身份認(rèn)證網(wǎng)關(guān)I系列用戶手冊(cè)V2.2.3-20101130

PAGE1身份認(rèn)證網(wǎng)關(guān)I系列用戶手冊(cè)V2.2.3吉大正元信息技術(shù)股份有限公司JilinUniversityInformationTechnologiesCo.,Ltd.比目錄1 引言 11.1 編寫(xiě)目的 12 布署結(jié)構(gòu)圖 13 安裝配置 13.1 介紹 13.2 Web管理配置流程 23.2.1 安裝管理員證書(shū) 23.2.2 系統(tǒng)管理員登錄并配置 53.2.3 安全保密管理員登錄并配置 73.2.4 審計(jì)管理員登錄并配置 124 功能詳解及使用方法 144.1 應(yīng)用管理 144.1.1 添加應(yīng)用 144.1.2 修改應(yīng)用 154.1.3 刪除應(yīng)用 164.2 服務(wù)器管理 164.2.1 服務(wù)端口設(shè)置 164.2.2 申請(qǐng)站點(diǎn)證書(shū) 174.2.3 導(dǎo)入站點(diǎn)證書(shū) 174.2.4 導(dǎo)出站點(diǎn)證書(shū) 184.2.5 配置許可證 194.2.6 當(dāng)前服務(wù)狀態(tài) 194.3 認(rèn)證管理 204.3.1 證書(shū)認(rèn)證配置 204.3.2 口令認(rèn)證配置 234.4 訪問(wèn)控制管理 254.4.1 訪問(wèn)控制設(shè)置 254.4.2 應(yīng)用級(jí)訪問(wèn)控制 254.4.3 規(guī)則管理 264.5 Portal頁(yè)面定制 294.5.1 設(shè)置隱藏應(yīng)用 294.5.2 設(shè)置默認(rèn)Portal 304.5.3 定制Portal頁(yè) 304.5.4 定制登錄頁(yè) 314.6 相關(guān)產(chǎn)品設(shè)置 314.6.1 UMS配置 314.6.2 PMS配置 324.6.3 UMS/PMS緩存配置 334.6.4 配置應(yīng)用代碼 334.6.5 配置默認(rèn)權(quán)限 334.7 SSO管理 344.7.1 令牌設(shè)置 344.7.2 認(rèn)證地址配置 344.7.3 應(yīng)用從賬號(hào)管理 354.7.4 模擬代填設(shè)置 364.7.5 在線用戶 374.8 管理員配置 374.8.1 配置管理員證書(shū) 374.8.2 配置管理員根證書(shū) 384.8.3 管理員IP設(shè)置 394.8.4 管理員IP列表 394.9 日志管理 394.9.1 配置系統(tǒng)日志 394.9.2 查詢系統(tǒng)日志 404.9.3 日志空間預(yù)警 414.9.4 日志打包下載 424.10 系統(tǒng)設(shè)置 424.10.1 網(wǎng)卡設(shè)置 424.10.2 配置DNS服務(wù) 424.10.3 本地HOSTS配置 434.10.4 靜態(tài)路由設(shè)置 434.10.5 系統(tǒng)硬件信息 434.10.6 系統(tǒng)時(shí)間設(shè)置 444.10.7 可信時(shí)間源設(shè)置 444.10.8 手動(dòng)同步設(shè)備時(shí)間 444.10.9 服務(wù)器啟停 454.11 系統(tǒng)維護(hù) 454.11.1 恢復(fù)出廠默認(rèn)值 454.11.2 備份恢復(fù) 454.11.3 系統(tǒng)升級(jí) 464.12 硬件管理 464.12.1 HA服務(wù)管理 464.12.2 網(wǎng)絡(luò)診斷管理 474.12.3 SNMP服務(wù)管理 504.12.4 系統(tǒng)監(jiān)控 524.12.5 網(wǎng)絡(luò)監(jiān)控 535 常見(jiàn)問(wèn)題解答(FAQ) 555.1 Agent無(wú)法做重定向認(rèn)證 556 附錄模擬代填工具 586.1 附錄1CS模擬代填 586.1.1 CS模擬代填工具說(shuō)明 586.1.2 CS模擬代替工具使用方法 586.2 附錄2BS模擬代填 616.2.1 BS代填模板說(shuō)明 616.2.2 BS代填工具使用方法 62身份認(rèn)證網(wǎng)關(guān)I系列V2.2.3PAGE62吉大正元信息技術(shù)股份有限公司引言HYPERLINK\o"點(diǎn)擊見(jiàn)說(shuō)明"編寫(xiě)目的身份認(rèn)證網(wǎng)關(guān)對(duì)外提供身份認(rèn)證服務(wù)前需要對(duì)網(wǎng)關(guān)自身進(jìn)行一系列的參數(shù)設(shè)置，為提高網(wǎng)關(guān)服務(wù)系統(tǒng)的易用性，我們提供專門(mén)的服務(wù)配置管理平臺(tái)和WEB方式的操作界面，方便管理員對(duì)網(wǎng)關(guān)服務(wù)系統(tǒng)進(jìn)行管理操作。