• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线接入点 Web网管配置指导(R1508P11)-6W108

08-认证

本章节下载 08-认证  (1.04 MB)

08-认证


1 AAA

1.1  概述

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

·              认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户。

·              授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作。

·              计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。

AAA可以通过多种协议来实现,目前设备支持基于RADIUS协议、HWTACACS协议来实现AAA。在实际应用中,最常使用RADIUS协议。

AAA一般采用客户端/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如下图所示。

图1-1 AAA基本组网结构示意图

 

说明

关于AAA的详细介绍请参见“安全配置指导”中的“AAA”。

 

1.2  AAA配置任务简介

进行AAA配置前要做如下准备:

·              要进行本地认证,需要配置本地用户,具体配置请参见“用户”。

·              要进行RADIUS认证,需要先配置RADIUS方案,具体配置请参见“RADIUS”。

·              要进行HWTACACS认证,需要先配置HWTACACS方案,具体配置请参见“HWTACACS”。

表1-1 AAA配置步骤

步骤

配置任务

说明

1

1.3  配置ISP域

可选

配置ISP域,并指定其中一个为缺省ISP域

缺省情况下,系统存在名为system的缺省ISP域

2

1.4  配置ISP域的AAA认证方法

可选

配置对ISP域中不同类型的用户所使用的认证方法

缺省情况下,所有类型的用户采用Local认证方法

3

1.5  配置ISP域的AAA授权方法

可选

配置对ISP域中不同类型的用户所使用的授权方法

缺省情况下,所有类型的用户采用Local授权方法

4

1.6  配置ISP域的AAA计费方法

必选

配置对ISP域中不同类型的用户所使用的计费方法

缺省情况下,所有类型的用户采用Local计费方法

 

1.3  配置ISP

(1)      在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如下图所示。

图1-2 域设置

 

(2)      配置ISP域的信息,详细配置如下表所示。

(3)      单击<应用>按钮完成操作。

表1-2 ISP域的详细配置

配置项

说明

域名

设置ISP域的名称,用于标识域

可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域

缺省域

设置该ISP域是否为缺省域

·       Enable:设置为缺省域

·       Disable:设置为非缺省域

同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域

 

1.4  配置ISP域的AAA认证方法

(1)      在导航栏中选择“认证 > AAA”。

(2)      单击“认证”页签,进入如下图所示的页面。

图1-3 认证

 

(3)      配置ISP域中不同类型用户所使用的认证方法,详细配置如下表所示。

(4)      单击<应用>按钮,弹出配置进度对话框。

(5)      看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

表1-3 ISP域AAA认证方法的详细配置

配置项

说明

选择一个域名

设置要配置的ISP域

Default认证

设置所有类型用户的缺省认证方法和备选方法

·       HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案

·       Local:本地认证

·       None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

·       RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置Default认证,即恢复缺省情况(本地认证)

方案名称

备选方法

LAN-access认证

设置LAN-access用户的认证方法和备选方法

·       Local:本地认证

·       None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

·       RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置

方案名称

备选方法

Login认证

设置Login用户的认证方法和备选方法

·       HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案

·       Local:本地认证

·       None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法

·       RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置Login认证,此时缺省使用Default认证的配置

方案名称

备选方法

PPP认证

设备不支持PPP认证的配置

方案名称

备选方法

Portal认证

设备不支持Portal认证的配置

方案名称

 

1.5  配置ISP域的AAA授权方法

(1)      在导航栏中选择“认证 > AAA”。

(2)      单击“授权”页签,进入如下图所示的页面。

图1-4 授权

 

(3)      配置ISP域中不同类型用户所使用的授权方法,详细配置如下表所示。

(4)      单击<应用>按钮,弹出配置进度对话框。

(5)      看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

表1-4 ISP域AAA授权方法的详细配置

配置项

说明

选择一个域名

设置要配置的ISP域

Default授权

设置所有类型用户的缺省授权方法和备选方法

·       HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案

·       Local:本地授权

·       None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

·       RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置Default授权,即恢复缺省情况(本地授权)

方案名称

备选方法

LAN-access授权

设置LAN-access用户的授权方法和备选方法

·       Local:本地授权

·       None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

·       RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置

方案名称

备选方法

Login授权

设置Login用户的授权方法和备选方法

·       HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案

·       Local:本地授权

·       None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限

·       RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置Login授权,此时缺省使用Default授权的配置

方案名称

备选方法

PPP授权

设备不支持PPP授权的配置

方案名称

备选方法

Portal授权

设备不支持Portal授权的配置

方案名称

Command授权

设备不支持Command授权的配置

方案名称

 

1.6  配置ISP域的AAA计费方法

(1)      在导航栏中选择“认证 > AAA”。

(2)      单击“计费”页签,进入如下图所示的页面。

图1-5 计费

 

(3)      配置ISP域中不同类型用户所使用的计费方法,详细配置如下表所示。

(4)      单击<应用>按钮,弹出配置进度对话框。

(5)      看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

表1-5 ISP域AAA计费方法的详细配置

配置项

说明

选择一个域名

设置要配置的ISP域

计费可选开关

设置是否开启计费可选功能

·       对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断

·       对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文

Default计费

设置所有类型用户的缺省计费方法和备选方法

·       HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案

·       Local:本地计费

·       None:不计费

·       RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置Default计费,即恢复缺省情况(本地计费)

方案名称

备选方法

LAN-access计费

设置LAN-access用户的计费方法和备选方法

·       Local:本地计费

·       None:不计费

·       RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置

方案名称

备选方法

Login计费

设置Login用户的计费方法和备选方法

·       HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案

·       Local:本地计费

·       None:不计费

·       RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案

·       Not Set:不设置Login计费,此时缺省使用Default计费的配置

方案名称

备选方法

PPP计费

设备不支持PPP计费的配置

方案名称

备选方法

Portal计费

设备不支持Portal计费的配置

方案名称

 

1.7  AAA典型配置举例

1. 组网需求

如下图所示,配置AP,实现对登录AP的Telnet用户进行本地认证和授权。

图1-6 AAA配置组网图

 

