构下的所有扩展属性返回给应用系统，并可以配置返回的信息是属性的名称还是编码方式。图表STYLEREF1\s4SEQ图表\*ARABIC\s123访问控制管理访问控制设置进入‘访问控制管理->访问控制设置’，在这里进行全局访问控制的设置。图表STYLEREF1\s4SEQ图表\*ARABIC\s124全局默认策略：当应用未配置应用级访问控制规则时，通过全局默认策略进行访问控制。选择‘允许’时，在网关中注册的应用默认为允许所有用户访问。选择‘禁止’时，在网关中注册的应用默认为禁止所有用户访问。系统规则配置：启动或禁用系统规则。UMS从账号：选择“开启”，点击“保存”，某应用选择该规则，当用户没有UMS从账号时，禁止访问该应用。PMS权限策略：选择“开启”，点击“保存”，某应用选择该规则，当用户没有PMS权限时，禁止访问该应用。注：要想使该规则生效，需要某个具体的应用启用该规则。应用级访问控制点击“应用级访问控制”进入如下页面：图表STYLEREF1\s4SEQ图表\*ARABIC\s125执行应用对应的‘配置应用访问规则’按钮，进入配置应用控制界面，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s126配置项：默认策略：选择‘允许’时，通过认证登录的所有用户允许访问应用。选择‘禁止’时，通过认证登录的所有用户禁止访问应用。认证方式：选择“证书认证”时，只有通过证书认证后，才能访问应用。选择“用户名口令”时，只有用户名口令认证后，才能访问应用。选择“用户名口令”与“证书认证”时，必须同时通过用户名口令和证书认证后才能访问应用。选择“用户名口令”或“证书认证”时，通过证书或用户名口令其中一种方式认证后，就能访问应用。应用访问规则在‘应用访问规则’执行‘选择’按钮，弹出如下图窗口：图表STYLEREF1\s4SEQ图表\*ARABIC\s127系统级规则：包括验证UMS从账号及PMS权限策略。自定义规则：用户自行定制的规则。（请参见‘规则管理’章节）勾选规则后，执行确定按钮，点击保存，规则添加完毕。规则管理用户可以通过规则管理添加用户自定义的规则信息图表STYLEREF1\s4SEQ图表\*ARABIC\s128点击“添加新规则”按钮进入如下页面：图表STYLEREF1\s4SEQ图表\*ARABIC\s129规则基本信息名称：输入规则的名称状态：‘启用’指打开规则‘停用’指关闭规则模式：‘允许’满足规则条件时允许访问‘禁止’满足规则条件时禁止访问证书主题条件：勾选该项，编辑证书主题条件，如下图图表STYLEREF1\s4SEQ图表\*ARABIC\s130选择项，固定项包括C、O、OU、T、CN、SN、L、ST、E、DC、UID，这些基本上涵盖了证书DN的所有常规项，当存在有固定项不包含的项目或需要使用通配符方式进行匹配的情况下，可以通过‘任意值’进行表示。选择某一常规项时，如选择‘C’，在‘=’后选择‘固定值’填写具体的信息，或选择‘任意值’用‘*’进行匹配。设置完成后，执行‘确定’按钮提交，如下图所示：图表STYLEREF1\s4SEQ图表\*ARABIC\s131时间段条件：勾选该项，编辑时间条件，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s132时间条件分为每天、每周和指定日期每天：指定每天的某个时间段作为访问控制条件。图表STYLEREF1\s4SEQ图表\*ARABIC\s133每周：指定每周的星期几的几点到几点作为访问控制条件图表STYLEREF1\s4SEQ图表\*ARABIC\s134指定日期：指定具体的日期，时间段图表STYLEREF1\s4SEQ图表\*ARABIC\s135用户证书扩展：根据证书扩展来进行控制规则设置为OR时，一条规则将控制两个或两个以上的用户：用户名条件：勾选该项对登录login_portal的用户名进行控制图表STYLEREF1\s4SEQ图表\*ARABIC\s136输入用户名信息，可以选择‘精确匹配’前的复选框进行精确匹配或不选择进行模糊匹配用户属性条件：可以根据用户的属性进行做控制IP地址条件：勾选该项对IP地址进行控制IP地址条件限制：输入具体的IP地址信息，可以添加多个IP图表STYLEREF1\s4SEQ图表\*ARABIC\s137IP区间条件限制：输入IP地址段信息注：当一个应用选择有多项规则的情况下，规则的优先级按所选规则自上至下的排列顺序，排在顶端的规则优先级别最高。当需要调整规则优先级别顺序时可通过‘上移’，‘下移’按钮调整。图表STYLEREF1\s4SEQ图表\*ARABIC\s138Portal页面定制设置隐藏应用在这个页面可以对受保护的应用是否在portal页面显示进行设置，当勾选应用后面的隐藏复选框后在应用的portal页面就不显示该应用。图表STYLEREF1\s4SEQ图表\*ARABIC\s139设置默认Portal在这个页面可以设置显示的portal页，选择“网关”的话访问portal显示网关默认的portal页面，选择“自定义”时需要用户输入自定义的portal页地址如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s140配置的自定义portal地址格式为：.