HYPERLINK\o"點(diǎn)擊見(jiàn)說(shuō)明"布署結(jié)構(gòu)圖圖表STYLEREF1\s2SEQ圖表\*ARABIC\s11安裝配置介紹吉大正元身份認(rèn)證網(wǎng)關(guān)背面提供二個(gè)網(wǎng)絡(luò)接口，分別為ETH0，ETH1。ETH0：網(wǎng)關(guān)的入口網(wǎng)卡，是用戶訪問(wèn)網(wǎng)關(guān)的入口。ETH1：出口網(wǎng)卡，作為與應(yīng)用服務(wù)器通信的網(wǎng)口，出廠默認(rèn)地址是：10。Web管理配置流程安裝管理員證書(shū)本系統(tǒng)采用分權(quán)管理方式，包括三個(gè)管理員，分別是系統(tǒng)管理員、安全保密管理員、安全審計(jì)員。相關(guān)證書(shū)從隨機(jī)光盤(pán)中獲取，首先安裝網(wǎng)關(guān)默認(rèn)的管理員證書(shū)，用默認(rèn)的管理員進(jìn)行初始的配置。以系統(tǒng)管理員證書(shū)為例說(shuō)明證書(shū)的詳細(xì)安裝過(guò)程：一安裝系統(tǒng)管理員證書(shū)找到系統(tǒng)管理員.pfx證書(shū)，單擊右鍵，在出現(xiàn)的快捷菜單中選擇“安裝PFX（I）”如下圖：圖表STYLEREF1\s31進(jìn)入到導(dǎo)入向?qū)g迎使用界面。圖表STYLEREF1\s32二選擇要安裝的證書(shū)點(diǎn)“下一步”，進(jìn)入“指定導(dǎo)入文件”界面，默認(rèn)顯示的證書(shū)就是上一步中打開(kāi)的.pfx證書(shū)，即所要安裝的，不需改動(dòng)。圖表STYLEREF1\s33三輸入密碼：點(diǎn)“下一步”，進(jìn)入輸入密碼步驟；系統(tǒng)管理員.pfx證書(shū)默認(rèn)密碼是111111。圖表STYLEREF1\s34四選擇安裝位置點(diǎn)“下一步”，進(jìn)入選擇存儲(chǔ)路徑；選擇存儲(chǔ)路徑如圖。圖表STYLEREF1\s35五完成導(dǎo)入點(diǎn)“下一步”，完成導(dǎo)入步驟；查看安裝信息，如果需要修改，點(diǎn)“上一步”，到相應(yīng)的步驟進(jìn)行修改。圖表STYLEREF1\s36六導(dǎo)入成功點(diǎn)“完成”，已導(dǎo)入證書(shū)，導(dǎo)入成功顯示如下。圖表STYLEREF1\s37系統(tǒng)管理員登錄并配置配置流程圖：圖表STYLEREF1\s38配置詳細(xì)步驟：系統(tǒng)管理員登錄：使用IE訪問(wèn)：https://ServerIP:6443選擇使用“系統(tǒng)管理員”證書(shū)登錄，進(jìn)入網(wǎng)關(guān)歡迎界面。ServerIP是網(wǎng)關(guān)的ETH0口的IP地址,6443為默認(rèn)管理端口，如下圖：圖表STYLEREF1\s39配置網(wǎng)絡(luò)：主要進(jìn)行網(wǎng)絡(luò)IP設(shè)置和DNS服務(wù)。網(wǎng)絡(luò)IP設(shè)置：進(jìn)入“系統(tǒng)設(shè)置->網(wǎng)卡設(shè)置”頁(yè)面可以對(duì)系統(tǒng)每個(gè)網(wǎng)口的IP地址進(jìn)行修改包括ETH0-外網(wǎng)和ETH1-內(nèi)網(wǎng)。如下圖：圖表STYLEREF1\s310圖表STYLEREF1\s311配置DNS服務(wù)：進(jìn)入“系統(tǒng)設(shè)置->配置DNS服務(wù)”頁(yè)面。如下圖：圖表STYLEREF1\s312添加上網(wǎng)絡(luò)的DNS后，配置應(yīng)用時(shí)可以直接配置域名來(lái)訪問(wèn)。