2. 配置步骤

(1)      配置本地用户。

步骤1:在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入用户名为“telnet”。

·              输入用户密码为“abcd”。

·              输入确认密码为“abcd”。

·              加密方式为“可逆”。

·              选中用户类型为“普通用户”。

·              选中授权等级为“Configure”。

·              选择服务类型为“Telnet”。

步骤4:单击<确定>按钮完成操作。

图1-7 创建本地用户

 

 

(2)      配置ISP域system中Login用户的AAA认证方法为本地认证。

步骤1:在导航栏中选择“认证 > AAA”。

步骤2:单击“认证”页签。

步骤3:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“Login认证”前的复选框,选择认证方法为“Local”。

步骤4:单击<应用>按钮,弹出配置进度对话框。

步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图1-8 配置ISP域test中Login用户的AAA认证方法为本地认证

 

(3)      配置ISP域test中Login用户的AAA授权方法为本地授权。

步骤1:在导航栏中选择“认证 > AAA”。

步骤2:单击“授权”页签。

步骤3:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“Login授权”前的复选框,选择授权方法为“Local”。

步骤4:单击<应用>按钮,弹出配置进度对话框。

步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图1-9 配置ISP域test中Login用户的AAA授权方法为本地授权

 

(4)      通过命令行开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。

<AP> system-view

[AP] telnet server enable

[AP] user-interface vty 0 4

[AP-ui-vty0-4] authentication-mode scheme

[AP-ui-vty0-4] quit

使用Telnet登录时输入用户名为telnet@system(密码为abcd),以使用system域进行认证。

 


2 RADIUS

2.1  概述

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的一种最常用的协议,是分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。

RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。

说明

关于RADIUS和AAA协议的详细介绍请参见“安全配置指导”中的“AAA”。

 

2.2  配置RADIUS方案

RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参数。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址、UDP端口号和报文共享密钥进行设置,这些服务器包括认证和计费服务器,而每种服务器又有主服务器和备份服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、备份服务器的IP地址、共享密钥以及RADIUS服务器类型等。缺省情况下,不存在任何RADIUS方案。

(1)      在导航栏中选择“认证 > RADIUS”,进入如下图所示的页面。

图2-1 RADIUS

 

(2)      单击<新建>按钮,进入新建RADIUS方案的配置页面,如下图所示。

图2-2 新建RADIUS方案

 

(3)      配置RADIUS方案的名称。

(4)      配置RADIUS方案的通用参数,详细配置如下表所示。

表2-1 通用参数的详细配置

配置项

说明

服务类型

设置设备支持的RADIUS服务器类型:

·       Standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互

·       Extended:指定Extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互

用户名格式

设置发送给RADIUS服务器的用户名格式

接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器

·       保持用户原始输入:表示发送给RADIUS服务器的用户名保持用户原始的输入,不做任何修改

·       带域名:表示发送给RADIUS服务器的用户名带域名

·       不带域名:表示发送给RADIUS服务器的用户名不带域名

 

(5)      单击“高级”前的扩展按钮,展开通用参数中的高级配置,如下图所示。

图2-3 通用配置

 

 

(6)      配置高级通用参数,详细配置如下表所示。

表2-2 高级通用参数的详细配置

配置项

说明

认证服务器共享密钥

设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥

RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应

提示

·       必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致

·       设备优先采用“RADIUS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用

确认认证服务器共享密钥

计费服务器共享密钥

确认计费服务器共享密钥

静默时间间隔

设置RADIUS服务器恢复激活状态的时间

当静默时间间隔设置为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理

若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使得用户尽可能的集中在主服务器上进行认证和计费

服务器应答超时时间

设置RADIUS服务器应答超时时间,以及发送RADIUS报文的最大尝试次数

由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果在指定的服务器应答超时时间内没有收到服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数超过指定的RADIUS报文最大尝试发送次数而RADIUS服务器仍旧没有响应,则设备将尝试与其它服务器通信。如果不存在状态为active的服务器,则认为本次认证或计费失败

提示

服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能超过75秒

RADIUS报文最大尝试发送次数

实时计费间隔

设置实时计费的时间间隔,取值必须为3的整数倍

为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些

实时计费间隔与用户量之间的推荐比例关系请参见“2.4  注意事项

实时计费报文最大发送次数

设置允许实时计费请求无响应的最大次数

流量数据的单位

设置发送到RADIUS服务器的流量数据的单位

·       Byte:表示流量数据的单位为字节

·       Kilo-byte:表示流量数据的单位为千字节

·       Mega-byte:表示流量数据的单位为兆字节

·       Giga-byte:表示流量数据的单位为千兆字节

提示

设备上配置的发送到RADIUS服务器的数据流单位及数据包单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费

数据包的单位

设置发送到RADIUS服务器的数据包的单位

·       One-packet:表示数据包的单位为包

·       Kilo-packet:表示数据包的单位为千包

·       Mega-packet:表示数据包的单位为兆包

·       Giga-packet:表示数据包的单位为千兆包

安全策略服务器IP地址

设置安全策略服务器的IP地址

RADIUS报文源IP地址

设备向RADIUS服务器发送RADIUS报文时使用的源IP地址

RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致

通常,该地址为接入设备上与RADIUS服务器路由可达的接口IP地址,但在一些特殊的组网环境中,例如接入设备与RADIUS服务器之间存在NAT设备时,需要将该地址指定为转换后的公网IP地址;在接入设备使用VRRP进行双机热备应用时,可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址

如果不指定此地址,则以发送报文的接口地址作为源IP地址

提示

RADIUS报文源IP地址与RADIUS方案中设置的RADIUS服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效

缓存未得到响应的停止计费报文

设置是否在设备上缓存没有得到响应的停止计费请求报文

停止计费报文最大发送次数

设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数

启用accounting-on报文发送功能

设置是否启用accounting-on报文发送功能

在启用accounting-on报文发送功能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线

提示

设备启动后,如果当前系统中没有启用accounting-on报文发送功能的RADIUS方案,则启用此功能后,必须保存配置,这样设备重启后此功能才能生效。但是,如果当前系统中已经有RADIUS方案启用了accounting-on报文发送功能,则对未启用此功能的RADIUS方案启用此功能后,功能会立即生效

accounting-on发送间隔

当启用accounting-on报文发送功能时,设置accounting-on报文重发时间间隔

accounting-on发送次数

当启用accounting-on报文发送功能时,设置accounting-on报文的最大发送次数

属性

设置开启RADIUS Attribute 25的CAR参数解析功能

属性值类型

 

