- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (1.65 MB)
目 录
Linux版本的iNode智能客户端(以下简称Linux iNode)是一款多功能接入软件,可以和以太网交换机、路由器等设备共同组网,再配合iMC EIA/EAD,实现对接入用户的身份认证和安全检查。
· iMC:iMC(Intelligent Management Center,智能管理中心)是H3C推出的一款基于B/S架构的综合网络管理产品。iMC以网络管理为核心,重点关注网络中的各种资源、用户以及网络业务,目的是为网络管理员提供资源、用户和网络业务相融合的网络管理解决方案,实现对网络的端到端管理。
· EIA:EIA(Endpoint Intelligent Access,终端智能接入)可为企业提供统一的网络接入策略,实现企业网络(有线、无线和VPN网络)的统一接入管理,并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制,满足企业多种网络接入、多种终端接入的统一运维管理需求,确保终端安全策略在整个网络无缝地执行。
· EAD:EAD(Endpoint Adminssion Defense,终端准入控制)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
Linux iNode客户端支持的认证协议包括:
· 802.1X协议:802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要用于解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议,在局域网接入设备的端口级,对所接入的用户设备通过认证来控制对网络资源的访问。
· Portal协议:Portal认证通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。
· SSL VPN协议:SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
如果系统中已存在旧版本的iNode客户端,则需要将旧版本的客户端卸载,再进行新版本的客户端安装。
Linux iNode支持在主流的Linux操作系统中安装,比较常用的Linux操作系统包括:
· Red Hat Enterprise Linux ES 6.1(64位)
· Red Hat Enterprise Linux ES 7.0(64位)
· Ubuntu 14.10(64位)
· Fedora 20(64位)
· CentOS 7.0(64位)
· 凝思磐石6.0.3(64位)
本节将以Red Hat Enterprise Linux Server 7.0为例,说明使用root用户及命令行操作安装Linux iNode的步骤。Ubuntu和Fedora的安装过程类似,不同之处将在本节中进行特别说明。
(1) 以root身份登录操作系统。
Ubuntu没有root用户,请使用具有管理员权限的用户登录。
(2) 将Linux iNode安装文件复制到安装目录。本例中使用命令cp iNodeClient_Linux.tar.gz /home/iNode/将Linux iNode安装文件复制到目录“/home/iNode/”下,如图2-1所示。
如果目录“/home/iNode/”不存在,则需先进行创建。
(3) 解压Linux iNode安装文件。进入安装文件所在目录,使用命令tar -zxvf iNodeClient_Linux.tar.gz解压安装文件,如图2-2所示。
解压后的安装文件将存放在“/home/iNode/iNodeClient/”目录中。请勿修改目录的名称。
(4) 安装Linux iNode。进入iNodeClient目录,运行命令./install.sh安装Linux iNode,如图2-3所示。
Ubuntu的安装命令为“sudo ./install.sh”。
运行命令之前请保证root用户对install.sh具有的可执行权限。可以使用命令chmod 755 install.sh来修改可执行权限,如图2-4所示。
(5) 确认Linux iNode的安装情况。安装Linux iNode后,运行命令ps -e | grep A查看服务AuthenMngService是否启用,如图2-5所示。如果启用,则表示Linux iNode安装成功。
(6) 至此,Linux iNode安装完成。
· 安装完成后,无需重启Linux操作系统,也不需要启动任何服务即可运行iNode客户端。
· 对于Deb格式的Linux iNode管理中心安装包,直接双击安装包运行即可,无需通过命令行操作。
本节将以Red Hat Enterprise Linux Server 7.0为例,说明使用普通用户安装Linux iNode的步骤。Ubuntu和Fedora的安装过程类似,不同之处将在本节中进行特别说明。
普通用户与root用户安装步骤差异较小,本章节对安装过程图片不进行重复展示,请参见2.2 使用root用户安装Linux iNode。