其中为自定义portal的地址定制Portal页定制页面的logo图片、portal页面的logo图片、公告信息和证书的有效期提示如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s141证书有效期提示：当用户证书快到期的时候访问portal页面系统会有提示信息。定制登录页指可以给每个Agent代理的应用配置一个单独的认证页面，当访问应用的地址的时候就自动跳转到自定义的认证页面进行认证，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s142点击“登录页面上传”按钮进入上传认证页面的添加页面如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s143配置项：上传认证页面：自定义的认证页面，文件格式为：jsp。上传文件1：指自定义认证页面所需要的相关文件，如样式表，图片等。相关产品设置UMS配置配置UMS服务器信息，通过连接UMS可以实现以下几个功能：实现用户名/口令认证，并获取登录用户在UMS系统中配置的基础信息。实现基于UMS从账号的访问控制。图表STYLEREF1\s4SEQ图表\*ARABIC\s144配置项：UMS版本：支持的各种UMS版本。UMS服务器IP地址：如00UMS服务器端口：如8802机构字典返回类型：返回的信息可以是名称与编码两种选择。默认是名称，选择编码必须在认证管理-认证配置中选中支持机构扩展属性测试UMS连接按钮：点击“连接测试”按钮检测连接状态。PMS配置配置PMS服务器信息，通过PMS可以获取登录用户在PMS系统中配置的权限信息，从而控制用户对应用的访问图表STYLEREF1\s4SEQ图表\*ARABIC\s145PMS版本：指可以支持的PMS版本。PMS服务器IP地址：如：0。PMS服务器端口：如：9999。测试PMS连接按钮：点击“连接测试”按钮检测连接状态。注：当访问控制采用“PMS权限控制”时需要连接UMS、PMS并配置默认权限UMS/PMS缓存配置图表STYLEREF1\s4SEQ图表\*ARABIC\s146缓存状态：启用和禁用两种选择缓存持久化：启动该功能，网关将上次访问的UMS用户信息保存到网关上，在UMS离线时仍然可以正常登陆。用户缓存最大有效时间：指读取的UMS/PMS信息在网关上缓存的最长时间，这段时间用户可从缓存中获取UMS/PMS配置的信息，超过有效时间，用户访问时网关将重新从UMS/PMS读取信息并缓存。用户缓存最大空闲时间：指用户获取当前缓存的UMS/PMS信息后，在最大空闲时间内可保持该信息，超过最大空闲时间就再次读取缓存的UMS/PMS信息。清空缓存：点击后，网关清空缓存中的UMS/PMS信息。配置应用代码在结合PMS产品时，需要对应用指定应用代码，其中PMS3.5.1需要指定本地码，从而实现基于PMS权限的访问控制并从PMS产品中获取用户的权限信息，应用码从PMS对应的应用中获得。图表STYLEREF1\s4SEQ图表\*ARABIC\s147配置默认权限可以给应用指定默认权限，当无法从PMS中获取权限时便可以使用默认权限，默认权限配置如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s148SSO管理令牌设置在这里可以配置令牌的最长有效时间和最长空闲时间，时间单位为分钟。最长有效时间指从建立一个会话开始，该会话可保持存在的最长时间，超过该时间则清除该会话。最长空闲时间指建立会话后，两次请求间隔允许的最长时间，超过该时间则清除该会话。图表STYLEREF1\s4SEQ图表\*ARABIC\s149认证地址配置在这里进行认证地址的设置，默认为IP格式。图表STYLEREF1\s4SEQ图表\*ARABIC\s150配置项：输入格式：选择使用域名还是IP地址形式。选择域名时显示如下页面：图表STYLEREF1\s4SEQ图表\*ARABIC\s151公共域：输入认证服务器公共域信息，以’.’开头。如：.认证服务器地址：输入认证服务器域名如：。以上三项设置需要结合说明。a、当身份认证网关需要支持域名访问业务进行联合身份认证时，输入格式选择为域名格式，此时，公共域名输入域名根域地址，且必须以’.’开头，认证服务器地址则需输入身份认证网关的域地址形式，且必须包含公共域所配置的字段信息。如：图表STYLEREF1\s4SEQ图表\*ARABIC\s152b、当身份认证网关只需通过IP地址进行访问时，输入格式选择为IP地址格式。此时，只需要输入认证服务器的IP地址信息。重启时则默认配置为身份认证网关服务所在设备的IP地址（注意多网卡、IP时需要指明服务IP）。 注意：配置项修改后，需要重新启动身份认证网关才能生效。