(7)      在“RADIUS服务器配置”中单击<添加>按钮,弹出如下图所示的页面。

图2-4 添加RADIUS服务器

 

(8)      配置RADIUS服务器的信息,详细配置如下表所示。

(9)      单击<确定>按钮向RADIUS方案中添加一个RADIUS服务器。

(10)   重复步骤(7)~(9)向RADIUS方案中添加多个RADIUS服务器。

(11)   在新建RADIUS方案页面单击<确定>按钮完成操作。

表2-3 RADIUS服务器的详细配置

配置项

说明

服务器类型

设置要添加的RADIUS服务器类型,包括:主认证服务器、主计费服务器、备份认证服务器、备份计费服务器

IP地址

设置RADIUS服务器的IP地址,可以配置IPv4地址或IPv6地址

提示

·       主认证服务器和备份认证服务器的IP地址不能相同,主计费服务器和备份计费服务器的IP地址不能相同

·       同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致

端口

设置RADIUS服务器的UDP端口号

密钥

设置RADIUS服务器的共享密钥

当RADIUS服务器中未指定共享密钥时,使用RADIUS方案的通用配置中指定的共享密钥

确认密钥

 

2.3  RADIUS典型配置举例

1. 组网需求

如下图所示,AP通过Switch与一台RADIUS服务器相连,需要实现RADIUS服务器对登录AP的Telnet用户进行认证、授权和计费(Telnet用户在线时长统计)。

·              由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权、计费RADIUS服务器的职责。

·              AP与认证/授权、计费RADIUS服务器交互报文时的共享密钥均为expert,认证/授权、计费的端口号分别为1812和1813。

·              AP向RADIUS服务器发送的用户名携带域名。

·              Telnet用户登录AP时使用RADIUS服务器上配置的用户名hello@system以及密码abc进行认证,认证通过后的用户级别为3。

图2-5 RADIUS服务器配置组网图

 

2. 配置RADIUS服务器(iMC)

说明

下面以iMC为例说明RADIUS服务器的基本配置,使用的iMC版本为:iMC PLAT 7.0-E0202、iMC UAM 7.0-E0202。

 

(1)      增加接入设备。

步骤1:在iMC管理平台选择“用户”页签。

步骤2:单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项。

步骤3:在接入设备配置页面中单击<增加>按钮。

步骤4:进行如下配置,如下图所示。

·              输入与AP交互报文时的认证、计费共享密钥为“expert”。

·              选择业务类型为“设备管理业务”。

·              单击<选择>或<手工增加>按钮,添加IP地址为“10.1.1.2”的接入设备。

·              其它参数采用缺省值。

说明

添加的接入设备IP地址要与AP发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。

 

步骤5:单击<确定>按钮完成操作。

图2-6 增加接入设备

 

(2)      增加设备管理用户。

步骤1:选择“用户”页签。

步骤2:单击导航树中的[接入用户管理/设备管理用户]菜单项。

步骤3:在设备管理用户列表页面中单击<增加>按钮。

步骤4:进行如下配置,如下图所示。

·              输入帐号名为“hello@system”。

·              输入用户密码和密码确认为“abc”。

·              选择服务类型为“Telnet”。

·              输入EXEC权限级别为“3”(该值为Telnet用户登录系统后的用户级别,缺省为0)。

·              在所管理设备IP地址列表中单击<增加>按钮,设置IP地址范围为“10.1.1.0~10.1.1.255”。

说明

添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。

 

步骤5:单击<确定>按钮完成操作。

图2-7 增加设备管理用户

 

3. 配置AP

(1)      配置RADIUS方案system。

步骤1:在导航栏中选择“认证 > RADIUS”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置。

·              输入方案名称为“system”。

·              选择服务类型为“Extended”。

·              选择用户名格式为“带域名”。

步骤4:在RADIUS服务器配置中单击<添加>按钮。

步骤5:在弹出的页面上进行如下配置,如下图所示。

·              选择服务器类型为“主认证服务器”。

·              输入IP地址为“10.1.1.1”。

·              输入端口为“1812”。

·              输入密钥为“expert”。

·              输入确认密钥为“expert”。

步骤6:单击<确定>按钮向system方案中添加一个主认证服务器。

图2-8 配置RADIUS认证服务器

 

步骤7:再次在RADIUS服务器配置中单击<添加>按钮。

步骤8:在弹出的页面上进行如下配置,如下图所示。

·              选择服务器类型为“主计费服务器”。

·              输入IP地址为“10.1.1.1”。

·              输入端口为“1813”。

·              输入密钥为“expert”。

·              输入确认密钥为“expert”。

步骤9:单击<确定>按钮向system方案中添加一个主计费服务器。

图2-9 配置RADIUS计费服务器

 

步骤10:完成上述配置后的新建RADIUS方案的页面如下图所示,单击<确定>按钮完成操作。

图2-10 新建RADIUS方案system

 

(2)      配置ISP域的AAA认证方案。

步骤1:单击“认证”页签。

步骤2:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“Default认证”前的复选框,选择认证方式为“RADIUS”。

·              选择认证方案名称为“system”。

步骤3:单击<应用>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图2-11 配置ISP域的AAA认证方案

(3)      配置ISP域的AAA授权方案。

步骤1:单击“授权”页签。

步骤2:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“Default授权”前的复选框,选择授权方式为“RADIUS”。

·              选择授权方案名称为“system”。

步骤3:单击<应用>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图2-12 配置ISP域的AAA授权方案

(4)      配置ISP域的AAA计费方案,并配置用户计费可选。

步骤1:单击“计费”页签。

步骤2:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“计费可选开关”前的复选框,选择“Enable”。

·              选中“Default计费”前的复选框,选择计费方式为“RADIUS”。

·              选择计费方案名称为“system”。

步骤3:单击<应用>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图2-13 配置ISP域的AAA计费方案

