AAA服务器配置

AAA服务器配置

策略 > 对象 > AAA服务器

AAA服务器提供验证授权以及账户服务。

在AAA服务器配置页面，可以执行以下操作：

点击『新建』按钮，创建新的AAA服务器，可创建本地服务器、Radius服务器、Activie Directory 服务器或LDAP服务器。
点击『编辑』按钮，编辑选中的服务器。
点击『删除』按钮，删除选中的服务器。

<本地服务器配置>对话框选项说明：

选项	说明
服务器名称	为新建的本地服务器输入名称。
允许修改密码	选中<启用>复选框，允许用户在登录系统后修改自身的密码。
备份认证服务器	当主服务器出现问题或者用户在主服务器认证失败时，备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。

<Radius服务器配置>对话框选项说明：

选项	说明
基本配置
服务器名称	为Radius服务器输入名称。
服务器地址	Radius服务器的域名或IP地址。
端口	Radius服务器的端口号。默认值为1812，取值范围为1024到65535。
密钥	指定Radius服务器的密钥。字符串范围为1到31个字符。
再次输入密钥	再次输入Radius服务器的密钥进行确认。
可选配置
备份服务器1	备份Radius服务器1的IP地址或域名。
备份服务器2	备份Radius服务器2的IP地址或域名。
重拨次数	AAA服务器（认证报文）的重传次数。
应答超时时间	服务器的超时时间。
备份认证服务器	为Radius服务器配置备份认证服务器后，当主服务器出现问题或者用户在主服务器认证失败时，备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。
启用计费功能	选中<启用>复选框，启用计费信息的存储和管理功能。服务器地址：指定计费服务器的IP地址或者域名。端口：指定计费服务器的端口号。默认值为1813，取值范围为1024到65535。密钥：指定计费服务器的秘密字符串。字符串范围为1到31个字符。再次输入密钥：再次输入密钥以确认。备份服务器1：指定备份服务器1的IP地址或者域名。备份服务器2：指定备份服务器2的IP地址或者域名。

<Active Directory服务器配置>选项说明：

选项	说明
基本配置
服务器名称	为Activie Directory服务器输入名称。
服务器地址	Activie Directory服务器的域名或IP地址。
Login-dn	指定登录DN（通常为Activie Directory服务器预设的具有查询权限的用户账号）的具体内容。
Base-dn	Base-DN是指当Active Directory服务器收到一个认证请求时，目录查询的起始点。该选项用于指定Base-dn的具体内容。
端口	Activie Directory服务器的端口号。默认值为389，取值范围为1到65535。
密钥	指定Activie Directory服务器的密钥。
再次输入密钥	再次输入Activie Directory服务器的密钥进行确认。
可选配置
备份服务器1	备份Activie Directory服务器1的IP地址或域名。
备份服务器2	备份Activie Directory服务器2的IP地址或域名。
认证方式	指定认证方法，明文或MD5摘要。默认为MD5摘要。
监控用户登录	选中<启用>复选框开启服务器监控功能。通过服务器监控功能，安全网关系统能够从Active Directory服务器上获取域用户的用户名和IP地址对应关系信息，从而允许用户访问网络资源，实现单点认证。利用该信息，系统还可以实现基于用户的安全统计、日志记录、行为审计等。实现Active Directory服务器监控功能，需要在Active Directory服务器上安装并运行服务器监控软件Security Agent。安装并成功运行Security Agent后，当域用户从Active Directory服务器登录或者注销时，Security Agent会记录该用户的用户名、IP地址、当前时间等信息，并将用户名和IP地址对应关系信息发送到StoneOS。这样，StoneOS就可以获得每个在线用户的IP地址信息。监听端口：监听端口号（默认为6666）。登录信息保留时间：用户绑定信息删除超时时间（默认为300秒，0表示永不超时）。
备份认证服务器	指定备份认证服务器。为Active Directory服务器配置备份认证服务器后，当主服务器出现问题或者用户在主服务器认证失败时，备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。

<LDAP服务器配置>选项说明：

选项	说明
基本配置
服务器名称	为LDAP服务器输入名称。
服务器地址	LDAP服务器的域名或IP地址。
端口	LDAP服务器的端口号。默认值为389，取值范围为1到65535。
Login-dn	指定登录DN（通常为LDAP服务器预设的具有查询权限的用户账号）的具体内容。
Base-dn	Base-DN是指当LDAP服务器收到一个认证请求时，目录查询的起始点。该选项用于指定Base-dn的具体内容。
密钥	指定LDAP服务器的密钥。
再次输入密钥	再次输入LDAP服务器的密钥进行确认。
可选配置
备份服务器1	备份AD服务器1的IP地址或域名。
备份服务器2	备份AD服务器2的IP地址或域名。
认证方式	指定认证方法，明文或MD5摘要（默认为MD5摘要）。
用户名属性	指定LDAP服务器的用户名属性名称。默认为uid。
成员属性	指定LDAP服务器的成员属性名称。默认为uniqueMember。
组类别	指定LDAP服务器的组属性名称。默认为groupofuniquenames。
备份认证服务器	指定备份认证服务器。为LDAP服务器配置备份认证服务器后，当主服务器出现问题或者用户在主服务器认证失败时，备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。