例如：某應(yīng)用要訪問(wèn)網(wǎng)址添加一個(gè)BS應(yīng)用，應(yīng)用服務(wù)欄填寫(xiě),，可以通過(guò)該域名訪問(wèn)到后臺(tái)應(yīng)用。更換管理員證書(shū)：更新系統(tǒng)管理員證書(shū)為實(shí)際使用的管理員證書(shū)（在更新管理員證書(shū)前先在管理員根證書(shū)的列表中添加管理員證書(shū)的根證書(shū)）更換管理員如下圖：圖表STYLEREF1\s313接入用戶網(wǎng)絡(luò)環(huán)境：根據(jù)用戶的實(shí)際情況將網(wǎng)關(guān)以旁路的方式接入到用戶的網(wǎng)絡(luò)環(huán)境中，將一般用戶連接到ETH0外網(wǎng)口，啟動(dòng)網(wǎng)關(guān)。重啟機(jī)器，進(jìn)入服務(wù)器啟停頁(yè)面重啟網(wǎng)關(guān)，如下圖：圖表STYLEREF1\s314安全保密管理員登錄并配置配置流程圖：安全保密管理員安全保密管理員啟動(dòng)電源更新管理員配置管理員根證配置站點(diǎn)證書(shū)圖表STYLEREF1\s315配置詳細(xì)步驟：安全保密管理員登錄：使用IE訪問(wèn)：https://ServerIP:6443選擇使用“安全保密管理員”證書(shū)登錄，進(jìn)入網(wǎng)關(guān)歡迎界面。ServerIP是網(wǎng)關(guān)的ETH0口的IP地址，6443為默認(rèn)管理端口，如下圖：圖表STYLEREF1\s316配置管理員根證書(shū)：進(jìn)入“管理員配置->配置管理員根證書(shū)”頁(yè)面，點(diǎn)擊“添加管理員根證”按鈕會(huì)彈出如下頁(yè)面：圖表STYLEREF1\s317根證文件：根證書(shū)文件的物理存儲(chǔ)位置，可點(diǎn)擊“瀏覽”按鈕選擇根證書(shū)。該根證書(shū)是簽發(fā)管理員證書(shū)的根證書(shū)。配置站點(diǎn)證書(shū)：配置站點(diǎn)證書(shū)需要進(jìn)行申請(qǐng)站點(diǎn)證書(shū)和導(dǎo)入站點(diǎn)證書(shū)操作。申請(qǐng)站點(diǎn)證書(shū)：以下是站點(diǎn)證書(shū)的申請(qǐng)頁(yè)面，管理員需要填寫(xiě)證書(shū)主題，選擇密鑰長(zhǎng)度，填寫(xiě)私鑰保護(hù)口令和確認(rèn)保護(hù)口令，點(diǎn)擊‘產(chǎn)生’按鈕生成申請(qǐng)書(shū)，然后拷貝站點(diǎn)證書(shū)申請(qǐng)書(shū)內(nèi)容到CA簽發(fā)站點(diǎn)證書(shū)如下圖：圖表STYLEREF1\s318配置項(xiàng)：證書(shū)主題：所要生成證書(shū)的證書(shū)主題，例如：“cn=localhost,o=jit,c=cn”。證書(shū)主題所填內(nèi)容必須符合證書(shū)主題書(shū)寫(xiě)規(guī)范。密鑰長(zhǎng)度：設(shè)置生成證書(shū)所使用的密鑰的長(zhǎng)度，選項(xiàng)包含512；1024；2048長(zhǎng)度。私鑰保護(hù)口令：設(shè)置私鑰保護(hù)口令，保護(hù)口令字段信息必須為合法字段，只包含’a-z’;’A-Z’;’0-9’確認(rèn)私鑰的保護(hù)口令：對(duì)已經(jīng)輸入的私鑰保護(hù)口令進(jìn)行確認(rèn)。站點(diǎn)證書(shū)申請(qǐng)書(shū)內(nèi)容：顯示站點(diǎn)證書(shū)申請(qǐng)書(shū)內(nèi)容，將該內(nèi)容進(jìn)行拷貝，可以到證書(shū)簽發(fā)系統(tǒng)申請(qǐng)證書(shū)?？截悤r(shí)注意，拷貝內(nèi)容不包含’BEGINCERTIFICATEREQUEST’和’ENDCERTIFICATEREQUEST’。導(dǎo)入站點(diǎn)證書(shū)，這里是站點(diǎn)證書(shū)的顯示與導(dǎo)入頁(yè)面，如下圖：圖表STYLEREF1\s319這里可以顯示當(dāng)前站點(diǎn)證書(shū)的信息，如：序列號(hào)、簽名算法、頒發(fā)者主題、有效起始日期、有效終止日期和證書(shū)主題。