No4_Array SPX认证授权_基本配置

SSL VPN 配置

Array SPX工程安装配置手册

认证授权配置部分

一、SSL VPN门户Virtual Site认证配置 ................................................................... 1

1. Radius 认证服务配置 .................................................................................... 3 2. LDAP认证服务配置 ...................................................................................... 5 3. AD认证服务配置 ........................................................................................... 8 4. SecurID动态口令认证配置 ........................................................................... 9 二、SSL VPN门户Virtual Site授权配置 ................................................................. 10

1. LocalDB的授权 ............................................................................................ 13 2. LDAP服务器的授权 .................................................................................... 15 3. Radius服务器的授权 ................................................................................... 17 4. Group Mapping 授权方式 ............................................................................ 19

SSL VPN门户Virtual Site认证配置

Array SSL VPN设备Virtual Site 的接入支持多种认证方式，包括LocalDB、LDAP、

AD、Radius、SecurID 等。门户认证也可以关掉，这时用户登陆就不需要认证了，当然，也丧失了很大的安全性。每个Virtual Site 最多可以配置四种认证方法，用户登陆时，按照顺序查找认证服务，当第一种认证方法失败会使用第二种认证方法，直到成功或完全失败为止。对于AD、LDAP、Radius认证，每种方法最多可以配置3个认证服务器。由于上一章已经介绍了LocalDB的配置方法，如果您只使用LocalDB，可以越过本章。本章我们主要介绍其他几种认证方式的配置。 Site Configuration->AAA->General

1

SSL VPN 配置

Site Configuration->AAA->Method

命令行为：

2

SSL VPN 配置

aaa method <authentication method> rank [authorization method] Authentication Method：指采用的认证方法

Rank：是 Virtual Site 的第几种认证方法

Authorization Method：定义了使用这种认证方法时采用的授权方法，下章祥述。

如：

SP-Demo (config)$aaa method localdb 1

第一种认证方法采用LocalDB，授权使用LocalDB。

SP-Demo (config)$aaa method ldap 2 ldap

第二种认证方法采用LDAP服务器，授权也使用LDAP服务器。

Radius认证服务配置

Radius认证是业界普遍采用的认证协议，Virtual Site采用Radius 作认证服务器，需要

配置相应参数及端口，当然在SPX 与Radius服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。在配置Radius认证前，先要和用户的管理员询问一些Radius服务器的情况，包括：Radius 服务认证端口，一般采用UDP 1812或者 是UDP1645，当然用户也可能使用别的端口。另外还要询问服务器使用的通信密钥。

命令行为：

aaa method radius <rank> [authorization method] aaa radius host <ip> <port> <secret> <timeout> <retries>

IP：指Radius服务器的IP地址 Port：Radius服务所使用的端口

Secret：SPX与Radius服务器之间使用的通信密钥 Timeout：超时设定 Retries：重试次数

如：

3

SSL VPN 配置

SP-Demo (config)$aaa method radius 2

SP-Demo (config)$aaa radius host 10.1.10.76 1812 "radius_secret" 20 3

Site Configuration->AAA->Authentication->RADIUS

4

SSL VPN 配置

LDAP认证服务配置

LDAP 是一种轻型目录访问协议，具有结构清晰，查找速度较快的特点。Virtual Site 采

用LDAP作认证，同样需要配置一些参数。所以在作此项配置之前，要先和用户的LDAP 管理员作一下沟通，获得一些参数信息，并用LDAP Browser等客户端工具验证一下，把他的LDAP结构清晰化。LDAP服务一般采用TCP 389端口，基于SSL 的协议一般采用636 端口。

命令行为：

aaa method ldap <rank> [authorization method]

aaa ldap host <ip> <port> <user_name> <password> <”base”> <timeout> [tls]