 

(5)      开启AP的Telnet服务器功能。

步骤1:在导航栏中选择“网络 > 服务管理”。

步骤2:如下图所示,选中“启用Telnet服务”前的复选框。

步骤3:单击<确定>按钮完成操作。

图2-14 启用Telnet服务

 

 

(6)      通过命令行配置Telnet用户登录采用AAA认证方式。

<AP> system-view

[AP] user-interface vty 0 4

[AP-ui-vty0-4] authentication-mode scheme

[AP-ui-vty0-4] quit

4. 配置结果验证

在Telnet客户端按照提示输入用户名hello@bbb及密码abc,即可进入AP的用户界面,并可以使用级别为0、1、2、3的命令。

2.4  注意事项

配置RADIUS客户端时,需要注意如下事项:

(1)      目前RADIUS不支持对FTP用户进行计费。

(2)      如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。

(3)      RADIUS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主RADIUS服务器和多个备份RADIUS服务器,由备份服务器作为主服务器的备份。通常情况下,设备上主/备份服务器的切换遵从以下原则:

·              当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的静默定时器,然后按照备份服务器的配置先后顺序依次查找状态为active的备份服务器进行认证或者计费。如果状态为active的备份服务器也不可达,则将该备份服务器的状态置为block,同时启动该服务器的静默定时器,并继续查找状态为active的备份服务器。当服务器的静默定时器超时,或者设备收到该服务器的认证/计费应答报文时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与备份服务器通信时,主服务器状态由block恢复为active,则设备并不会立即恢复与主服务器的通信,而是继续查找备份服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。

·              一个用户的计费流程开始之后,设备就不会再与其它的计费服务器通信,即该用户的实时计费报文和停止计费报文只会发往当前使用的计费服务器。如果当前使用的计费服务器被删除,则实时计费和停止计费报文都将无法发送。

·              如果在认证或计费过程中删除了服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

·              当主/备份服务器的状态均为block时,设备仅与主服务器通信,若主服务器可达,则主服务器状态变为active,否则保持不变。

·              只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。

·              设备收到服务器的认证或计费应答报文后会将与报文源IP地址相同且状态为block的认证或计费服务器的状态更改为active。

(4)      实时计费间隔与用户量之间的推荐比例关系如下表所示。

表2-4 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

≥1000

≥15

 


3 HWTACACS

3.1  概述

HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)是在TACACS(RFC1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,用于实现AAA的协议,且采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。

HWTACACS协议主要用于PPP(Point-to-Point Protocol,点到点协议)和VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作,HWTACACS服务器上会记录用户对设备执行过的命令。

说明

关于HWTACACS的详细介绍请参见“安全配置指导”中的“AAA”。

 

3.2  HWTACACS方案配置任务简介

说明

通过Web配置的HWTACACS的方案名为system。

 

表3-1 HWTACACS配置步骤

步骤

配置任务

说明

1

3.3  创建HWTACACS方案system

必选

创建名为“system”的HWTACACS方案

缺省情况下,不存在任何HWTACACS方案

2

3.4  配置HWTACACS服务器信息

认证和授权服务器为必选项,计费服务器为可选项

配置HWTACACS方案system的认证、授权、计费服务器信息

缺省情况下,未配置各服务器

提示

建议在不需要备份的情况下,只配置主服务器即可

3

3.5  配置HWTACACS参数

可选

配置设备和HWTACACS服务器之间进行信息交互所需的参数

 

3.3  创建HWTACACS方案system

(1)      当系统中不存在“system”方案时,在导航栏中选择“认证 > HWTACACS”,可以进入如下图所示的页面。

(2)      在页面上单击<新建>按钮即可完成“system”方案的创建。

图3-1 创建system方案

 

3.4  配置HWTACACS服务器信息

(1)      当已经创建了“system”方案时,在导航栏中选择“认证 > HWTACACS”,默认进入“HWTACACS服务器配置”页签的页面,如下图所示。

图3-2 HWTACACS服务器配置

 

(2)      配置HWTACACS服务器的信息,详细配置如下表所示。

(3)      单击<确定>按钮完成操作。

表3-2 HWTACACS服务器的详细配置

配置项

说明

服务类型

选择待配置的HWTACACS服务器的类型,包括:认证服务器、授权服务器、计费服务器

主服务器IP地址

设置主服务器的IP地址

未配置主服务器时,主IP地址和TCP端口均显示空

输入空时,表示删除配置的主服务器

主服务器与备份服务器的IP地址不能相同

主服务器TCP端口

设置主服务器的TCP端口号

不同的服务类型需要根据实际情况设置不同的端口号

备份服务器IP地址

设置备份服务器的IP地址

未配置备份服务器时,备份IP地址和TCP端口均显示空

输入空时,表示删除配置的备份服务器

主服务器与备份服务器的IP地址不能相同

备份服务器TCP端口

设置备份服务器的TCP端口号

不同的服务类型需要根据实际情况设置不同的端口号

共享密钥

设置服务器的共享密钥,并再次输入以确认

HWTACACS客户端(即设备系统)与HWTACACS服务器使用MD5算法来加密交互的HWTACACS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。因此,必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一样

确认共享密钥

 

3.5  配置HWTACACS参数

(1)      当已经创建了“system”方案时,在导航栏中选择“认证 > HWTACACS”。

(2)      单击“HWTACACS参数设置”页签,进入HWTACACS参数设置页面,如下图所示。

图3-3 HWTACACS参数设置

 

(3)      配置HWTACACS参数,详细设置如下表所示。

(4)      单击<确定>按钮完成操作。

表3-3 设置HWTACACS参数详细信息

配置项

说明

NAS-IP

设备向HWTACACS服务器发送HWTACACS报文时使用的源IP

为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址

实时计费间隔

设置实时计费的时间间隔,取值必须为3的整数倍

为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。按照协议,如果服务器对实时计费报文没有正常响应,设备也不会强制切断在线用户

