安盟双因素身份认证系统快速安装手册

安盟双因素身份认证系统

快速安装手册

(AnmengServer8.0Agent7.1)

四川安盟电子信息安全有限责任公司

2019411月

版本管理

版本摘要编写时间

1.20增加常见日常拍错陈俊2019/11/18

1.21增加管理员描述陈俊2019/11/20

安盟双因素身份认证本地保护

文档应用:

本地认证保护的设置与应用。

读者对象:

网络安全管理员

使用软件:

安盟双因素身份认证软件Anmeng8.0

安盟双因素代理AMAgent7.1

目录

1安装认证服务器和认证客户端.............................错误!未定义书签。

1.1安装认证服务器软件...............................错误!未定义书签。

1.2导入令牌..........................................错误!未定义书签。

1.3添加代理主机......................................错误!未定义书签。

1.4添加用户..........................................错误!未定义书签。

1.5安装标准认证客户端...............................错误!未定义书签。

1.6测试标准的客户端.................................错误!未定义书签。

2本地认证保护的设置与应用...............................错误!未定义书签。

2.1本地认证保护的设置...............................错误!未定义书签。

2.2本地认证保护的应用................................错误!未定义书签。

3安装备份服务器..........................................错误!未定义书签。

4安装服务管理器..........................................错误!未定义书签。

5卸载服务管理器..........................................错误!未定义书签。

本说明分为两部分，第一节为介绍认证服务器的安装，第二节为客户端的安装，如果认

证服务器已经安装完成，可以直接查阅第二节内容。

1安装认证服务器和认证客户端

安盟ACE/Agent本地访问认证

客户端（工作站）服务器

皆呆的时候，用户需要输入

个安盟SecurH）口令.

如果口令正确,用户就可以

建防到Widows桌面.

A2

本地保护的基本思路是：

1，在服务器上安装安盟认证服务器软件。

2,将生成的文件，从服务端复制到客户端。

3,在客户端（工作站）安装标准客户认证软件。

1.1安装认证服务器软件

在安盟认证软件AnmengServer8.0文件夹里边双击启动安装，得到如下提示:

图1・1

选择“主认证服务器”，单击“下一步”继续安装。

图1-2

导入许可证文件（），安盟有专用的一张光盘。单击“确定”继续安装。通过浏览按钮,

找到许可证文件所在目录，单击“确认”。许可证文件路径出现在文本框中，单击“下一步”，

进入下一步的安装。

图1-3

设置安装路径，单击“下一步”，继续安装。

图1-4

认证服务器自动安装。

图1-5

单击“完成”。安盟认证服务器8.0版本安装完成。这样就可以启动服务器。

1.1.1管理员身份登录

・第a憧度a

命令・示芬

2003

2003

i口服与*i里3

图1-6安盟服务管理器

单击开始）所有程序-安盟认证服务器8.01服务管理器，就会出现连接服务器的画面

图1-7连接服务器

单击“连接服务器二

图1-8认证服务器管理登录

输入用户名sysadmin,口令是1111（安盟身份认证系统初始密码是1111）,单击“下一

步”，就可以进入到安盟认证服务器的管理界面。如下图所示:

T女工QSUiff・分管再；B70去工中国(主墨努衣)

糊⑤GMT理11)用户管理@)羽富遭电代理主机曾理⑴M点Q)座卸gifiQ)…，如

-货的从吐那号重型万

B$ttta

东廿RWI»