IP：LDAP服务器IP地址。 Port ：LDAP 服务端口

User Name：有相应LDAP Search权限的用户名 Password：查找时上面用户的口令

5

SSL VPN 配置

Base：从哪一级目录进行查找

aaa ldap search filter <filter>

LDAP查找的Search 规则，如：某属性＝<user>，其中<user>代表用户在登陆SSL

VPN Virtual Site输入的字符串，是参数传递。

接下来配置绑定规则，可以选择动态绑定，也可以选择静态绑定，bind是指用户DN的构成规则。 1．动态绑定： aaa ldap bind dynamic

LDAP查找时根据Complete Distinguished Name，Base 信息与search filter在上面命令

种定义 2．静态绑定：

aaa ldap bind static <dn_prefix> <dn_suffix>

dn_prefix：前缀 dn_suffix：后缀

<dn_prefix> <user><dn_suffix>一起构成了用户DN 如：

SP-Demo (config)$aaa method ldap 4

SP-Demo (config)$aaa ldap host 10.1.10.76 389 "cn=manager,dc=arraytsd,dc=com" "secret" "dc=arraytsd,dc=com" 20

SP-Demo (config)$aaa ldap search filter "cn=<user> " SP-Demo (config)$aaa ldap bind dynamic

Site Configuration->AAA->Authentication->LDAP

6

SSL VPN 配置

7

SSL VPN 配置

AD认证服务配置

采用Active Directory 作认证服务器，需要配置相应参数及TCP端口，当然在SPX与

AD服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。AD的底层也是一个LDAP，所以也同样可以通过LDAP的配置方法配置他。 命令行为：

aaa method ad <rank> [authorization method] aaa ad host <ip> <port> <mail_domain_name> 如：

SP-Demo (config)$aaa method ad 2

SP-Demo (config)$aaa ad host 10.1.175.7 389 “@http://www.77cn.com.cn”

8

SSL VPN 配置

SecurID动态口令认证配置

Virtual Site 用securID认证，重要的配置工作在SecurID服务器上，详见SPX手册，在

SecurID服务器上生成一个文件，将这个文件导入SPX即可，另外，SecurID认证一定要选择rank1，并且是全局生效。

Ace Server和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互

访到。使用SPX的默认路由所指向的interface，作为ACE Server所指定的primary interface.，如果其他端口也配置了IP地址，需要将其IP地址作为secondary interface，这样采用能够在SPX和Ace Server上正确加密数据流。 命令行为：

aaa securid import <url> 如：

SP-Demo (config)# aaa securid import http://10.1.10.33/ace/ sdconf.rec SP-Demo (config)$aaa method secured [authorization method]

9

SSL VPN 配置

一般SecurID服务器也同样支持Radius协议，如果那您把他看作Radius服务器，也可

以按照Radius服务认证的方法配置他，详见前面章节。

SSL VPN门户Virtual Site授权配置

授权是SSL VPN的一个主要的安全功能，Array的授权机制是设置用户或组享有的特

定权限，授权是和认证方法高度相关的，不同的认证采用不同的授权方法。如用LDAP 认证，可以通过LDAP服务器授权，也可以通过LocalDB 或者是Radius服务器授权。

认证授权关系表

10

SSL VPN 配置

Array SPX授权权限分为几类：

其中最主要的授权方式是ACL。ACL分为两大类，一类规定了WRM、File Sharing的

控制规则，另一类定义了ClientApp和L3VPN的控制规则。一个用户登陆SSL VPN时它的权限可以通过ACL作详细的授权。

Array SPX缺省是没有ACL配置的，这时所有的资源对所有的用户开放，一旦对某个

用户或组配置了一个ACL，则对他需要访问的内容权限一定要显示的配置成PERMIT，否则不允许访问。

对WRM 、File Sharing 生效的ACL 命令行为：

<priority> <scheme>:<host><path> [ AND <virtual>] (PERMIT|DENY)

Priority：优先级

Scheme: 是针对HTTP还是 File Sharing Host：目标服务器，支持通配符“*”。

11

SSL VPN 配置

Path：路径

AND virtual ：在global mode配置时只关联到相应的Virtual Site上，在Virtual Site Config 模式时，不需要此参数。

如：

0 http:10.1.175.7/exchange AND intra DENY 1 http:* AND intra PERMIT

2 file:10.1.175.7/demo AND intra DENY 3 file:* AND intra PERMIT

我们会在LocalDB授权时给出具体针对不同用户的配置方法。 2．针对ClientApp、L3VPN的ACL 命令行为： <priority>

ip

<protocol>:<host_ip>[/<netmask>][:port]