導(dǎo)入站點(diǎn)證書(shū)是指從本地的系統(tǒng)中，將指定的證書(shū)上傳到服務(wù)器?？梢詫?dǎo)入的站點(diǎn)證書(shū)有兩種類型，X509證書(shū)和PKCS12證書(shū)。在站點(diǎn)證書(shū)申請(qǐng)書(shū)處生成的站點(diǎn)證書(shū)申請(qǐng)書(shū)，經(jīng)CA簽發(fā)回來(lái).cer（X509證書(shū)）文件后，通過(guò)瀏覽按鈕導(dǎo)入，如下圖為X509證書(shū)的導(dǎo)入頁(yè)面：圖表STYLEREF1\s320也可以直接導(dǎo)入.pfx證書(shū)（PKCS12證書(shū)）作為站點(diǎn)證書(shū)，如下圖為PKCS12證書(shū)的導(dǎo)入頁(yè)面：與X509證書(shū)導(dǎo)入相比，多了一項(xiàng)輸入保護(hù)口令，是指輸入PKCS12證書(shū)的保護(hù)口令圖表STYLEREF1\s321注意：如果想這部分配置后生效，需要重啟網(wǎng)關(guān)導(dǎo)出站點(diǎn)證書(shū)：如果需要也可以將站點(diǎn)證書(shū)導(dǎo)出，輸入證書(shū)的導(dǎo)出密碼后點(diǎn)“導(dǎo)出”按鈕就可以將站點(diǎn)證書(shū)導(dǎo)出到本地，如下圖：圖表STYLEREF1\s322更換管理員：更新安全保密管理員證書(shū)為實(shí)際使用的管理員證書(shū)（在更新管理員證書(shū)前先在管理員根證列表中添加管理員證書(shū)的根證書(shū)）更換管理員如下圖：圖表STYLEREF1\s323審計(jì)管理員登錄并配置配置流程圖：圖表STYLEREF1\s324配置詳細(xì)步驟：審計(jì)管理員登錄：使用IE訪問(wèn)：https://ServerIP:6443選擇使用“審計(jì)管理員”證書(shū)登錄，進(jìn)入I網(wǎng)關(guān)歡迎界面。ServerIP是I網(wǎng)關(guān)的ETH0口的IP地址,6443為默認(rèn)管理端口，如下圖：圖表STYLEREF1\s325更換管理員證書(shū)：更新審計(jì)管理員證書(shū)為實(shí)際使用的管理員證書(shū)（在更新管理員證書(shū)前先在配置管理員證書(shū)的列表中添加管理員證書(shū)的根證書(shū)）更換管理員如下圖：圖表STYLEREF1\s3263.審計(jì)管理員配置可以對(duì)需要記錄的日志類型和日志保存方式進(jìn)行設(shè)置圖表STYLEREF1\s327功能詳解及使用方法應(yīng)用管理在應(yīng)用管理這個(gè)模塊可以注冊(cè)應(yīng)用，包括Agent代理、模擬代填和報(bào)文認(rèn)證的BS，報(bào)文認(rèn)證和模擬代填的CS應(yīng)用。添加應(yīng)用在“

應(yīng)用管理

→

配置應(yīng)用”界面中，點(diǎn)擊“添加新應(yīng)用”按鈕，進(jìn)入應(yīng)用類型選擇頁(yè)面，可以添加BS應(yīng)用或CS應(yīng)用添加BS應(yīng)用頁(yè)面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s11配置項(xiàng)：應(yīng)用名稱：輸入英文、數(shù)字或漢字，作為應(yīng)用名稱。單點(diǎn)登陸方式：包括Agent代理，模擬代填和報(bào)文認(rèn)證。Agent代理方式：指在應(yīng)用服務(wù)器端需要安裝過(guò)濾器，當(dāng)用戶訪問(wèn)應(yīng)用時(shí)由過(guò)濾器轉(zhuǎn)向到網(wǎng)關(guān)做認(rèn)證（此方式適合后臺(tái)應(yīng)用可以做改造的情況）。模擬代填方式：指將服務(wù)器的策略（代填策略）下載到客戶端來(lái)實(shí)現(xiàn)模擬代填（此方式適合零改造應(yīng)用）。報(bào)文認(rèn)證方式：指在應(yīng)用服務(wù)器端向網(wǎng)關(guān)發(fā)送認(rèn)證報(bào)文，網(wǎng)關(guān)認(rèn)證后返回認(rèn)證結(jié)果。應(yīng)用標(biāo)識(shí)：應(yīng)用的唯一標(biāo)識(shí)，一旦保存，不可更改。