51-管理员双因子认证功能典型配置举例
本章节下载: 51-管理员双因子认证功能典型配置举例 (1002.03 KB)
目 录
本文档介绍设备的管理员双因子认证功能配置举例,在配置前,先了解如下定义:
· 管理员双因子认证: 结合管理员合法账号和Ukey双重身份的认证方式。
· Ukey: 具有识别和导入用户证书功能的USB设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· Ukey管理软件: 对Ukey设备进行初始化授权。
· Ukey客户端软件: 对Ukey设备导入用户证书。
本文档假设您已了解管理员双因子认证特性。
如图1所示,某公司网络管理员对设备访问权限进行了严格控制,在设备上开启管理员双因子认证,要求同时拥有合法管理员账号和Ukey设备的用户才能登录设备进行操作 。
· 在设备上配置各接口地址,如拓扑图所示。
· 生成CA根证书。
· 生成用户证书并签发。
· 导出用户证书(P12格式)。
· 将Ukey初始化。
· 将用户证书导入Ukey。
· 开启管理员双因子认证。
· 验证配置。
本举例是在R6614版本上进行配置和验证的。
如图2、图3所示,在设备上配置各接口地址。点击“网络配置>接口配置>物理接口”,配置接口IP地址。
图2 配置ge2接口
图3 配置ge3接口
如图4所示,点击“策略配置>对象管理>CA服务器>根CA配置管理”,在根证书管理中点击生成CA根证书,配置CA信息。
图4 配置CA根证书
如图5所示,查看已生成的CA根证书。
图5 查看已生成的CA根证书
如图6所示,点击“策略配置>对象管理>CA服务器>用户证书管理>生成证书请求”,配置用户证书信息。
如图7所示,点击签发证书,输入证书有效期和密码,提交。
如图8所示,查看已生成并签发的用户证书。
如图9所示,点击“策略配置>对象管理>CA服务器>用户证书管理”,点击导出用户证书。
(1) 如图10所示,在“系统管理>系统设定>管理设定”中下载Ukey客户端软件安装,管理员电脑插上Ukey,然后下载Ukey管理软件,并双击打开。
图10 Ukey管理软件界面
(2) 如图11所示,点击图中向上的箭头。
图11 Ukey管理软件初始化按钮
(3) 如图12所示,点击上图初始化按钮,配置并确定,完成Ukey初始化。
图12 Ukey管理软件初始化界面
如图13所示,Ukey管理软件初始化过程。
图13 Ukey管理软件初始化过程界面
如图14所示,Ukey管理软件初始化成功弹框提示。
图14 Ukey管理软件初始化成功界面
(1) 如图15所示,将Ukey管理软件关闭退出,双击打开已安装的Ukey客户端软件,输入之前设置的PIN码后,登录成功。
图15 Ukey客户端软件登录界面
(2) 如图16所示,Ukey管理软件登录成功界面。
图16 Ukey客户端软件登录成功界面
(3) 如图17所示,点击导入,通过<浏览>找到之前下载的用户证书user.p12,输入证书访问密码,新建容器命名名称,用途选择<签名>,确定提交。
图17 Ukey客户端软件导入用户证书界面
(4) 如图18所示,用户证书导入成功。
如图19所示,点击“系统管理>系统设定>管理设定”,点击打开“管理员双因子认证”开关,弹出提示窗口后,点击确认开启。
· 开启管理员双因子认证前需要先生成CA根证书。
· 在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。
如图20所示,管理员Host不插入Ukey,直接使用https方式访问设备,不会显示登录界面,提示没有登录证书。
图20 管理员访问设备WEB界面失败
如图21所示,插上Ukey后,再次使用https方式访问设备,会弹出证书选择界面,选择证书,点击确定。
如图22所示,弹出框验证PIN码,输入正确的PIN码:。
返回设备WEB登录界面,输入正确的管理员用户名密码,即可登录设备。
· 开启管理员双因子认证前需要先生成CA根证书
· 在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书
· IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备
· 谷歌浏览器提示此网站无法提供安全连接时无法唤醒ukey认证页面,因为在唤醒Ukey认证页面前要校验CA根证书,CA根证校验不通过无法唤醒Ukey认证页面,出现该现象时请将设备根证书导入浏览器再进行管理员双因子认证。
· 火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书,设置方法参见后面第5节:火狐浏览器兼容性设置方法
· USBKey目前仅支持epass一个厂商
说明:示例浏览器版本号55.0.3(32位),因浏览器版本不同,设置方法可能会略有差异
(1) 按如下截图操作,选择<菜单>- <选项>
(2) 按如下截图操作,选择<高级>-<证书>-<安全设备>
(3) 按如下截图操作并配置,选择<载入>,模块名称填写:epass2001PKCS#11 Module , 模块文件名选择浏览并填写路径 C :\Windows\System32\ ShuttleCsp11_2001.dll(此为默认安装路径)
(4) 查看是否设置成功:
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!