输入空时,恢复实时计费的时间间隔为缺省值

提示

实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系请参见“3.7  注意事项

停止计费缓存

设置使能或禁止在设备上缓存没有得到响应的停止计费请求报文

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃

停止计费报文重发次数

设置当出现没有得到响应的停止计费请求时,停止计费报文的重发次数

当停止计费缓存为Disable状态时,该值无效

输入空时,恢复停止计费报文传送次数为缺省值

应答超时时间

设置HWTACACS服务器应答超时时间

服务器应答超时可能导致与HWTACACS服务器的连接断开

输入空时,恢复应答超时时间为缺省值

提示

由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开

Quiet时间间隔

设置主服务器恢复激活状态的时间

输入空时,恢复Quiet时间间隔为缺省值

用户名格式

设置发送给HWTACACS服务器的用户名格式

接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果HWTACACS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给HWTACACS服务器

·       without-domain:表示发送给HWTACACS服务器的用户名不带域名

·       with-domain:表示发送给HWTACACS服务器的用户名带域名

流量数据的单位

设置发送到HWTACACS服务器的流量数据的单位,用于流量计费

·       byte:表示流量数据的单位为字节

·       kilo-byte:表示流量数据的单位为千字节

·       mega-byte:表示流量数据的单位为兆字节

·       giga-byte:表示流量数据的单位为千兆字节

·       选择空时,恢复发送到HWTACACS服务器的流量数据的单位为缺省值

数据包的单位

设置发送到HWTACACS服务器的数据包的单位,用于流量计费

·       one-packet:表示数据包的单位为包

·       kilo-packet:表示数据包的单位为千包

·       mega-packet:表示数据包的单位为兆包

·       giga-packet:表示数据包的单位为千兆包

·       选择空时,恢复发送到HWTACACS服务器的数据包的单位为缺省值

 

3.6  HWTACACS典型配置举例

1. 组网需求

通过配置AP实现HWTACACS服务器对Telnet登录AP的用户进行认证、授权、计费。

·              由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为10.1.1.1/24。

·              AP与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,向HWTACACS服务器发送的用户名中不带域名。

图3-4 HWTACACS配置组网图

 

2. 配置HWTACACS服务器

在HWTACACS服务器设置其与AP交互报文时的共享密钥为expert,添加Telnet用户名及密码。

3. 配置AP

(1)      创建HWTACACS方案system。

步骤1:在导航栏中选择“认证 > HWTACACS”,进入“HWTACACS服务器配置”页签的页面。

步骤2:如下图所示,单击<新建>按钮完成操作。

图3-5 创建HWTACACS方案system

 

(2)      配置HWTACACS认证服务器信息。

步骤1:完成上述配置后自动进入HWTACACS服务器配置页面,进行如下配置,如下图所示。

·              选择服务类型为“认证服务器”。

·              输入主服务器IP地址为“10.1.1.1”。

·              输入主服务器TCP端口为“49”。

·              选中“共享密钥”前的复选框,输入共享密钥和确认共享密钥为“expert”。

步骤2:单击<确定>按钮完成操作。

图3-6 配置HWTACACS认证服务器信息

 

(3)      配置HWTACACS授权服务器信息。

步骤1:进行如下配置,参见图3-6

·              选择服务类型为“授权服务器”。

·              输入主服务器IP地址为“10.1.1.1”。

·              输入主服务器TCP端口为“49”。

·              选中“共享密钥”前的复选框,输入共享密钥和确认共享密钥为“expert”。

步骤2:单击<确定>按钮完成操作。

(4)      配置HWTACACS计费服务器信息。

步骤1:进行如下配置,参见图3-6

·              选择服务类型为“计费服务器”。

·              输入主服务器IP地址为“10.1.1.1”。

·              输入主服务器TCP端口为“49”。

·              选中“共享密钥”前的复选框,输入共享密钥和确认共享密钥为“expert”。

步骤2:单击<确定>按钮完成操作。

(5)      配置AP与服务器交互的方案。

步骤1:在导航栏中选择“认证 > HWTACACS”。

步骤2:单击“HWTACACS参数设置”页签。

步骤3:如下图所示,选择用户名格式为“without-domain”。

步骤4:单击<确定>按钮完成操作。

图3-7 配置Device与服务器交互的方案

 

(6)      配置ISP域的AAA认证方案。

步骤1:单击“认证”页签。

步骤2:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“Default认证”前的复选框,选择认证方式为“HWTACACS”。

·              选择HWTACACS认证方案名称为“system”。

步骤3:单击<应用>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图3-8 配置ISP域的AAA认证方案

 

(7)      配置ISP域的AAA授权方案。

步骤1:单击“授权”页签。

步骤2:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“Default授权”前的复选框,选择授权方式为“HWTACACS”。

·              选择HWTACACS授权方案名称为“system”。

步骤3:单击<应用>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图3-9 配置ISP域的AAA授权方案

 

(8)      配置ISP域的AAA计费方案,并配置用户计费可选。

步骤1:单击“计费”页签。

步骤2:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“计费可选开关”前的复选框,选择“Enable”。

·              选中“Default计费”前的复选框,选择计费方式为“HWTACACS”。

·              选择HWTACACS计费方案名称为“system”。

步骤3:单击<应用>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图3-10 配置ISP域的AAA计费方案

 

(9)      通过命令行开启AP的Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。

<AP> system-view

[AP] telnet server enable

[AP] user-interface vty 0 4

[AP-ui-vty0-4] authentication-mode scheme

[AP-ui-vty0-4] quit

4. 配置结果验证

在Telnet客户端输入正确的用户名(格式为userid@test)和密码,即可进入AP的用户界面。

3.7  注意事项

配置HWTACACS客户端时需要注意如下事项:

(1)      有用户在线时,不能删除HWTACACS方案,并且不能修改HWTACACS服务器IP地址。

(2)      对于HWTACACS,只有在删除HWTACACS方案和修改HWTACACS服务器IP地址时,才会检查当前是否有用户在线,其他配置修改均不会进行检查。

(3)      对于所有类型的用户,如果只配置了HWTACACS认证,但没有配置HWTACACS授权,则用户无法登录设备。

(4)      只有当没有活跃的用于发送认证/授权/计费报文的TCP连接使用该认证/授权/计费服务器时,才允许删除该服务器。

(5)      目前HWTACACS不支持对FTP用户进行计费。

(6)      实时计费间隔与用户量之间的推荐比例关系如下表所示。

表3-4 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

≥1000

≥15

 