[AND

<virtual_site_id>]

{PERMIT|DENY}

Priority – 优先级

Protocol – 针对那种IP协议，可以时TCP、UDP或protocol number，*代表所有协议。 Host_IP：目标服务器 Netmask：掩码 Port：端口号

AND virtual ：在global mode配置时只施加在那个virtuail site ，在virtual site config 模式时，不需要此参数 如：

0 ip *:10.1.175.0/255.255.255.0 AND partner PERMIT 1 ip *:0.0.0.0/0 AND partner DENY

同样，我们会在LocalDB授权时给出具体针对不同用户的配置方法。

12

SSL VPN 配置

LocalDB的授权

用LocalDB授权比较简单，只需对相应用户或组配置相应ACL即可。 命令行为： Global 模式：

localdb acl account <virtual_database_name> <account_name> <ACL> localdb acl group <virtual_database_name> <group_name> <ACL> Virtual Site 模式：

localdb acl account <account_name> <ACL> localdb acl group <group_name> <ACL> 如： 用户的策略

13

SSL VPN 配置

SP-Demo (config)$aaa on

SP-Demo (config)$aaa method localdb 1 SP-Demo (config)$localdb account "test" “pass“

SP-Demo (config)$localdb acl account "test" "0 http:10.1.175.7/exchange AND SP-Demo DENY"

SP-Demo (config)$localdb acl account "test" "1 http:* AND SP-Demo PERMIT"

SP-Demo (config)$localdb acl account "test" "0 file:10.1.175.7/demo AND SP-Demo DENY" SP-Demo (config)$localdb acl account "test" "1 file:* AND SP-Demo PERMIT"

SP-Demo (config)$localdb acl account "test" "2 ip *:10.1.175.0/255.255.255.0 AND SP-Demo PERMIT"

SP-Demo (config)$localdb acl account "test" "3 ip *:0.0.0.0/0 AND SP-Demo DENY“

组的策略：

localdb netpool group <group_name> <pool_id>

地址池分配

localdb sourcenet group <groupname> <ip> <netmask>

登陆原地址限制

很多种认证方法都可以通过LocalDB授权，不过这时一般需要用户名一一对应。如采

用LDAP认证，LocalDB授权，要求LDAP服务器上的帐号和LocalDB上的帐号对应，如果LocalDB上没有这个帐号，需要用Default Group 作在LocalDB上没有的帐号的授权。 如：

SP-Demo (config)$aaa on

SP-Demo (config)$aaa radius accounting off SP-Demo (config)$aaa method ad 1 localdb

14

SSL VPN 配置

SP-Demo (config)$aaa ad host 10.1.10.31 389 "@http://www.77cn.com.cn" SP-Demo (config)$aaa localdb group default "arraygroup" SP-Demo (config)$aaa localdb authorization usedefault

LDAP服务器的授权

如果您使用LDAP认证，缺省是采用LDAP服务器作授权，即将ACL作为LDAP服务

器用户的相应属性来进行授权，这时需要扩充LDAP的schema。如果您的认证服务器和LDAP授权服务器不是一台机器，那您需要单独配置LDAP授权服务器。

LDAP授权命令行为：

SP-Demo(config)$aaa method <authentication method> <rank> ldap

SP-Demo(config)$aaa ldap authorize host <ip> <port> <user_name> <password> <base> <timeout> [tls]

具体参数概念参见上一章中LDAP认证部分。

SP-Demo(config)$aaa ldap authorize search filter <filter>

具体参数概念参见上一章中LDAP认证部分。

然后主要的任务是配置LDAP服务器，首先扩充LDAP服务器的schema，然后配置需要授权用户的ACL属性赋予相应的权限。

我们以OpenLDAP为例叙述过程，一般需要在slapd.conf中加入include文件： include include include

d:/openldap/etc/schema/core.schema

d:/openldap/etc/schema/inetorgperson.schema d:/openldap/etc/schema/array.schema

然后在相应目录下放置array.shema文件，内容如下： #Array extended schema ,added by wuyuepeng

15

SSL VPN 配置

# ArrayNetworks Schema

# case senstive url prefix ie *http://www.77cn.com.cn/marketing attributetype ( 1.3.6.1.4.1.7564.1000.1 NAME 'accepturl' DESC 'accept url exprerssion' SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # accepted source network addresses

