AAA服务器配置

本节介绍AAA服务器的配置,包括新建AAA服务器、编辑AAA服务器以及删除AAA服务器。

新建AAA服务器

系统目前支持的AAA服务器包括本地服务器、Radius服务器、Active-Directory服务器以及LDAP服务器。本节分别介绍不同服务器的新建方法。

新建本地AAA服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<本地服务器>,弹出<本地服务器配置>对话框。
  3. 在<服务器名称>文本框输入服务器名称。
  4. 如果需要为服务器指定角色映射规则,从<角色映射规则>下拉菜单选择适当的映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
  5. 如果需要,选中<启用>复选框开启本地用户修改密码功能。开启该功能后,用户通过Web认证或者SCVPN认证成功登录系统后,可以修改自身密码。
  6. 如果需要为服务器配置备份认证服务器,从<备份认证服务器>下拉菜单选择适当的服务器。为本地服务器配置备份认证服务器后,当主服务器出现问题或者用户在主服务器认证失败时,备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。
  7. 点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

新建Radius服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<Radius服务器>,弹出<Radius服务器配置>对话框。
  3. 在<基本配置>部分配置Radius服务器的基本信息
    • 服务器名称:指定Radius服务器的名称。
    • 服务器地址:指定认证服务器的IP地址或者域名。
    • 端口:指定Raidus服务器的端口号。默认值是1812,范围是1024到65535。
    • 密钥:指定Raidus服务器的密钥。
    • 再次输入密钥:再次输入Raidus服务器的密钥进行确认。
    • 角色映射规则:为AAA服务器指定角色映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
    • 重拨次数:指定AAA服务器(认证报文)的重传次数。取值范围为1到10次,默认为3次。
    • 应答超时时间:指定服务器的应答超时时间。取值范围为1到30秒,默认为3秒。
    • 备份认证服务器:指定备份认证服务器。为Radius服务器配置备份认证服务器后,当主服务器出现问题或者用户在主服务器认证失败时,备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。
  4. 如果需要,选中<启用计费功能>复选框启用Radius服务器的计费功能,然后在滑出区域配置服务器的计费功能
    • 服务器地址:指定计费服务器的IP地址或者域名。
    • 端口:指定计费服务器的端口号。默认值是1813。取值范围是1到65535。
    • 密钥:指定计费服务器的秘密字符串。字符串范围为1到31个字符。
    • 再次输入密钥:再次输入密钥以确认。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
  5. 配置完成,点击『确定』按钮保存当前所做配置并返回AAA服务器对话框。

新建Active-Directory服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<Active-Directory服务器>,弹出<Active-Directory服务器配置>对话框。
  3. 在<基本配置>部分配置Active-Directory服务器的基本信息
    • 服务器名称:指定Active-Directory服务器的名称。
    • 服务器地址:指定认证服务器的IP地址或者域名。
    • 端口:指定Active-Directory服务器的端口号。默认值是389,范围是1到65535。
    • Login-dn:指定登录DN(通常为AD服务器预设的具有查询权限的用户账号)的具体内容。
    • Base-dn:Base-DN是指当Active-Directory服务器收到一个认证请求时,目录查询的起始点。该选项用于指定Base-dn的具体内容。
    • 密钥:指定Active-Directory服务器的密钥,为管理员DN所对应的密码。
    • 再次输入密钥:再次输入Active-Directory服务器的密钥进行确认。
  4. 如果需要,在<可选配置>部分配置服务器的可选项
    • 角色映射规则:为AAA服务器指定角色映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
    • 认证方式:指定认证方法,明文或MD5摘要。默认为MD5摘要。
    • 监控用户登录:选中该选项复选框开启服务器监控功能过。通过服务器监控功能,StoneOS能够从Active-Directory服务器上获取域用户的用户名和IP地址对应关系信息,从而允许用户访问网络资源,实现单点认证。另外,利用所获取的用户名和IP地址对应关系信息,StoneOS还可以实现基于用户的安全统计、日志记录、行为审计等。实现Active-Directory服务器监控功能,需要在Active-Directory服务器上安装并运行服务器监控软件Security Agent。安装并成功运行Security Agent后,当域用户从Active-Directory服务器登录或者注销时,Security Agent会记录该用户的用户名、IP地址、当前时间等信息,并将用户名和IP地址对应关系信息发送到StoneOS。这样,StoneOS就可以获得每个在线用户的IP地址信息。
      监听端口 - 指定监听端口号。取值范围为1025到65535。系统默认监听端口号为6666。
      登录信息保留时间 - 指定用户绑定信息删除超时时间。取值范围为0到1800,单位为秒。默认超时时间为300秒。0表示永不超时。
    • 备份认证服务器:指定备份认证服务器。为Active-Directory服务器配置备份认证服务器后,当主服务器出现问题或者用户在主服务器认证失败时,备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。
  5. 配置完成,点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

新建LDAP服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 点击服务器列表左上角的『新建』下拉菜单,选择<LDAP服务器>,弹出<LDAP服务器配置>对话框。
  3. 在<基本配置>部分配置LDAP服务器的基本信息
    • 服务器名称:指定LDAP服务器的名称。
    • 服务器地址:指定认证服务器的IP地址或者域名。
    • 端口:指定LDAP服务器的端口号。默认值是389,范围是1到65535。
    • Login-dn:指定登录DN(通常为LDAP服务器预设的具有查询权限的用户账号)的具体内容。
    • Base-dn:Base-DN是指当LDAP服务器收到一个认证请求时,目录查询的起始点。该选项用于指定Base-dn的具体内容。
    • 密钥:指定LDAP服务器的密钥,为管理员DN所对应的密码。
    • 再次输入密钥:再次输入LDAP服务器的密钥进行确认。
  4. 如果需要,在<可选配置>部分配置服务器的可选项
    • 角色映射规则:为AAA服务器指定角色映射规则。指定角色映射规则后,系统将会为通过该服务器认证的用户按照指定角色映射规则分配角色。
    • 备份服务器1:指定备份服务器1的IP地址或者域名。
    • 备份服务器2:指定备份服务器2的IP地址或者域名。
    • 认证方式:指定认证方法,明文或MD5摘要。默认为MD5摘要。
    • 用户名属性:指定LDAP服务器的用户名属性名称。默认为uid。
    • 成员属性:指定LDAP服务器的成员属性名称。默认为uniqueMember。
    • 组类别:指定LDAP服务器的组属性名称。默认为groupofuniquenames。
    • 备份认证服务器:指定备份认证服务器。为LDAP服务器配置备份认证服务器后,当主服务器出现问题或者用户在主服务器认证失败时,备份认证服务器发挥身份认证的作用。备份认证服务器可以为系统中已配置的本地、Active-Directory、RADIUS或者LDAP服务器。
  5. 配置完成,点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

注意

编辑AAA服务器

编辑AAA服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 从AAA服务器列表中选中需要编辑的AAA服务器,然后点击列表左上角的『编辑』按钮,弹出<本地/Radius/Active Directory/LDAP服务器配置>对话框。在该对话框进行编辑。
  3. 编辑完成,点击『确定』按钮保存当前所做配置并且返回AAA服务器对话框。

删除AAA服务器

删除AAA服务器,请按照以下步骤进行操作:

  1. 从工具栏的<对象用户>下拉菜单选择『AAA服务器』,弹出<AAA服务器>对话框。
  2. 从AAA服务器列表中选中需要删除的AAA服务器,然后点击列表左上角的『删除』按钮。

注意:“local”为系统的默认AAA服务器,用户不能删除该服务器。