(1) 以普通用户身份登录操作系统。
(2) 将Linux iNode安装文件复制到安装目录。本例中使用命令cp iNodeClient_Linux.tar.gz /home/iNode/将Linux iNode安装文件复制到目录“/home/iNode/”下。
如果目录“/home/iNode/”不存在,则需先进行创建。
(3) 解压Linux iNode安装文件。进入安装文件所在目录,使用命令tar -zxvf iNodeClient_Linux.tar.gz解压安装文件。
解压后的安装文件将存放在“/home/iNode/iNodeClient/”目录中。请勿修改目录的名称。
(4) 使用su - root命令切换到root权限。
(5) 安装Linux iNode。进入iNodeClient目录,运行命令./install.sh安装Linux iNode。
Ubuntu的安装命令为“sudo ./install.sh”。
运行命令之前必须保证root用户对install.sh具有的可执行权限。可以使用命令chmod 755 install.sh来修改可执行权限。
(6) 确认Linux iNode的安装情况。安装Linux iNode后,运行命令ps -e | grep A查看服务 AuthenMngService是否启用。如果启用,则表示Linux iNode安装成功。
(7) 安装完成后,在运行iNode之前,请使用exit命令退出root权限。
本章节将以802.1X认证为例介绍使用iNode客户端认证的过程。
· 如果使用root用户登录并安装iNode客户端,则请使用root用户运行和使用iNode。
· 如果使用普通用户登录并安装iNode客户端,则请使用普通用户运行和使用iNode。
(1) 进入Linux iNode安装目录,本例中为“/home/iNode/iNodeClient/”,执行“ls -l”命令,如图3-1所示。
图3-1 Linux iNode安装目录
(2) 在安装目录下执行“sh ./iNodeClient.sh”命令打开客户端,打开Linux iNode配置界面,如图3-2所示。
图3-2 Linux iNode配置界面
(3) 单击图3-2左上角的“
”图标,弹出“新建连接”对话框,如图3-3所示。对话框中显示了iNode客户端支持的认证协议,包括802.1X协议、Portal协议和SSL VPN协议。
(1) 选择图3-3中的802.1X协议,单击<下一步>按钮,进入认证连接配置窗口,如图3-4所示,参数说明如表3-1所示。
|
参数 |
说明 |
|
连接名 |
新建连接的名称 |
|
用户名 |
用户的名称 |
|
密码 |
用户的密码 |
|
RSA动态密钥 |
启用RSA认证时进行输入,本例不配置 |
|
上传客户端版本号 |
EIA提供了检查客户端版本号的功能,此功能可以保证网络中都使用较新版本的iNode客户端。iNode客户端配合EIA实现检查客户端版本号功能时,必须勾选“上传客户端版本号” |
|
上传IP地址 |
iNode客户端配合EIA实现以下功能时,必须勾选“上传IPv4地址”: · 使用用户帐号与PC IP地址绑定功能;对在线用户进行审计和跟踪时,可能需要知道在线用户的IP地址 · 对用户的上网明细进行分析和审计时,可能需要知道在线用户的IP地址 |
|
使用广播下线 |
通常情况下,802.1X认证下线时使用组播报文。如果用户和接入设备之间连接了其他网络设备,且这些网络设备配置为丢弃组播报文,则使用组播报文无法正常下线。iNode客户端支持使用广播报文进行802.1X认证下线 |
|
运行后自动认证 |
操作系统启动后,iNode客户端会自动启动。iNode客户端运行后,启用了“运行后自动认证”的802.1X认证连接会自动进行认证 |
|
连接断开后自动更新IP地址 |
表示用户下线后,用户PC会自动更新IP。例如用户下线后属于guest VLAN,在线时属于access VLAN,则用户下线后会自动将IP更新为属于guest VLAN的IP,即用户可以访问guest VLAN中的资源 |
|
网络恢复后自动重连 |
勾选后,iNode客户端会周期性探测网络状况,一旦发现网络恢复,就会立即发起新的802.1X认证 |
|
自动重连次数 |
iNode客户端进行自动重连时的次数,最少3次,最多不限 |
|
自动重连间隔 |
iNode客户端进行自动重连的时间间隔,最少5分钟,最多5小时 |
|
报文类型 |
iNode客户端支持使用单播、组播报文来进行802.1X认证交互 |
· 如果PC有多块网卡或虚网卡,图3-4中的(1)必须选择用于接入认证的网卡。
· 参数的配置与网络环境密切相关,请遵循网络管理员的建议进行配置。
(2) 配置完成后,单击<完成>按钮完成新建连接操作。
(1) 选中刚刚新建的连接,单击[连接]菜单项,发起认证,如图3-5所示。
(2) 认证成功后,用户即可接入网络,如图3-6所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