4 用户

4.1  概述

用户模块提供了本地用户、用户组、来宾用户和用户方案的配置功能。

1. 本地用户

本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、用户类型、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。本地认证的详细介绍请参见“AAA”。

2. 用户组

用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。

每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。

3. 来宾用户

来宾用户是一种有特殊应用环境的本地用户。在有Portal或LAN-Access用户临时需要接入网络的情况下,设备管理员或来宾管理员可以为用户建立临时使用的来宾用户帐户,并置对来宾用户帐户进行生效时间的控制。

4.2  配置本地用户

(1)      在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,如下图所示,页面显示的是所有本地用户的信息,包括:普通用户、安全日志管理员、来宾管理员和来宾用户。

说明

在“本地用户”页签的页面中可以修改用户类型为来宾用户的本地用户,但是修改后的用户类型不能再为来宾用户。

 

图4-1 本地用户

 

 

(2)      单击<新建>按钮,进入新建本地用户的配置页面,如下图所示,可以新建除来宾用户外其他类型的本地用户。

图4-2 创建本地用户

 

(3)      配置本地用户的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表4-1 本地用户的详细配置

配置项

说明

用户名

设置本地用户的名称

用户密码

设置本地用户的密码和确认密码

用户密码和确认密码必须一致

提示

输入的密码如果以空格开头,则开头的空格将被忽略

确认密码

加密方式

·       可逆:表示设备以可逆的加密算法对用户密码加密后保存

·       不可逆:表示设备以不可逆的加密算法对用户密码加密后保存

用户组

设置本地用户所属的用户组

用户组的配置请参见“4.3  配置用户组

用户类型

设置本地用户的类型,包括:

·       普通用户

·       安全日志管理员:该类型的用户仅能通过Web对安全日志文件进行管理,并且只有安全日志管理员可以对安全日志文件进行管理

·       来宾管理员:该类型的用户仅能通过Web对来宾用户的账户进行管理,访问“认证 > 用户 [来宾用户]”的页面,新建、修改、删除来宾用户

提示

目前,设备暂不支持安全日志管理员的配置

授权等级

设置本地用户的授权等级,由低到高依次为Visitor、Monitor、Configure、Management,高级别用户具有低级别用户的所有操作权限

·       Visitor:处于该级别的用户可以进行Ping和Trace Route操作,但不能从设备读取任何数据,也不能对设备进行任何设置

·       Monitor:只能从设备读取数据,而不能对设备进行任何设置

·       Configure:可以从设备读取数据,并对设备进行配置,但是不能对设备进行软件升级、添加/删除/修改用户、备份/恢复配置文件等操作

·       Management:可以对设备进行任何操作

提示

授权等级只对服务类型为Web、FTP、Telnet和SSH的普通用户有效

服务类型

设置本地用户可以使用的服务类型,包括Web、FTP、Telnet、PPP、Portal、LAN-Access(主要指以太网接入用户,比如802.1x用户)和SSH

提示

·       服务类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过

·       来宾管理员和安全日志管理员的服务类型为Web

·       来宾用户的服务类型为Portal和LAN-Access

过期时间

设置本地用户的有效截止时间

当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录

授权VLAN

设置本地用户的授权VLAN ID

提示

授权VLAN只对服务类型为Portal和LAN-Access的普通用户有效

授权ACL

设置本地用户的授权ACL序号

提示

授权ACL只对服务类型为PPP、Portal和LAN-Access的普通用户有效

用户方案

设置本地用户的授权用户方案名称

提示

授权用户方案只对服务类型为PPP、Portal和LAN-Access的普通用户有效

设备不支持用户方案的配置

 

4.3  配置用户组

(1)      在导航栏中选择“认证 > 用户”。

(2)      单击“用户组”页签,进入用户组的显示页面,如下图所示。

图4-3 用户组

 

(3)      单击<新建>按钮,进入新建用户组的配置页面,如下图所示。

图4-4 新建用户组

 

(4)      配置用户组的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表4-2 用户组的详细配置

配置项

说明

用户组名称

设置用户组的名称

访问等级

设置用户组的访问等级,由低到高依次为Visitor、Monitor、Configure、Management

授权VLAN

设置用户组的授权VLAN ID

授权ACL

设置用户组的授权ACL序号

用户方案

设置用户组的授权用户方案名称

目前,设备不支持用户方案的配置

来宾用户可选

设置是否允许来宾用户加入该用户组

提示

用户组system默认为来宾用户可选组,不可修改

 

4.4  配置来宾用户

有两种用户可以配置来宾用户:Management级别的普通用户和来宾管理员。

说明

关于用户类型和授权等级的详细介绍请参见表4-1

 

4.4.1  Management级别的普通用户配置来宾用户

(1)      在导航栏中选择“认证 > 用户”。

(2)      单击“来宾用户”页签,进入来宾用户的显示页面,如下图所示。

图4-5 来宾用户

 

 

(3)      单击<新建>按钮,进入新建来宾用户的配置页面,如下图所示。

图4-6 新建来宾用户

 

 

(4)      配置来宾用户的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表4-3 来宾用户的详细配置

配置项

说明

批量创建用户

设置是否批量创建来宾用户

用户名

当非批量创建用户时,设置来宾用户的名称

用户名前缀

当批量创建用户时,设置要批量创建的来宾用户的用户名前缀和数量

例如:设置用户名前缀为abc,用户数量为50,则会创建50个来宾用户,用户名分别为abc0~abc49

用户数量

用户密码

设置来宾用户的密码

·       当选中“和用户名一致”前的复选框时,不需要再输入具体的用户密码和确认密码,来宾用户的密码将与其用户名一致

·       当未选中“和用户名一致”前的复选框时,需要输入具体的用户密码和确认密码,且二者必须一致

提示

输入的密码如果以空格开头,则开头的空格将被忽略

和用户名一致

确认密码

加密方式

·       可逆:表示设备以可逆的加密算法对用户密码加密后保存

·       不可逆:表示设备以不可逆的加密算法对用户密码加密后保存

所属用户组

设置来宾用户所属的用户组

生效时间

设置来宾用户的生效时间段,包括起始时间和终止时间

当指定了生效时间的来宾用户进行本地认证时,接入设备检查当前系统时间是否在用户的生效时间内,若在生效时间内则允许用户登录,否则拒绝用户登录

 

