AAA服务器配置

本节介绍AAA服务器的配置,包括新建AAA服务器、编辑AAA服务器以及删除AAA服务器。

新建AAA服务器

系统目前支持的AAA服务器包括本地服务器、Radius服务器、Active Directory服务器以及LDAP服务器。本节分别介绍不同服务器的新建方法。

新建本地AAA服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<本地服务器>,弹出<本地服务器配置>对话框。
  3. 在<服务器名称>文本框输入服务器名称。
  4. 如果需要为服务器指定角色映射规则,从<角色映射规则>下拉菜单选择适当的映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
  5. 点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

新建Radius服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<Radius服务器>,弹出<Radius服务器配置>对话框。
  3. 在<基本配置>部分配置Radius服务器的基本信息
    • 服务器名称:指定Radius服务器的名称。
    • 服务器地址:指定认证服务器的IP地址或者域名。
    • 端口:指定Raidus服务器的端口号。默认值是1812,范围是1024到65535。
    • 密钥:指定Raidus服务器的密钥。
    • 再次输入密钥:再次输入Raidus服务器的密钥进行确认。
  4. 如果需要,在<可选配置>部分配置服务器的可选项
    • 角色映射规则:为AAA服务器指定角色映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
    • 重拨次数:指定AAA服务器(认证报文)的重传次数。取值范围为1到10次,默认为3次。
    • 应答超时时间:指定服务器的应答超时时间。取值范围为1到30秒,默认为3秒
  5. 配置完成,点击『确定』按钮保存当前所做配置并返回AAA服务器对话框。

新建Active Directory服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<Active Directory服务器>,弹出<Active Directory服务器配置>对话框。
  3. 在<基本配置>部分配置Active Directory服务器的基本信息
    • 服务器名称:指定Active Directory服务器的名称。
    • 服务器地址:指定认证服务器的IP地址或者域名。
    • 端口:指定Active Directory服务器的端口号。默认值是389,范围是1到65535。
    • Login-dn:指定登录DN(通常为AD服务器预设的具有查询权限的用户账号)的具体内容。
    • Base-dn:Base-DN是指当Active Directory服务器收到一个认证请求时,目录查询的起始点。该选项用于指定Base-dn的具体内容。
    • 密钥:指定Active Directory服务器的密钥,为管理员DN所对应的密码。
    • 再次输入密钥:再次输入Active Directory服务器的密钥进行确认。
  4. 如果需要,在<可选配置>部分配置服务器的可选项
    • 角色映射规则:为AAA服务器指定角色映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
    • 认证方式:指定认证方法,明文或MD5摘要。默认为MD5摘要。
    • 监控用户登录:选中该选项复选框开启服务器监控功能过。通过服务器监控功能,系统能够从Active Directory服务器上获取域用户的用户名和IP地址对应关系信息,从而允许用户访问网络资源,实现单点认证。另外,利用所获取的用户名和IP地址对应关系信息,安全网关还可以实现基于用户的安全统计、日志记录、行为审计等。实现Active Directory服务器监控功能,需要在Active Directory服务器上安装并运行服务器监控软件Security Agent。安装并成功运行Security Agent后,当域用户从Active Directory服务器登录或者注销时,Security Agent会记录该用户的用户名、IP地址、当前时间等信息,并将用户名和IP地址对应关系信息发送到系统。这样,系统就可以获得每个在线用户的IP地址信息。
      监听端口 - 指定监听端口号。取值范围为1025到65535。系统默认监听端口号为6666。
      登录信息保留时间 - 指定用户绑定信息删除超时时间。取值范围为0到1800,单位为秒。默认超时时间为300秒。0表示永不超时。
  5. 配置完成,点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

新建LDAP服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<LDAP服务器>,弹出<LDAP服务器配置>对话框。
  3. 在<基本配置>部分配置LDAP服务器的基本信息
    • 服务器名称:指定LDAP服务器的名称。
    • 服务器地址:指定认证服务器的IP地址或者域名。
    • 端口:指定LDAP服务器的端口号。默认值是389,范围是1到65535。
    • Login-dn:指定登录DN(通常为LDAP服务器预设的具有查询权限的用户账号)的具体内容。
    • Base-dn:Base-DN是指当LDAP服务器收到一个认证请求时,目录查询的起始点。该选项用于指定Base-dn的具体内容。
    • 密钥:指定LDAP服务器的密钥,为管理员DN所对应的密码。
    • 再次输入密钥:再次输入LDAP服务器的密钥进行确认。
  4. 如果需要,在<可选配置>部分配置服务器的可选项
    • 角色映射规则:为AAA服务器指定角色映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
    • 认证方式:指定认证方法,明文或MD5摘要。默认为MD5摘要。
    • 用户名属性:指定LDAP服务器的用户名属性名称。默认为uid。
    • 成员属性:指定LDAP服务器的成员属性名称。默认为uniqueMember。
    • 组类别:指定LDAP服务器的组属性名称。默认为groupofuniquenames。
  5. 配置完成,点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

编辑AAA服务器

编辑AAA服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 从AAA服务器列表中选中需要编辑的AAA服务器,然后点击列表左上角的『编辑』按钮,弹出<本地/Radius/Active Directory/LDAP服务器配置>对话框。在该对话框进行编辑。
  3. 编辑完成,点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

删除AAA服务器

删除AAA服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 从AAA服务器列表中选中需要删除的AAA服务器,然后点击列表左上角的『删除』按钮。

注意:“local”为系统的默认AAA服务器,用户不能删除该服务器。