安盟雙因素身份認證系統(tǒng)

1、安盟雙因素身份認證系統(tǒng)快速安裝手冊（Anmeng Server 7.0 Agent5.5）四川安盟電子信息安全有限責任公司2018年7月安盟雙因素身份認證系統(tǒng)文檔應(yīng)用：本地認證保護的設(shè)置與應(yīng)用。讀者對象：網(wǎng)絡(luò)安全管理員 使用軟件：安盟雙因素身份認證軟件Anmeng7.0安盟雙因素代理v5.5目 錄 TOC o 1-3 h z u HYPERLINK l _Toc3800865 1安裝服務(wù)基本概念和提前準備 PAGEREF _Toc3800865 h 1 HYPERLINK l _Toc3800866 1.1安裝認證服務(wù)器和認證客戶端 PAGEREF _Toc3800866 h 1 HYPERL

2、INK l _Toc3800867 1.2提前準備 PAGEREF _Toc3800867 h 1 HYPERLINK l _Toc3800868 2安裝服務(wù)器端 PAGEREF _Toc3800868 h 2 HYPERLINK l _Toc3800869 1.1安裝認證服務(wù)器 PAGEREF _Toc3800869 h 2 HYPERLINK l _Toc3800870 1.2登錄服務(wù)器管理 PAGEREF _Toc3800870 h 5 HYPERLINK l _Toc3800871 1.3導(dǎo)入令牌 PAGEREF _Toc3800871 h 6 HYPERLINK l _Toc3800

3、872 1.4添加代理主機 PAGEREF _Toc3800872 h 7 HYPERLINK l _Toc3800873 1.5添加用戶 PAGEREF _Toc3800873 h 9 HYPERLINK l _Toc3800874 2.1安裝標準認證客戶端 PAGEREF _Toc3800874 h 10 HYPERLINK l _Toc3800875 1.6測試標準的客戶端 PAGEREF _Toc3800875 h 13 HYPERLINK l _Toc3800876 1.7Radius客戶端驗證 PAGEREF _Toc3800876 h 16 HYPERLINK l _Toc380

4、0877 2安盟認證查看器 PAGEREF _Toc3800877 h 17 HYPERLINK l _Toc3800878 3安裝備份服務(wù)器 PAGEREF _Toc3800878 h 17 HYPERLINK l _Toc3800879 4本地認證保護的設(shè)置與應(yīng)用 PAGEREF _Toc3800879 h 21 HYPERLINK l _Toc3800880 2.1本地認證保護的設(shè)置 PAGEREF _Toc3800880 h 21 HYPERLINK l _Toc3800881 2.2本地認證保護的應(yīng)用 PAGEREF _Toc3800881 h 22 HYPERLINK l _Toc

5、3800882 5常見問題排除方法 PAGEREF _Toc3800882 h 22 HYPERLINK l _Toc3800883 5.1用戶登錄沒有認證日志 PAGEREF _Toc3800883 h 22 HYPERLINK l _Toc3800884 5.2認證日志提示未注冊用戶 PAGEREF _Toc3800884 h 22 HYPERLINK l _Toc3800885 5.3認證日志提示提示用戶不在代理主機上 PAGEREF _Toc3800885 h 23 HYPERLINK l _Toc3800886 5.4認證日志提示源地址與目的地址不一致 PAGEREF _Toc380

6、0886 h 23 HYPERLINK l _Toc3800887 5.5清理節(jié)點密文 PAGEREF _Toc3800887 h 23 PAGE 23安裝服務(wù)基本概念和提前準備安裝認證服務(wù)器和認證客戶端基本思路是：在服務(wù)器上安裝安盟認證服務(wù)器軟件。將生成的sdconf.rec文件，從服務(wù)端復(fù)制到客戶端。在客戶端（工作站）安裝標準客戶認證軟件。提前準備License.xml 授權(quán)文件，每個產(chǎn)品唯一的授權(quán)文件。安盟會通過光盤或信件發(fā)送給終端用戶。請妥善保管，后期維護安裝，升級都需要此文件。種子文件口令 電話問詢北京銷售中心。獲得種子文件口令，請妥善保管。每個種子文件只有一個種子口令。是一個長度為