4.4.2  来宾管理员配置来宾用户

来宾管理员仅能通过Web对来宾用户的账户进行管理。

(1)      来宾管理员登录设备后,在导航栏中选择“认证 > 用户”,进入如下图所示的页面。

图4-7 来宾用户

 

(2)      单击<新建>按钮,进入新建来宾用户的配置页面,如下图所示。

图4-8 新建来宾用户

 

(3)      配置来宾用户的信息,详细配置如表4-3所示。

(4)      单击<确定>按钮完成操作。

 


5 证书管理

5.1  概述

PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设置。我司的PKI可为SSL(Secure Sockets Layer,安全套接字层)提供证书管理机制。

公共密钥体制也称为非对称密钥体制,是目前应用最广泛的一种加密体制。这一体制使用一个非对称的密钥对,分别是一个公开的加密密钥(公钥)和一个保密的解密密钥(私钥),用公钥加密的信息只能用私钥解密,反之亦然。由于公钥是公开的,需要在网上传送,故公钥的管理问题就是公共密钥体制所需要解决的关键问题。

目前,PKI系统中引出的数字证书机制就是一个很好的解决方案。基于公共密钥技术的数字证书是一个用户的身份和他所持有的公钥的结合,是使用PKI系统的用户建立安全通信的信任基础。

基于数字证书的PKI系统,能够为网络通信和网络交易,特别是电子政务和电子商务业务,透明地提供一整套安全服务,主要包括身份认证、保密、数据完整性和不可否认性。

PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。

·              VPN:VPN(Virtual Private Network,虚拟专用网络)是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPsec)和建立在PKI上的加密与数字签名技术来获得机密性保护。

·              安全电子邮件:电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。

·              Web安全:为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。

说明

关于PKI的详细介绍请参见“安全配置指导”中的“PKI”。

 

5.2  PKI配置任务简介

PKI证书的申请方式有两种:

·              手动申请证书方式:需要手工完成获取CA(Certificate Authority,证书颁发机构)证书、生成密钥对、申请本地证书的工作。

·              自动申请证书方式:在没有本地证书时实体自动通过SCEP(Simple Certification Enrollment Protocol,简单证书注册协议,专门用于与认证机构进行通信)协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。

证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。

1. 手动申请证书方式

手动申请证书方式下PKI配置的推荐步骤如下表所示。

表5-1 PKI配置步骤(手动申请证书方式)

步骤

配置任务

说明

1

3.4  配置HWTACACS服务器信息

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

5.4  新建PKI域

必选

新建PKI域,配置证书申请方式为“Manual”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

5.5  生成RSA密钥对

必选

配置生成本地RSA密钥对

缺省情况下,本地没有RSA密钥对

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书

提示

若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对

4

获取CA证书

必选

将CA证书获取至本地,详细配置请参见“5.7  获取和查看证书

获取证书的目的是:

·       将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数

·       为证书的验证做好准备

提示

如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

5.8  申请本地证书

必选

证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分

申请本地证书有在线和离线两种方式:

·       在线申请成功后,会自动将本地证书获取至本地

·       离线申请成功后,需要用户通过离线方式将本地证书获取至本地

提示

如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请

6

5.6  销毁RSA密钥对

可选

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书

7

5.7  获取和查看证书

当采用离线方式申请证书时必选

将已存在的证书获取至本地,获取后可以查看证书的详细信息

提示

·       在线获取本地证书之前必须完成LDAP服务器的配置

·       当采用离线方式申请证书时,必须通过离线方式将下载到的CA证书和本地证书获取至本地

8

5.9  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

2. 自动申请证书方式

自动申请证书方式下PKI配置的推荐步骤如下表所示。

表5-2 PKI配置步骤(自动申请证书方式)

步骤

配置任务

说明

1

3.4  配置HWTACACS服务器信息

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

5.4  新建PKI域

必选

新建PKI域,配置证书申请方式为“Auto”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

5.6  销毁RSA密钥对

可选

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书

4

5.7  获取和查看证书

可选

将已存在的证书获取至本地,获取后可以查看证书的详细信息

提示

·       在线获取本地证书之前必须完成LDAP服务器的配置

·       如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

5.9  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

5.3  新建PKI实体

(1)      在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面,如下图所示。

图5-1 PKI实体

 

(2)      单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。

图5-2 新建PKI实体

 

(3)      配置新建PKI实体的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表5-3 新建PKI实体的详细配置

配置项

说明

PKI实体名称

设置要新建的PKI实体的名称

通用名

设置实体的通用名,比如用户名称

实体IP地址

设置实体的IP地址

FQDN

设置实体的FQDN(Fully Qualified Domain Name,完全合格域名)

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN

国家/地区

设置实体所属的国家或地区代码

州省

设置实体所属的州省

地理区域

设置实体所在地理区域的名称

组织

设置实体所属组织的名称

部门

设置实体所属部门的名称

 

5.4  新建PKI域

(1)      在导航栏中选择“认证 > 证书管理”。

(2)      单击“PKI域”页签,进入PKI域的显示页面,如下图所示。

图5-3 PKI

 

(3)      单击<新建>按钮,进入新建PKI域的配置页面,如下图所示。

图5-4 新建PKI

 

(4)      配置PKI域的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表5-4 新建PKI域的详细配置