# of the form network/mask eg 10.2.0.0/255.255.0.0 attributetype ( 1.3.6.1.4.1.7564.1000.2 NAME 'sourcenet' DESC 'Source Network ip/mask' SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # case senstive network pool name attributetype ( 1.3.6.1.4.1.7564.1000.3 NAME 'netpool' DESC 'network pools for L3 VPN' SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) #Array User inhearts from inetOrgPer objectclass ( 1.3.6.1.4.1.7564.1000 NAME 'ArrayUser' DESC 'Array Appliance Network User' SUP top AUXILIARY MAY ( accepturl $ sourcenet ) )

# Borrow the accepturl and sourcenet from ArrayUser objectclass ( 1.3.6.1.4.1.7564.1001 NAME 'ArrayGroup' DESC 'Array Appliance Network Group' SUP top AUXILIARY MAY ( accepturl $ sourcenet $ netpool ) )

然后在用户的相应属性增加相应的权限即可： 如：

在accepturl属性赋值为一个ACL：0 http:10.1.175.7/exchange AND SP-Demo DENY

16

SSL VPN 配置

Radius服务器的授权

同LDAP授权一样，如果您使用Radius做认证，缺省是采用Radius服务器作授权，即

将ACL作为Radius服务器用户的相应属性来进行授权，这时需要扩充Radius的Dictionary。如果您的认证服务器和Radius授权服务器不是一台机器，那您需要单独配置Radius授权服务器。

Radius授权命令行为：

SP-Demo (config)$aaa method <authentication method> <rank> radius

Sp-Demo (config)$aaa ldap authorize host <ip> <port> <secret> <timeout> <retries>

具体参数概念参见上一章中Radius认证部分。

然后就是扩充Radius服务器的Dictionary，将ACL的属性定义加进去，进而配置用户的相应属性进行ACL授权。扩充的Dictionary文件内容如下： #

#Array Networks

17

SSL VPN 配置

#http://www.77cn.com.cn/

# borrowed from snmpd, may lead to trouble later VENDOR Array-Networks 7564

# Array Netorks Extensions

ATTRIBUTE Accept-Acls 1 string Array-Networks ATTRIBUTE SourceNets 2 string Array-Networks ATTRIBUTE memberUid 3 integer Array-Networks ATTRIBUTE memberGid 4 string Array-Networks ATTRIBUTE NetPool 5 string Array-Networks

然后在用户的相应属性增加相应的权限即可： 如某用户的相应属性：

Foo Auth-Type = Local, Password = “foobar” Accept-Acls = "0 http:*/ AND all PERMIT", SourceNets = “10.2.0.0/255.255.0.0” uidNumber = 2063,

gidNumber = "1000 1020 2300"

18

SSL VPN 配置

Group Mapping 授权方式

有的用户用Radius、AD、LDAP认证，他们又不想修改这些服务器，加上Array的授权属性。这时我们可以抓取这些服务器的组信息放到LocalDB上，将这些认证服务器的组映射到LocalDB的相应组进行授权。

首先要找到Radius、AD、LDAP那个属性是他的组属性，然后当这个属性等于某个值时映射到LocalDB特定组上。如AD上的这个属性就是memberOf属性。 命令行为：

aaa ldap group <attr>

若是LDAP，<attr>指代表组的属性。

aaa radius group <attr>

若是Radius，<attr>指代表组的属性。

aaa localdb group default <groupname>

若组映射不成功，这个用户所属的缺省组。

aaa map group <external_group> <internal_group>

当某用户<attr>的值为external_group时，我们将他映射到localdb internal_group 组

进行授权。 以AD 举例：

我们将AD看成一个LDAP授权服务器来进行配置。 SP-Demo (config)$localdb group "group1" SP-Demo (config)$localdb group "group2"

SP-Demo (config)$localdb acl group "group1" "0 http:10.1.10.55/ AND SP-Demo DENY" SP-Demo (config)$aaa on

SP-Demo (config)$aaa method ad 2 ldap

19

本文来源：https://www.bwwdw.com/article/3q8i.html