应用从账号管理在这个页面管理员可以对受保护应用进行从账号的绑定、修改绑定和删除绑定，支持的从账号来源有：用户自注册，管理员指定和从UMS获取，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s153用户自注册：当选取用户自注册后，需要用户在portal页面手动注册从账号。管理员指定：当选取管理员指定点保存后进入，如下页面：图表STYLEREF1\s4SEQ图表\*ARABIC\s154管理员给应用指定从账户有2种从账户类型如下：为所有用户建立一个默认的从账户。为所有用户建立一个默认的从账户指所有访问应用的用户都采用这个账户访问应用。为某一用户单独配置从账户：为某一用户创建从账户指可以单独为某一个用户指定一个从账户，当一个应用即指定了默认从账户又给其中的用户单独创建了从账户，则以单独创建的从账户登录优先，还可以对绑定的从账户信息进行修改和删除。从UMS获取：指从UMS服务器上获取应用的从账号信息。注：当用户连接UMS获取从账户的时候首先在相关产品模块配置正确的UMS服务器地址。模拟代填设置配置模拟代填需要的配置文件，当需要进行模拟代填时需要先下载对应的模版并进行对应的修改，然后将修改的文件上传：图表STYLEREF1\s4SEQ图表\*ARABIC\s155注：模拟设置在线用户查询访问网关的在线用户，可以根据用户名称和证书DN进行实时查询图表STYLEREF1\s4SEQ图表\*ARABIC\s156图表STYLEREF1\s4SEQ图表\*ARABIC\s157管理员配置配置管理员证书管理员证书：作为管理员的证书必须满足三个条件：导入的管理员证书前必须先配置管理员根证书。管理员证书必须在有效期范围之内。管理员证书的标准扩展域的密钥用法中必须有签名算法。导入管理员证书：当需要更换管理员证书时，将管理员证书重新导入。点击“浏览”按钮选择管理员证书。图表STYLEREF1\s4SEQ图表\*ARABIC\s158配置管理员根证书在配置管理员之前先要配置管理员的根证书，以下为管理员根证书的配置页面：图表STYLEREF1\s4SEQ图表\*ARABIC\s159管理员IP设置管理员IP设置主要是添加管理员IP到管理员IP列表和开启IP限制。添加管理员IP地址到管理员IP列表。图表STYLEREF1\s4SEQ图表\*ARABIC\s160启用IP限制后只有管理员IP列表中的用户可以访问网关的管理页面。图表STYLEREF1\s4SEQ图表\*ARABIC\s161管理员IP列表对添加的管理员IP进行删除图表STYLEREF1\s4SEQ图表\*ARABIC\s162当IP限制在启用的情况下，删除管理员IP列表中的IP最后一个IP无法删除注：开启IP限制时，不允许更换管理员证书。日志管理配置系统日志配置系统日志包括设置记录的日志类型和日志的保存方式。该系统支持四种日志文件类型，日志类型说明如下：管理员日志：如果设置为记录管理员日志，则当管理员登录或登出网关以及在管理端进行的一些应用添加删除修改网关配置项信息都会记录管理员日志。业务日志：如果设置为记录业务日志，则当进行认证，访问控制以及行为审计的情况下会记录当前的业务日志。调试日志：如果设置为记录调试日志，则当进行各类服务时，会记录整个服务流程的相关信息。错误日志：如果设置为记录错误日志，则当连接外部服务出现异常以及非法数据导致异常的情况下会记录下错误相关信息。日志保存方式：支持本地保存、AQS2.0、AQS3.0、Syslog服务器保存日志保存时间：配置本地日志的保存时间。过期日志处理方式：设置过期的本地日志的处理方式，可以上传到ftp,也可以删除。FTP配置：过期日志上传的FTP服务器IP，端口，用户名，密码，上传路径。SYSLOG地址配置：配置SYSLOG服务器地址，端口。AQS2.0地址配置：配置AQS3.0服务器地址，端口。AQS3.0地址配置：配置AQS3.0服务器地址，端口。图表STYLEREF1\s4SEQ图表\*ARABIC\s163查询系统日志对于系统记录的日志，提供浏览和下载功能，以方便管理员对日志信息的操作管理，查询界面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s164管理员日志可以根据证书或管理员用户名和操作时间进行查询业务日志查询界面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s165业务日志可以根据用户ID号、访问时间、应用名称和操作时间进行查询业务日志。当日志类型选择‘业务日志’，而查询条件‘用户’在选择了模糊查询时，操作时间必须不能为空。错误日志查询界面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s166调试日志查询界面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s167日志空间预警日志达到设置的预警临界值时，当管理员登录会弹出警告提示，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s168日志打包下载将日志按操作时间进行归档，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s169系统设置网卡设置对网关每个网口的IP地址进行修改，ETH0外网、ETH1内网可以根据需要进行修改。