己制於B»liubin

8站电♦理MfQg

-:陶有达吉*axa*o>a

stna<i«nt»ya«A

代理王娟理«Uk«V«L

箍二节自管理ejin.国

:8公共站点xi，8・T

siavsrKan^qi

MH

代曲机亶理zh«nQ<i

ckao<ztyi

菊二Y点筌理

S北京站

♦Vililii

♦SM&

-3：：w中

Ch-ckltt

xpohiK住

IE二枪

Proxy即登

显示内苔站《5・理-公共站《5-绢管理-篱整熨(fflPft13)教学

图1-9安盟认证服务器管理画面

到此安盟认证服务器的安装与启动全部介绍完毕c

安盟身份认证系统己经增加三员分立的功能，分别是系统管理员，安全员和审计员。

其中日志管理员为auditadmin,初始密码是1111o

1.1.2导入令牌

进入管理界面后，在“令牌管理”中，选择“导入令牌”。系统会提示导入，以xml后

缀名的种子文件，这时系统会提示“设置令牌工作模式”。

图1-10设署令牌工作方式

默认安装，单击“确定”。系统会显示导入令牌的个数。

导入OTP令牌

令牌独［io再入熟［o

覆盖数p跳过数p

进度iniinnnv

确定

图MI令牌导入状态

新导入的令牌在“未分配令牌”一栏中，分配给用户后进入“已分配令牌”一栏。

-安盟认让服务巨'理粉令牌序列号开始时间结束时间

-令牌管理000000789194702004-06-082010-09-29

未分配令牌000000789194712004-06-082010-09-29

已分配令牌000000789194722004-06-082010-09-29

-组管理000000789194732004-06-082010-09-29

管理员000000789194742004-06-082010-09-29

代理主机管理000000789194752004-06-082010-09-29

第二节点管理000000789194762004-06-082010-09-29

2010-09-29

-RADIUS首理000000789,94772004-06-08

Chee蝇性000000789194782004-06-082010-09-29

RavnenH屋件000000789194792004-06-082010-09-29

图1-12

选中某一令牌后双击，可以直接编辑该令牌。

1.1.3添加代理主机

添加代理主机，也就是需要保护的目标机，打开安盟认证服务器的管理画面。

图1-13增加代理主机

在树列表区选择“代理机管理”，在信息列表区，单击鼠标右键，选着“增加代理主机”

编篇代理主机

RADIUS属性一

RespondK'll|3

Check属性!三

IP地址池|三|

用加或二节点|_____________|生成节点花文|删除节点一文|保存

删肝黄—节点|垄蛆用户|设置访问时间|删除代理主机|退出

图1-14编辑代理主机

填写“代理主机名称”和“IP地址”，这个地方还要勾选“向所有用户开放二保存退

出，到此代理机就添加完成。

接下来，就是要生成配置文件文件。该文件在后期安装客户端的时候使用到。我们临时

将其临时放在桌面。

在菜单栏上边点击“代理机主机管理”选择“导出配置文件”。

图1-15导出配置文件

将配置文件文件临时放到桌面保存。

图1-16保存配置文件

单击“保存”这样客户端的配置文件制作完成。

L1.4添加用户

在管理画面上边，在树列表区选择“管理员”，然后在信息列表区，单击鼠标右键选择

“增加用户”。

图1-17增加用户

假如我们添加一个用户cc,并且给它分配令牌如下显示:

图1-18编辑添加用户

填写账号，用户名，分配一个令牌，最后勾选“在所有代理机上激活”，单击“保存二

一个用户添加完成。

1.2安装标准认证客户端

将安装认证服务器时保存的配置文件“二复制到客户端（工作站）。假设我们仍然放到

桌面上。为了保证客户端和认证端是连接正常，安装程序前最好ping测试一下。如果连接

正常，开始安装程序。

双击安盟ACEAgent中的文件，会出现下面的画面

InstallShiel4fixard2SJ

玖却使用AIAe»i>tTVi<>rd

Inst«115hi«ld（X）Viztrd将在计It机中安蓊

熄MentT。若要缚分，语单击“下一岳”。

压三盟坡）1取消|

图1-19

选择“下一步”继续安装

AlAecnt?-Ins^allShieldTizard

图1-20

将刚才保存在桌面上的文件导入，单击“下一步二现在程序开始安装。屏幕会显示安

装进度的画面。

图1-21

客户端安装完成。

1.1.5测试标准的客户端

进入控制面板打开客户端，在开始今所有程序令anmeng会出现下面的画面

安密认证客户载管理署

图1-22

点击“认证测试”

图1-23

单击“认证”