（注:應(yīng)用標(biāo)識(shí)不允許輸入中文而且不能輸入重復(fù)的應(yīng)用標(biāo)識(shí)）。應(yīng)用服務(wù)器地址格式：可以是域名或ip地址。應(yīng)用服務(wù)器：指要訪問(wèn)的后臺(tái)應(yīng)用的服務(wù)器地址。應(yīng)用通訊協(xié)議：是指網(wǎng)關(guān)與應(yīng)用服務(wù)器之間采用的傳輸協(xié)議，支持明文通信(http)和SSL/TLS（https）。添加CS應(yīng)用頁(yè)面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s12配置項(xiàng)：應(yīng)用名稱：輸入英文、數(shù)字，或漢字，作為應(yīng)用名稱。應(yīng)用標(biāo)識(shí)：應(yīng)用的唯一標(biāo)識(shí)，一旦保存，不可更改。（注:應(yīng)用標(biāo)識(shí)不允許輸入中文而且不能輸入重復(fù)的應(yīng)用標(biāo)識(shí)）。應(yīng)用類型：模擬代填方式：指將服務(wù)器的策略（包括：菜單portal策略和代填策略）下載到客戶端來(lái)實(shí)現(xiàn)模擬代填（此方式適合零改造應(yīng)用）。報(bào)文認(rèn)證方式：指在應(yīng)用服務(wù)器端向網(wǎng)關(guān)發(fā)送認(rèn)證報(bào)文，網(wǎng)關(guān)認(rèn)證后給客戶端返回認(rèn)證結(jié)果，網(wǎng)關(guān)只進(jìn)行認(rèn)證操作的一種認(rèn)證方式。修改應(yīng)用在應(yīng)用列表頁(yè)面點(diǎn)擊某個(gè)應(yīng)用后面的修改圖標(biāo)，進(jìn)入應(yīng)用的詳細(xì)信息頁(yè)面，可以對(duì)應(yīng)用的各項(xiàng)信息進(jìn)行修改（應(yīng)用標(biāo)識(shí)不允許修改），如下圖為BS應(yīng)用的修改頁(yè)面，用戶可以對(duì)應(yīng)用名稱等項(xiàng)進(jìn)行修改。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s13刪除應(yīng)用在應(yīng)用列表頁(yè)面點(diǎn)擊某個(gè)應(yīng)用后面的刪除圖標(biāo)可以刪除被選擇的應(yīng)用，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s14服務(wù)器管理服務(wù)器管理主要是對(duì)服務(wù)器端口、站點(diǎn)證書(shū)、許可證的配置，同時(shí)可以查看在線用戶。服務(wù)端口設(shè)置配置服務(wù)器的通訊端口以及業(yè)務(wù)通訊類型。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s15配置項(xiàng)：口令認(rèn)證端口：配置服務(wù)器的單向SSL通信端口。證書(shū)認(rèn)證端口：配置服務(wù)器的雙向SSL通信端口。業(yè)務(wù)通訊端口：網(wǎng)關(guān)與Agent通信的端口。業(yè)務(wù)通訊類型：分為明文和密文，明文通訊速度快，但沒(méi)有密文安全。管理端口：訪問(wèn)網(wǎng)關(guān)管理頁(yè)面的端口。注：當(dāng)業(yè)務(wù)通訊類型配置為密文時(shí)，Agent應(yīng)用必須部署與網(wǎng)關(guān)對(duì)應(yīng)的密鑰庫(kù)，以進(jìn)行加密傳輸業(yè)務(wù)。申請(qǐng)站點(diǎn)證書(shū)以下是站點(diǎn)證書(shū)的申請(qǐng)頁(yè)面，管理員需要填寫(xiě)證書(shū)主題，選擇密鑰長(zhǎng)度，填寫(xiě)私鑰保護(hù)口令和確認(rèn)保護(hù)口令，點(diǎn)擊產(chǎn)生按鈕就可以生成站點(diǎn)證書(shū)申請(qǐng)書(shū)，然后拷貝站點(diǎn)證書(shū)申請(qǐng)書(shū)內(nèi)容到CA簽發(fā)站點(diǎn)證書(shū)如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s16配置項(xiàng)：證書(shū)主題：所要生成證書(shū)的證書(shū)主題，例如：“cn=localhost,o=jit,c=cn”。