如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s170图表STYLEREF1\s4SEQ图表\*ARABIC\s171配置DNS服务DNS即域名解析系统，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS配置页面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s172本地HOSTS配置本地Hosts即网关本地hosts文件。用来解析“用域名方式配置的应用”的域名和IP对应关系。在“用IP方式配置的应用”情况下，在本地hosts文件中给该应用IP随意对应一个域名，也有助于加快访问后台应用的速度。图表STYLEREF1\s4SEQ图表\*ARABIC\s173静态路由设置静态路由：指定网关访问某个网络内的应用时，需要将数据转发给哪个设备。该设备用IP地址来标识，且必须和网关的某一个接口IP在同一个网段内，称为“下一跳”。配置静态路由的要素有三项：目的网络、目的子网掩码、下一跳IP地址。例如，某静态路由配置如下：

00

，则含义为，网关想要访问/16网络内的应用，需要将数据转发给00的这个IP。路由的设定，可以是计算机之间跨网段通信。主要用于定义封包的走向，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s174如图所示，目标网络为，掩码为的数据包网关地址为54，数据包通过ETH0流出。ETH0口的默认网关是54，配置静态路由时网关要配成与ETH0的默认网关ETH1没有默认网关，配置ETH1的静态路由时网关配成与ETH1同一网段即可系统硬件信息这里是系统信息的页面。主要显示服务器的CPU、内存的大小、硬盘的大小等信息。图表STYLEREF1\s4SEQ图表\*ARABIC\s175系统时间设置这里是显示当前网关的系统的时间，并且可以修改系统时间图表STYLEREF1\s4SEQ图表\*ARABIC\s176可信时间源设置图表STYLEREF1\s4SEQ图表\*ARABIC\s177设置NTP服务器，使网关时间自动与可信的服务器时间同步手动同步设备时间手动同步NTP服务器时间图表STYLEREF1\s4SEQ图表\*ARABIC\s178服务器启停这里是服务启停的页面，主要有两项功能：重启机器和关闭机器。图表STYLEREF1\s4SEQ图表\*ARABIC\s179系统维护恢复出厂默认值在这里可以将系统的配置信息恢复到出厂时的默认配置，执行恢复操作时系统会重启机器，如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s180备份恢复备份功能可以将用户的当前系统配置全部备份到一个文件中，以便发生错误时可以恢复到当前状态。在备份时系统要重新启动，复操作可以使系统恢复到某一个备份的状态，点击浏览，选择需要恢复的文件，点击恢复，重启系统，便完成恢复操作如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s181备份文件列表中的备份文件可以下载、恢复或者删除。系统升级在管理页面中点击系统升级进入数据管理系统升级页面，选中升级包，执行升级，系统自动进行升级如下图：图表STYLEREF1\s4SEQ图表\*ARABIC\s182注：系统升级文件名字必须是update.zip硬件管理网关提供HA服务管理，网络诊断管理，SNMP服务管理，系统监控，网络监控，5项操作。HA服务管理HA功能实现当网关发生异常，如宕机、断电情况下，使网关能够自动切换到备机，使用户能够正常使用网关。在开启HA功能之前，需要先设置相应网卡的IP，因为网关出厂时网卡的IP是一样的。图表STYLEREF1\s4SEQ图表\*ARABIC\s183默认HA状态为关闭，通过修改机器名称来配置主机名。当处于关闭状态时，HA功能不起作用。选择开启，HA功能启动，会出现下面信息：图表STYLEREF1\s4SEQ图表\*ARABIC\s184配置项：机器名称：输入英文、数字，作为机器名称。工作方式：开启状态。集群角色：可以选择使用的本机为主机还是备机。主节点名称：为主机的hostname。备节点名称：为备机的hostname。虚拟IP地址：设置可以用来进行访问的“中间IP”，与网关出口ip在一个网段内。虚拟IP掩码：为虚拟IP设置的对应掩码（1-32之间整数）。心跳端口：心跳服务端口，HA主备机间通过心跳消息来检测对方是否存活。心跳间隔：设置间隔多长时间测试连接一次，心跳间隔在1-5秒之间。配置完成后点击确定，提示重启。图表STYLEREF1\s4SEQ图表\*ARABIC\s185点击“取消”，工作方式与集群角色重置。