提示凶

认证成功！

仁二确定二胃

图1-24

身份认证成功，到此身份认证客户端，就可以正常使用了。

2本地认证保护的设置与应用

1.3本地认证保护的设置

i增加用户，添加需要保护的账户。

图2-1

用户名就是需要验证的登录账号，主机密码为windows设置的湾码，预留口令是指当

客户端无法与认证服务器联系，会提示用户输入预留的口令密码。

点击〈确定〉保存,完成添加用户操作，保存所有配置。

2启动认证

安密认证客户栽管理涔

增加用户编辑用户删除用户

认证则试保存配置退出

保存配置。将认证客户端状态设置成启动，退出系统，认证保护生效。

1.4本地认证保护的应用

完成上边的过程，重新启动系统后，就会出现下边的一个安盟SecurlD的对话框。

图2-2

依次输入用户名和动态口令点击〈登录〉，即可实现登录验证保护的功能。

3认证日志排错

选择开始分程序令安盟认证服务器8.0今认证日志查看器，在经过权限验证后（只有管理

员级别的用户方可查看该日志），可查看认证日志，如下图：

应用按名，尔

fQInCemMExp*Of«f□命令■小种

aWindomServerpg.(i«wa.uaa&Mi

.■dnaMwai.幢丽n

Rffi誓2.Bi*m

■HUB汶田・

.Windows用iSCSIXieWf9

■,PowvrShdl

⑦RADIUSI”ooecw»02

，付)

■aM

识找.WtLHwmasaooecttioM

3SB忖)

IMH右育,惠,Wcdows

NPowvrShdl(«M)

»安盟双因素身份认证系统V7.0—认证日志查科器-Demo（主服务器）

系统日志雪理报告（R）

用户对・I维票I

2018-03-1219:52:17adminstrator192.168.1201静态口令

2018-03-1222:40:08adminstrator192.168.1.201静态口令

2018-03-1223X)3:28admin192.168.1.201wax定力正■

2018-03-1223:04:52admin192.168.1201定码不正.

2018-03-1223:05:43admin192.168.1.201用户已被禁用

2018-03-1223:06:32admin192.168.1.201厄口令

12018-03-1223^)6:47admin192.168.1.201缶码不正.

如果用户登录有问题，或者在测试时，都可以通过查看认证日志，找到问题所在。

常见的认证日志错误及解决办法如下所示:

3.1密码不正确

认证信息如下：

2018-03-1223:04:52admin192.168.1201密码不正.

解决办法:

I.如果是所有登录某个代理主机的用户均报密码不正确，请确定代理主机对接的协

议：

a）如果是RADIUS协议，请确保双方的RADIUS共享密钥一致。

b）如果是SECURID协议，请清除代理主机上的节点密文。

2.请确保用户的密码类型，

a）如果是静态密码，请确保静态密码没有过期，并重置密码。

张号开户日期|2018-03-12「需用户更换口令「用户禁用

黑号开始日期修01873T2"二|口令微止日期"017-02T2,二|

最近登录时间|2018-03-1223:06:32过期，请延期~

b）动态密码

i.请确保用户令牌的状态为可用状态;

ii.请确保用户的令牌没有过期；

111.请重置令牌的PIN码，并同步令牌。

3.2用户不在代理主机上

认证信息如下:

2018-03-090029:03|root|192.168.1.103||用户程

解决办法：

1.根据日志信息中的操作主机信息，请确保192.168.1.103已经添加成为了代理主

机，如果尚未添加，请根据6.2添加代理主机中所描述的步骤进行增加。

2.如果已经把192.168.1,103添加成了代理主机，请确保代理主机向root用户开放了

访问权限，可根据6.5激活代理主机小节中所描述的内容进行授权。

3.3需要设置新PIN码

2018-03-1309:42:05admin192.168.1.20100000046127119若要设置新PIN码

2018-03-1309:43:05test192.168.1201静态口令有要设置新PIN请

I）当认证对象为令牌序号时，表示用户的令牌模式钩选了使用PIN,但尚未设置PIN

码，或者是用户令牌的状态为新PIN模式，如下图所示：

解决方法:

a）在编辑令牌窗口，点击编辑PIN码按钮，手动设置PIN码，并将令牌的状态设置

为启用状态。

b）通过认证代理软件或支持RADIUS挑战应答的工具，并根据提示设置PIN码，如

下图所示：

R*dlu,客户超.|支持挽战/应答认证菽］

请钵入用户名：adRin

197518

Responsepacket：

1Code■Access-ChaHenge<11>

1ID-0

2Length•121

16RequestAuthenticator-<80428064Id6261368afb8c2f51Id58e9>

44Rcply-tlcssAge<18>•"EnteranewPINhavingfnon4to8digits:**

57State<24>-0AUTH.0-Rf»Hc»A«Rlc9ef35db«lc9beS6c997c929300*bcacbffc53M

EnteranewPINhavingfron4to8di9its：：abcdl234"