證書(shū)主題所填內(nèi)容必須符合證書(shū)主題書(shū)寫(xiě)規(guī)范。密鑰長(zhǎng)度：設(shè)置生成證書(shū)所使用的密鑰的長(zhǎng)度，選項(xiàng)包含512、1024、2048長(zhǎng)度。私鑰保護(hù)口令：設(shè)置私鑰保護(hù)口令，保護(hù)口令字段信息必須為合法字段，只包含’a-z’;’A-Z’;’0-9’以及下劃線的有效字符確認(rèn)私鑰的保護(hù)口令：對(duì)已經(jīng)輸入的私鑰保護(hù)口令進(jìn)行確認(rèn)。站點(diǎn)證書(shū)申請(qǐng)書(shū)內(nèi)容：顯示站點(diǎn)證書(shū)申請(qǐng)書(shū)內(nèi)容，將該內(nèi)容進(jìn)行拷貝，可以到證書(shū)簽發(fā)系統(tǒng)申請(qǐng)證書(shū)。拷貝時(shí)注意，拷貝內(nèi)容不包含’BEGINCERTIFICATEREQUEST’和’ENDCERTIFICATEREQUEST’。導(dǎo)入站點(diǎn)證書(shū)顯示當(dāng)前站點(diǎn)證書(shū)的信息，如：序列號(hào)、簽名算法、頒發(fā)者主題、有效起始日期、有效終止日期和證書(shū)主題。導(dǎo)入站點(diǎn)證書(shū)是指從本地的系統(tǒng)中，將得到的證書(shū)上傳到服務(wù)器?？梢詫?dǎo)入的站點(diǎn)證書(shū)有兩種類型，X509證書(shū)和PKCS12證書(shū)。在站點(diǎn)證書(shū)申請(qǐng)?zhí)幧傻恼军c(diǎn)證書(shū)，經(jīng)CA簽發(fā)回來(lái).cer（X509證書(shū)）文件后，通過(guò)瀏覽按鈕導(dǎo)入，如下圖為X509證書(shū)的導(dǎo)入頁(yè)面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s17也可以直接導(dǎo)入.pfx證書(shū)（PKCS12證書(shū)）作為站點(diǎn)證書(shū)，如下圖為PKCS12證書(shū)的導(dǎo)入頁(yè)面：與X509證書(shū)導(dǎo)入相比，多了一項(xiàng)輸入保護(hù)口令，是指輸入PKCS12證書(shū)的保護(hù)口令圖表STYLEREF1\s4SEQ圖表\*ARABIC\s18注意：如果想這部分配置后生效，需要重新啟動(dòng)身份認(rèn)證網(wǎng)關(guān)。導(dǎo)出站點(diǎn)證書(shū)輸入證書(shū)的導(dǎo)出密碼后，點(diǎn)“導(dǎo)出”按鈕就可以將站點(diǎn)證書(shū)導(dǎo)出到本地如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s19配置許可證根據(jù)用戶需要可以使用不同的許可證，在許可證中指定軟件使用期限、最大用戶數(shù)量、網(wǎng)關(guān)接入應(yīng)用數(shù)、網(wǎng)關(guān)接入用戶數(shù)等信息。許可證文件可以在購(gòu)買(mǎi)軟件的同時(shí)獲得。在管理界面中，點(diǎn)擊“服務(wù)器管理－配置許可證”，進(jìn)入“許可證管理

→

配置許可證”窗口，點(diǎn)擊“瀏覽”按鈕，選擇正確的許可證文件（.lce），再點(diǎn)擊“確定”按鈕，重新啟動(dòng)服務(wù)，更新的許可證方可生效。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s110當(dāng)前服務(wù)狀態(tài)可以查看到用戶訪問(wèn)網(wǎng)關(guān)和應(yīng)用的訪問(wèn)量，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s111查看項(xiàng)：在線用戶數(shù)：指當(dāng)前正在訪問(wèn)網(wǎng)關(guān)或應(yīng)用服務(wù)器的用戶數(shù)。應(yīng)用累計(jì)訪問(wèn)總量：指訪問(wèn)某一個(gè)應(yīng)用的累計(jì)總次數(shù)。認(rèn)證管理是進(jìn)行信任域的配置以及信任域的證書(shū)狀態(tài)校驗(yàn)方式的配置。