网络诊断管理网络诊断信息功能用来诊断网络是否使用正常，可以通过Ping命令、Traceroute命令、telnet命令来检测。界面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s186Ping命令选择Ping命令，输入IP格式如：97，ping个数为ping多少次停止。输入配置信息，后点击执行，如果可以ping通显示如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s187如果不可以ping通显示如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s188点击“清空”则清空当前文本框信息。Traceroute命令选择Traceroute命令，测试是否网关与所执行的IP经过路由，经过的网关IP是多少。输入IP格式如：65输入配置信息，后点击执行，如果不过路由显示如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s189如果过路由显示如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s190过网关IP如图是54点击“清空”则清空当前文本框信息。Telnet命令选择Telnet命令，测试是否网关与Telnet服务相通。输入IP格式如：输入配置信息，后点击执行，如果可以连接成功显示如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s191如果连接不成功显示如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s192点击“清空”则清空当前文本框信息。SNMP服务管理SNMP是简单网络管理协议，该协议能够支持监测连接到网络上的设备的任何需要关注的情况。SNMP服务自动启动，选择“SNMP服务管理”显示页面如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s193若配置项设置如下：图表STYLEREF1\s4SEQ图表\*ARABIC\s194点击“确定”，提示重启图表STYLEREF1\s4SEQ图表\*ARABIC\s195重启过程中查看SNMP服务启动。若配置项设置如下图表STYLEREF1\s4SEQ图表\*ARABIC\s196点击“确定”则提示关闭成功。图表STYLEREF1\s4SEQ图表\*ARABIC\s197SNMP服务将被关闭。若配置项设置如下图表STYLEREF1\s4SEQ图表\*ARABIC\s198点击“确定”则提示启动成功。图表STYLEREF1\s4SEQ图表\*ARABIC\s199SNMP服务将被启动。若配置项设置如下图表STYLEREF1\s4SEQ图表\*ARABIC\s1100点击“确定”则提示关闭成功。图表STYLEREF1\s4SEQ图表\*ARABIC\s1101SNMP服务将被关闭。点击“重置”则对当前填写信息进行回退。系统监控系统监控功能会对网关硬件信息进行实时监控，监控信息为cpu、内存、硬盘使用情况。图表STYLEREF1\s4SEQ图表\*ARABIC\s1102“刷新频率设置”用来设置多长时间采集一次信息，单位为秒。显示的CPU使用信息图表STYLEREF1\s4SEQ图表\*ARABIC\s1103显示的硬盘使用信息图表STYLEREF1\s4SEQ图表\*ARABIC\s1104分别显示两个分区硬盘使用的情况。显示的内存使用信息图表STYLEREF1\s4SEQ图表\*ARABIC\s1105设置刷新频率，点击“保存”，提示数据保存成功。图表STYLEREF1\s4SEQ图表\*ARABIC\s1106当输入的刷新频率为不为数字时，提示只能输入整数。图表STYLEREF1\s4SEQ图表\*ARABIC\s1107网络监控网络监控功能会对网卡信息进行实时监控。图表STYLEREF1\s4SEQ图表\*ARABIC\s1108并分别对eth0、eth1等网卡进行监控，并分别对应显示网卡对应的IP地址。当有网络流量的时候会显示相应信息图表STYLEREF1\s4SEQ图表\*ARABIC\s1109设置刷新频率，点击“保存”，提示数据保存成功。图表STYLEREF1\s4SEQ图表\*ARABIC\s1110当输入的刷新频率不为数字时，提示只能输入整数。图表STYLEREF1\s4SEQ图表\*ARABIC\s1111HYPERLINK\o"点击见说明"常见问题解答(FAQ)Agent无法做重定向认证参考《JIT身份认证网关I_Agent配置手册.doc》，检查Agent是否正确配置；检查域名配置是否正确。 检查域名正确配置，应检查服务器的域名配置，以及DNS配置。检查域名配置在桌面上“我的电脑”图标上单击鼠标右键，在快捷菜单中选择“属性”出现如下图的图表STYLEREF1\s5SEQ图表\*ARABIC\s11单击“网络标识”选项