配置项

说明

PKI域名称

设置要新建的PKI域的名称

CA标识符

设置设备信任的CA标识符

在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行

当采用离线方式申请证书时,此项可以不配置,否则必须配置

本端实体

设置本端PKI实体名称

向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份

可选的PKI实体名称需通过新建PKI实体来配置

注册机构

设置证书申请的注册审理机构

·       CA:表示由CA来完成注册机构的功能

·       RA:表示有独立的RA作为注册审理机构

PKI推荐独立使用RA作为注册审理机构

证书申请URL

设置注册服务器的URL

证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议

当采用离线方式申请证书时,此项可以不配置,否则必须配置

提示

目前,注册服务器URL的配置不支持域名解析

LDAP服务器IP地址

设置LDAP服务器的IP地址、端口号和版本号

要获取本地证书,必须正确配置LDAP服务器

端口

版本

证书申请方式

设置在线证书申请的方式,有手动和自动两种方式

挑战码

证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码

输入的挑战码和确认挑战码必须一致

确认挑战码

根证书指纹散列算法

设置验证CA根证书时所使用的指纹

当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书

·       当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入

·       当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入

·       当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

提示

当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

根证书指纹

证书查询次数

设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数

实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书

证书查询间隔

启用CRL查询

设置在证书验证时是否进行CRL检查

CRL更新间隔

启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔

缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定

获取CRL的URL

启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式

需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行

 

5.5  生成RSA密钥对

(1)      在导航栏中选择“认证 > 证书管理”。

(2)      单击“证书”页签,进入PKI证书的显示页面,如下图所示。

图5-5 证书

 

(3)      单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。

图5-6 创建密钥

 

(4)      设置RSA密钥的长度。

(5)      单击<确定>按钮完成操作。

5.6  销毁RSA密钥对

(1)      在导航栏中选择“认证 > 证书管理”。

(2)      单击“证书”页签,进入PKI证书的显示页面,如图5-5所示。

(3)      单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。

(4)      单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。

图5-7 销毁密钥

 

5.7  获取和查看证书

用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。

(1)      在导航栏中选择“认证 > 证书管理”。

(2)      单击“证书”页签,进入PKI证书的显示页面,如图5-5所示。

(3)      单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。

图5-8 获取证书设置

 

(4)      配置获取PKI证书所需的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表5-5 获取PKI证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

证书类型

设置要获取的证书的为CA证书或Local证书

启用离线方式

设置是否启用离线方式(如FTP、磁盘、电子邮件等)获取证书

从设备取得文件

当启用离线方式时,设置要导入的证书文件的存放路径和文件名

·       当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件

·       当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区

从PC取得文件

口令

当启用离线方式时,设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令

 

(6)      获取证书后,在PKI证书显示页面中单击某证书对应的<查看证书>按钮,查看该证书的详细信息,如下图所示。

图5-9 查看证书的详细信息

 

5.8  申请本地证书

(1)      在导航栏中选择“认证 > 证书管理”。

(2)      单击“证书”页签,进入PKI证书的显示页面,如图5-5所示。

(3)      单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。

图5-10 申请证书设置

 

(4)      配置申请本地证书所需的信息,详细配置如下表所示。

表5-6 申请本地证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

挑战码

设置挑战码,即撤销证书时使用的密码

启用离线方式

设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书

 

(5)      单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如下图所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。

图5-11 离线申请证书的信息

 

5.9  获取和查看CRL

(1)      在导航栏中选择“认证 > 证书管理”。

(2)      单击“CRL”页签,进入CRL的显示页面,如下图所示。

图5-12 CRL

 

(3)      在列表中单击某PKI域对应的操作列的<获取CRL>按钮,可将其CRL获取到本地。

(4)      获取CRL后,在列表中单击该PKI域对应的<查看CRL>按钮,可查看其CRL的详细信息,如下图所示。

图5-13 查看CRL的详细信息

 

5.10  PKI典型配置举例

1. 组网需求

在作为PKI实体的设备AP上进行相关配置,实现以下需求:

·              AP向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。

·              获取CRL为证书验证做准备。

图5-14 PKI实体向CA申请证书配置组网图

 

2. 配置CA服务器

(1)      创建CA服务器myca。

在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。

(2)      配置扩展属性。

基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。

(3)      配置CRL发布。

CA服务器的基本配置完成之后,需要进行CRL的相关配置。本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。

说明

以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。

 

3. 配置AP

(1)      新建PKI实体。

步骤1:在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入PKI实体名称为“aaa”。

·              输入通用名为“ap”。

步骤4:单击<确定>按钮完成操作。

图5-15 新建PKI实体

 

(2)      新建PKI域。

步骤1:单击“PKI域”页签。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入PKI域名称为“torsa”。

·              输入CA标识符为“myca”。

·              选择本端实体为“aaa”。

·              选择注册机构为“CA”。

·              以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。

·              选择证书申请方式为“Manual”。

·              单击“高级设置”前的扩展按钮。

·              选中“启用CRl查询”前的复选框。

·              输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。

步骤4:单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”

步骤5:单击对话框中的<确定>按钮完成操作。

图5-16 新建PKI域

 

(3)      生成RSA密钥对。

步骤1:单击“证书”页签。

步骤2:单击<创建密钥>按钮。

步骤3:如下图所示,输入密钥长度为“1024”。

步骤4:单击<确定>按钮开始生成RSA密钥对。

图5-17 生成RSA密钥对

 

(4)      获取CA证书至本地。

步骤1:生成密钥对成功后,在“证书”页签的页面单击<获取证书>按钮。

步骤2:进行如下配置,如下图所示。

·              选择PKI域为“torsa”。

·              选择证书类型为“CA”。

步骤3:单击<确定>按钮开始获取CA证书。

图5-18 获取CA证书至本地

 

(5)      申请本地证书。

步骤1:获取CA证书成功后,在“证书”页签的页面单击<申请证书>按钮。

步骤2:进行如下配置,如下图所示。

·              选择PKI域为“torsa”。

·              选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。

步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。

步骤4:单击提示框中的<确定>按钮完成操作。

图5-19 申请证书设置

 

(6)      获取CRL至本地。

步骤1:单击“CRL”页签。

步骤2:如下图所示,单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL。

图5-20 获取CRL至本地

 

4. 配置结果验证

完成上述配置后,可以在“证书”页签的页面中查看获取的CA证书和本地证书的详细信息;可以在“CRL”页签的页面中查看获取的CRL文件的详细信息。

5.11  注意事项

配置PKI时需要注意如下事项:

(1)      申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。

(2)      Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。

(3)      当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。

(4)      当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为CA。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们