證書(shū)認(rèn)證配置對(duì)信任域和證書(shū)狀態(tài)驗(yàn)證的配置，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s112配置信任域：點(diǎn)“添加”按鈕，進(jìn)入信任域的添加頁(yè)面如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s113配置項(xiàng)：上級(jí)信任域：在添加信任域的時(shí)候如果這項(xiàng)選擇“不指定”那么在添加多級(jí)信任域的時(shí)候不驗(yàn)證信任域的上下級(jí)關(guān)系，如果指定的話在添加信任域時(shí)會(huì)驗(yàn)證信任域的上下關(guān)系。CA證書(shū)更新LDAP地址：可以配置CA的LDAP地址，在線更新證書(shū)。配置證書(shū)狀態(tài)驗(yàn)證：證書(shū)狀態(tài)驗(yàn)證方式支持以下幾種不驗(yàn)證：指用證書(shū)訪問(wèn)portal或應(yīng)用的時(shí)候，系統(tǒng)不驗(yàn)證證書(shū)是否被注銷或凍結(jié)。CRL校驗(yàn)：支持“目錄服務(wù)器(LDAP)”、“Web服務(wù)器(http)”下載證書(shū)吊銷列表來(lái)驗(yàn)證證書(shū)的有效性，或兩者組合校驗(yàn)。具體的配置如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s114當(dāng)選擇“目錄服務(wù)器（LDAP）”顯示如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s115配置項(xiàng)：CRL更新周期：可選擇“不自動(dòng)更新、定時(shí)更新、按照CRL更新時(shí)間”三種方式。管理員DN/密碼：登錄LDAP的管理員用戶名口令，在LDAP允許匿名方式訪問(wèn)時(shí)，此項(xiàng)可不填寫(xiě)?？侰RL更新地址：指可以下載目錄服務(wù)器總的crl文件進(jìn)行證書(shū)有效性驗(yàn)證，crl地址格式為:ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl*當(dāng)crl文件下載成功后可以點(diǎn)“手動(dòng)管理CRL”查看下載到的crl文件分CRL地址格式如下：ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl1可以添加多個(gè)分crl地址，當(dāng)分crl地址寫(xiě)為如下格式：ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl*會(huì)下載所有的crl文件。當(dāng)選擇“Web服務(wù)器（HTTP）”顯示如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s116配置項(xiàng)：CRL更新周期：可選擇“不自動(dòng)更新、定時(shí)更新、按照CRL更新時(shí)間”三種方式總CRL更新地址：23:8080/crl/crl.crl分CRL更新地址：23:8080/crl/crl1.crl手工方式導(dǎo)入CRL文件：網(wǎng)關(guān)提供手工導(dǎo)入CRL文件，臨時(shí)取代LDAP或HTTP方式下載的CRL文件，進(jìn)行證書(shū)驗(yàn)證檢查。在界面中點(diǎn)擊“手動(dòng)管理CRL”按鈕圖表STYLEREF1\s4SEQ圖表\*ARABIC\s117進(jìn)入界面，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s118通過(guò)執(zhí)行‘瀏覽’按鈕，選擇并導(dǎo)入CRL文件。導(dǎo)入的CRL文件會(huì)顯示在CRL列表中。