Responsepacket：

1Code■Access-Accept<2>

1ID-1

2Length•37

16RequestAuthenticator-<ba81562c499b8b7ffB1927la11fl446d>

17Reply-Hessasre<18>-,(PASSCODEAccept0

PIN设置成功，在认证Fl志中，将新生成一条设置新PIN码成功的Fl志，如下图所示:

201803-1309:51^)8admin192.168.1.20100000046127119设置新PIN码成功

3.4需要下一个令牌码

201803-131Ch03:41admin192.168.1.20100000046127119

当用户令牌的模式钩选了启用下一令牌码，且令牌的状态为下一令牌码时，在用户输入

正确的PIN码+令牌码后，会提示需要下一个令牌码，如下图所示:

辆令牌

令It^0C300046127119

P|»dain

令慎6用时同|2017-06-W-

令0关雨时日|20J8-05-08~

.近登录/II用时同|2019-03-13100441-

令普奥0|128位收件~令声码位效[6—

余次Ik|1分"状速|下

◎梁生奥次•[0pixa|*SH

令0虢式状在设置

P启用一次一生。自用

C*用

P使用P1M

CjjPIJiUl式

|P启用下一令呵

r启用遇倩

解决办法:

a）在编辑令牌窗口，将令牌的状态设置为启用状态，并保存。

b）通过认证代理软件或支持RADIUS挑战应答的工具，并根据提示设置PIN码，如

下图所示：

ludis客户at|支挎挑成/应答认证稹式］

请输入用户W2

请输入后裆斗>加“23Ml38k|—PINi什—♦

Responsepacket：

1Code■Access-Challenge<11>

1ID-0

2L0ngli-94

16Requestduthenticator■《b6・bdS44a4c9dd093«Stcdc・54f?il16>

17Reply-heasage<18>-<,E-»terNextCode”

57State<24>-MAUTH.0-00decBa801c9e6ff4e3fl2cdf34fd482a7610S84ddfffbaeM

日“rN»xtCo.：785858|

Responsepacket：

1Code-Access-Accept<2>

1ID,1

2Length-37

16RequestAuthenticator-<eb96e28f1cb3194。feb2fB09fd4b26di>

17Reply-Hessage<18>-"PVS8DEAccept0

所谓的下一个令牌码，是相对于用户登录时，所输入的那个令牌码来讲的，假设有

以下5个令牌码：

387212413870785858341375901562

假设，用户在登录时，输入的密码是abed,其中，abcdl234是PIN码，413870是

令牌码，那么，等413870变化之后的第一个令牌码，就是下一个令牌码，即785858。

下一个令牌码验证成功之后，在认证日志中，将新生成一条登录成功的日志，如下

图所示：

2018-03-131003:41admin192.168.1.20100000046127119需要下一^^•符码

2018-03-1310^)4:08|admin|192.168.1201100000046127119

3.5没有可用的令牌

2019-03-1310:1503admin192.168.1201没有可用的令牌

当用户在登录的时候，输入了正确的PIN码+正确的令牌码，得到没有可用的令牌

时，表示用户的令牌已经过期了。

解决方法：

请为用户重新分配一个没有过期的令牌。

4安装认证备份服务器

安装备份服务器操作步骤:

第一步，在系统/备份服务器管理/输入备份服务器，填入预作备份机的IP地址。

图4-1添加备份服务器地址

单击“生成备份服务器数据走”,

图4-2生成备份数据包

此时，在主认证服务器上生成一个包，在安装认证服务器默认路径下会出现一个

replicaDB备份包(例如：C