Array AG之虚拟站点Role配置手册Word文档格式.docx
- 文档编号:22751267
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:13
- 大小:653.77KB
Array AG之虚拟站点Role配置手册Word文档格式.docx
《Array AG之虚拟站点Role配置手册Word文档格式.docx》由会员分享,可在线阅读,更多相关《Array AG之虚拟站点Role配置手册Word文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
上图是图形界面方式,此时需要在左上角GlobalMode为config状态下加入新的SSL门VPN户,即virtualsite。
其中:
SiteName:
为站点的英文表示,取较易记忆的名字,如:
enss
SiteFQDN:
fullqualifieddomainname,在IE等浏览器中输入的域名。
如果使用域名登陆,此项输入域名,如:
;
如果使用IP地址登陆,此项需输入IP地址,如果需要IP和域名同时登陆,则需要同时输入域名和ip地址,格式如下
IPAddress:
指virtualsite的IP地址。
配置virtualsite的SSL协议及数字证书
SSL协议部分配置概述
建议您在作此配置之前阅读一些关于PKI、数字证书、CA、SSL协议的相关材料,这样您就非常容易理解这些配置了。
首先需要为virtualsite配置一个数字证书,供客户端进行检验,让客户端检查访问的是否信任的SSLVPN网关。
需要在SPX上生成一个CSR(certificatesignrequest),即数字证书签名申请供CA(认证中心)生成数字证书。
如果您有CA,您可以将CSR提交给他,并由他生成VirtualSite的数字证书,然后将数字证书import到SPX内。
如果您没有CA,SPX会为您自动签名一个证书。
对于客户端的数字证书验证是可选的,在一些对客户端有较高安全验证的情况下会使用,这时您需要一个CA来进行客户端数字证书的颁发管理。
同时,需要将CA的信任证书链导入的SPX内部作为客户端数字证书的签名验证。
生成CSR
图形界面为:
查看csr的生成,命令行为:
AN(config)$showsslcsr
如:
-----BEGINCERTIFICATEREQUEST-----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-----ENDCERTIFICATEREQUEST-----
导入virtualsite数字证书
这时您可以将上面生成的csr提交给CA生成数字证书,如过您没有CA,SPX会为您签名一个数字证书,您只需要
enss(config)$sslstart
SiteConfiguration->
SecuritySettings->
SSLSettings->
General
如果您有CA并为您的virtualsite签名了一个数字证书,您可以导入到virtualsite里面。
SP-Demo(config)$sslimportcertificate
Youmayoverwriteanexistingcertificatefile,type"
YES"
withoutquotestocontinue:
YES
Entercertificate,use"
..."
onasingleline,withoutquotes,toterminateimport
-----BEGINCERTIFICATE-----
MIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZsKIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU=
-----ENDCERTIFICATE-----
...
注意要以“…”结尾。
上面使用的是数字证书的PEM格式,如果您用其他格式,可以使用TFTP方式倒入。
命令行为:
enss(config)$sslimportcertificate<
host_name>
[tftp_ip]
这时您需要在tftp服务器上存在<
.crt这个数字证书文件。
SSLCertificates->
Certificates->
Import
ImportViaTFTP
通过如下命令可以查看sslcertificate:
enss(config)$showsslcertificate
客户端数字证书验证配置
如果您不需要认证客户端的数字证书,则可以越过本小节。
需要将CA的证书输入SP.
enss(config)$sslimportrootca
ThiscommandisusedtoimportthecertificateofatrustedCertificateAuthority.Thiswill
beutilizedfortheverificationofclientcertificates.Itmustbepresentwhenclient
authenticationisenabledforavirtualsite.
TrustedRootCA
将客户端证书验证功能打开:
SP-Demo(config)$sslsettingsclientauth
Thiscommandallowstheusertoestablishclientauthorizationforthehost.AllSSLclients
connectingtothespecifiedvirtualsitewillberequiredtopresentaclientcertificatebefore
communicationwillbeallowedtocontinue.
ClientAuthentication
Role的配置
在登录vpn虚拟站点之前必须进行role的设定,只有user具有了role的权限之后才能够登录vpn系统访问相应的资源。
User具有role的资格需要满足一些特定的条件,只有当限定条件满足时才能够获得相应的role。
虚拟站点下——rolesettings——rolename——addarole
虚拟站点——rolesettings——role——qualification——add
点击add按钮,包含有很多的conditions,他们之间是and的关系,只有满足这些条件的user才属于这个role。
Loginyear:
ThevaluescopeofYEARfrom1970to2999,itcanhave"
>
"
"
<
="
field.Differentyearcanbedefinedinthesameline,separatedwithcomma,andtheyhaveORrelationship.But"
scopevalue"
and"
singlevalue"
cannotexistinoneline.Forexample:
"
2011,2012,2013"
or"
2011-2013"
or"
2011"
Loginmonth:
Thevaluescopefrom1-12,itcanhave"
field.Differentmonthcanbedefinedinthesameline,separatedwithcomma,andtheyhaveORrelationship.But"
2,3,4"
2-4"
8"
Loginday:
Thevaluescopefrom1-31,itcanhave"
field.Differentdaycanbedefinedinthesameline,separatedwithcomma,andtheyhaveORrelationship.But"
Logintime:
Thevaluescopefrom00:
00to23:
59,itcanhave"
field.Forexample:
19:
00-23:
59"
Logindate:
Theformatis"
yyyyMMddhhmm"
meansyear,Month,day,hour,andminute.Forexample,"
201002060507"
meanstime"
5:
07,02/06/2010"
itcanhave"
201005080000"
Loginweek:
Thevaluescopefrom1-7,1meansMonday,7meansSunday.Itcanhave"
1-5"
UserName:
Ifthisconditioncontainsmultipleusers,separatethemwithcomma.TheyhaveORrelationship.Butthemaximumusernamesinonelineis10.Ifyouwanttoassignmorethan10userstoarole,youcanassignthemintoagroupfirst,andthenassignthisgrouptotherole.Oryoucanseparatethemindifferentqualificationdefinitions.NOTICE,DONOTdefinetheminthesamequalification,becausedifferentconditiondefinitionsinaqualificationhaveANDrelationship.
GroupName:
Ifthisconditioncontainsmultiplegroups,separatethemwithcomma.TheyhaveORrelationship.Butthemaximumgroupnamesinonelineis10.NOTICE,DONOTdefinetheminthesamequalification,becausedifferentconditiondefinitionsinaqualificationhaveANDrelationship.
SourceIP:
YoucanaddnetmaskfollowingtheIPaddress,forexample:
10.10.10.0/24"
10.10.10.0/255.255.255.0"
10.10.10.1"
AuthMethod:
ifAAAmodulecanallowadministratordefinenameforeveryauthmethod,thentheauthmethodwillbetheself-definedmethods.IfthisconditionallowsmultipleAUTHMETHODs,separatethemwithcomma.TheyhaveORrelationship.ButthemaximummethodsinoneconditionCLIis10.Ifyouwantsupportmorethan10methods,separatethemindifferentqualificationdefinitions.NOTICE,DONOTdefinetheminthesamequalification,becausedifferentconditiondefinitionsinaqualificationhaveANDrelationship.
当role设置好之后,需要对role进行资源的发布,包含两方面的内容,一个是netpool,另外一个是quicklist!
在进行role资源发布之前首先需要做好资源的设定。
选择roleresourcenetpoollist——add——netpoolname。
roleresourcequicklinklist——add——resourceID
resourceID为已经建立好的quicklink资源,displayname为显示在界面上的文字。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Array AG之虚拟站点Role配置手册 AG 虚拟 站点 Role 配置 手册