7、16位的密碼 種子文件口令為:7BB5E4DDB448DF6B安裝服務(wù)器端安裝認證服務(wù)器在安盟認證軟件Anmeng Server 7.0文件夾里邊雙擊Anmeng7.exe啟動安裝，得到如下提示：圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 1圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 2繼續(xù)安裝，單擊“下一步”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 3繼續(xù)單擊“是”。 圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 4選擇“主認證服務(wù)器”，單擊“下一步”繼續(xù)安裝。圖 STYLERE

8、F 1 s 1 SEQ 圖 * ARABIC s 1 5導(dǎo)入許可證文件（license.xml），安盟有專用的一張光盤。單擊“確定”繼續(xù)安裝。通過瀏覽按鈕，找到許可證文件所在目錄，單擊“確認”。許可證文件路徑出現(xiàn)在文本框中，單擊“下一步” ，進入下一步的安裝。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 6設(shè)置安裝路徑，單擊“下一步”，繼續(xù)安裝。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 7認證服務(wù)器自動安裝。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 8單擊“完成”。安盟認證服務(wù)器7.0版本安裝完成。這樣就可以

9、啟動服務(wù)器。登錄服務(wù)器管理在開始所有程序中，安盟認證服務(wù)器7.0，打開安盟服務(wù)管理器圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 9 安盟服務(wù)管理器單擊開始所有程序安盟認證服務(wù)器7.0服務(wù)管理器，就會出現(xiàn)連接服務(wù)器的畫面圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 10 連接服務(wù)器單擊“連接服務(wù)器”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 11 認證服務(wù)器管理登錄輸入用戶名Administrator，口令是1111（安盟身份認證系統(tǒng)初始密碼是1111），單擊“下一步”，就可以進入到安盟認證服務(wù)器的管理界面。如下

10、圖所示：圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 12 安盟認證服務(wù)器管理畫面到此安盟認證服務(wù)器的安裝與啟動全部介紹完畢。導(dǎo)入令牌進入管理界面后，在“令牌管理”中，選擇“導(dǎo)入令牌”。導(dǎo)入種子文件保護口令系統(tǒng)會提示導(dǎo)入，以xml后綴名的種子文件，這時系統(tǒng)會提示“設(shè)置令牌工作模式”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 13 設(shè)置令牌工作方式默認安裝，單擊“確定”。系統(tǒng)會顯示導(dǎo)入令牌的個數(shù)。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 14 令牌導(dǎo)入狀態(tài)新導(dǎo)入的令牌在“未分配令牌”一欄中，分配給用戶后進入“已

11、分配令牌”一欄。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 15選中某一令牌后雙擊，可以直接編輯該令牌。添加代理主機添加代理主機，也就是需要保護的目標機，打開安盟認證服務(wù)器的管理畫面。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 16 增加代理主機在樹列表區(qū)選擇“代理機管理”，在信息列表區(qū)，單擊鼠標右鍵，選著“增加代理主機”圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 17 編輯代理主機填寫“代理主機名稱”和“IP地址”，這個地方還要勾選“向所有用戶開放”。保存退出，到此代理機就添加完成。接下來，就是要生成配置文件

12、sdconf.rec文件。該文件在后期安裝客戶端的時候使用到。我們臨時將其臨時放在桌面。在菜單欄上邊點擊“代理機主機管理”選擇“導(dǎo)出配置文件”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 18 導(dǎo)出配置文件將配置文件sdconf.rec文件臨時放到桌面保存。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 19 保存配置文件單擊“保存”這樣客戶端的配置文件制作完成。添加用戶在管理畫面上邊，在樹列表區(qū)選擇“管理員”，然后在信息列表區(qū)，單擊鼠標右鍵選擇“增加用戶”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 20 增加用

13、戶假如我們添加一個用戶cc，并且給它分配令牌 如下顯示：圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 21 編輯添加用戶填寫賬號，用戶名，分配一個令牌，最后勾選“在所有代理機上激活”，單擊“保存”。一個用戶添加完成。安裝標準認證客戶端將安裝認證服務(wù)器時保存的配置文件“sdconf.rec”，復(fù)制到客戶端（工作站）。假設(shè)我們?nèi)匀环诺阶烂嫔?。為了保證客戶端和認證端是連接正常，安裝程序前最好ping測試一下。如果連接正常，開始安裝程序。雙擊安盟ACE Agent 5.5中的setup.exe文件，會出現(xiàn)下面的畫面圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC

14、 s 1 22圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 23選擇“下一步”繼續(xù)安裝圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 24選擇“中國大陸（不包括香港）及南北美洲”圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 25單擊“是”，繼續(xù)安裝圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 26選擇“本地訪問認證（客戶端）”，單擊“下一步”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 27將剛才我們保存在桌面上的sdconf.rec文件導(dǎo)入，單擊“下一步”?，F(xiàn)在程

15、序開始安裝。屏幕會顯示安裝進度的畫面。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 28安裝完成，單擊“下一步”。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 29選擇“是，立即重新啟動計算機?！眴螕簟巴瓿伞?。這樣客戶端安裝完成。測試標準的客戶端進入控制面板打開客戶端，在開始控制面板安盟ACE/Agent會出現(xiàn)下面的畫面圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 30點擊“用安盟ACE/Server測試認證”圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 31單擊“安盟認證服務(wù)器直接測試”，

16、會彈出下邊畫面。圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 32輸入用戶名，前邊的cc，輸入令牌口令，一般是6位，會出現(xiàn)下面的畫面圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 33輸入PIN碼，例如：1234，點擊“確定”系統(tǒng)會提示你圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 34點擊“確定”這個時候又會出現(xiàn)上邊的話框，此時輸入PIN碼+令牌碼，例如：1234+令牌上的數(shù)字。系統(tǒng)會提示您圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 35身份認證成功，到此身份認證客戶端，就可以正常使用了。

17、Radius客戶端驗證測試步驟：填寫認證服務(wù)器地址填寫認證服務(wù)端口，1812 或 1645填寫Radius 密鑰 例如1qaz2wsx輸入用戶名輸入密碼點擊 Send如果驗證信息返回信息里邊提示PASSCODE Accept，證明驗證成功。如果驗證失敗，檢查認證服務(wù)器認證日志安盟認證查看器安盟認證日志開始所有程序 安盟認證服務(wù)器 認證日志查看器安盟管理日志打開所有程序 安盟認證服務(wù)器 管理日志查看器安裝備份服務(wù)器安裝備份服務(wù)器操作步驟：第一步，在系統(tǒng) / 備份服務(wù)器管理 / 輸入備份服務(wù)器，填入預(yù)作備份機的IP地址。圖 STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 1添加

18、備份服務(wù)器地址單擊“生成備份服務(wù)器數(shù)據(jù)庫”，圖 STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 2生成備份數(shù)據(jù)包此時，在主認證服務(wù)器上生成一個包，在安裝認證服務(wù)器默認路徑下會出現(xiàn)一個replicaDB備份包（例如：C:Program FilesAnmeng Security LTDAnmeng Auth 7.0 ）。第二步，在備份機上，繼續(xù)安裝安盟認證服務(wù)器7.0軟件，勾選選備份認證服務(wù)器和服務(wù)管理器。此處服務(wù)管理器必須安裝，否則后期無法啟停備份認證服務(wù)器。安裝完成后，關(guān)閉安盟所有服務(wù)。在開始所有程序安盟認證服務(wù)器7.0安盟服務(wù)控制器。單擊“停止”。第三步，將第一步生成的replicaDB包，復(fù)制到備份服務(wù)器上，進入認證服務(wù)器默認路徑下，在對應(yīng)目錄下覆蓋替換原有對應(yīng)文件夾，分別是data文件夾和idx文件夾。第四步，再啟動安盟服務(wù)。查看備份機的認證日志，出現(xiàn)“連接主機請求成功”的信息。此時就完成了備份。證明主備機之間連接成功，并且實現(xiàn)了即時同步。如果要是查詢其他服務(wù)器的，只要在服務(wù)器IP地址欄上選擇相應(yīng)的服務(wù)器即可。注意：在進行備份操作的時候，要統(tǒng)一進行備份，然后將備份包發(fā)送到各個備份機上。替換默認目錄下文件。在這個過程中不要做增刪改操作，等備機與主機正常通信后，在進行操作配置。本地認證保護的設(shè)置與應(yīng)用本地認證保護的設(shè)置單擊開始控制