OCSP校驗(yàn)：連接OCSP服務(wù)器在線查詢證書(shū)的狀態(tài)，對(duì)用戶登錄出示的證書(shū)進(jìn)行有效性校驗(yàn)，可以配置兩個(gè)ocsp服務(wù)器，當(dāng)主ocsp服務(wù)器發(fā)生錯(cuò)誤的時(shí)候可以連接備用的機(jī)器做驗(yàn)證，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s119配置項(xiàng)：OCSP地址格式為：11:20443/ocspOCSP和CRL組合校驗(yàn)：支持ocsp和crl的組合驗(yàn)證方式，當(dāng)同時(shí)配置了ocsp和crl時(shí)會(huì)首先采用ocsp服務(wù)器進(jìn)行證書(shū)有效性校驗(yàn)，當(dāng)ocsp出現(xiàn)問(wèn)題時(shí)會(huì)自動(dòng)采用crl的方式進(jìn)行驗(yàn)證?？诹钫J(rèn)證配置在采用用戶名口令認(rèn)證策略時(shí)，需要進(jìn)行口令認(rèn)證配置圖表STYLEREF1\s4SEQ圖表\*ARABIC\s120選擇認(rèn)證來(lái)源：當(dāng)前版本網(wǎng)關(guān)，用戶名口令認(rèn)證來(lái)源只支持以UMS為認(rèn)證源（相關(guān)UMS配置請(qǐng)參看‘相關(guān)產(chǎn)品設(shè)置’章節(jié)）增加驗(yàn)證碼：選擇為‘是’，則在登錄網(wǎng)關(guān)login頁(yè)面時(shí)，除了要填寫(xiě)用戶名口令，還需要填寫(xiě)驗(yàn)證碼一項(xiàng)，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s121校驗(yàn)策略：有明文和SHA1兩種選擇，明文是指登錄時(shí)輸入的用戶口令與UMS中配置的口令一致。SHA1可增加密碼安全性，是指UMS配置口令時(shí)，輸入口令的SHA1碼，登錄時(shí)輸入實(shí)際口令。（SHA1碼獲取方式：將密碼寫(xiě)入某文檔，用hash工具對(duì)該文檔進(jìn)行hash計(jì)算，即可獲得SHA1值）圖表STYLEREF1\s4SEQ圖表\*ARABIC\s122認(rèn)證配置報(bào)文認(rèn)證支持X509證書(shū)+SSL認(rèn)證方式：當(dāng)服務(wù)器與網(wǎng)關(guān)之間通過(guò)報(bào)文改造方式并使用單向SSL通訊時(shí)，可以直接提交X509證書(shū)到網(wǎng)關(guān)做認(rèn)證。支持機(jī)構(gòu)擴(kuò)展屬性：當(dāng)組織機(jī)構(gòu)有擴(kuò)展屬性時(shí)，需要選擇此選項(xiàng)，網(wǎng)關(guān)將把UMS上機(jī)構(gòu)下的所有擴(kuò)展屬性返回給應(yīng)用系統(tǒng)，并可以配置返回的信息是屬性的名稱還是編碼方式。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s123訪問(wèn)控制管理訪問(wèn)控制設(shè)置進(jìn)入‘訪問(wèn)控制管理->訪問(wèn)控制設(shè)置’，在這里進(jìn)行全局訪問(wèn)控制的設(shè)置。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s124全局默認(rèn)策略：當(dāng)應(yīng)用未配置應(yīng)用級(jí)訪問(wèn)控制規(guī)則時(shí)，通過(guò)全局默認(rèn)策略進(jìn)行訪問(wèn)控制。選擇‘允許’時(shí)，在網(wǎng)關(guān)中注冊(cè)的應(yīng)用默認(rèn)為允許所有用戶訪問(wèn)。選擇‘禁止’時(shí)，在網(wǎng)關(guān)中注冊(cè)的應(yīng)用默認(rèn)為禁止所有用戶訪問(wèn)。系統(tǒng)規(guī)則配置：?jiǎn)?dòng)或禁用系統(tǒng)規(guī)則。UMS從賬號(hào)：選擇“開(kāi)啟”，點(diǎn)擊“保存”，某應(yīng)用選擇該規(guī)則，當(dāng)用戶沒(méi)有UMS從賬號(hào)時(shí)，禁止訪問(wèn)該應(yīng)用。PMS權(quán)限策略：選擇“開(kāi)啟”，點(diǎn)擊“保存”，某應(yīng)用選擇該規(guī)則，當(dāng)用戶沒(méi)有PMS權(quán)限時(shí)，禁止訪問(wèn)該應(yīng)用。注：要想使該規(guī)則生效，需要某個(gè)具體的應(yīng)用啟用該規(guī)則。應(yīng)用級(jí)訪問(wèn)控制點(diǎn)擊“應(yīng)用級(jí)訪問(wèn)控制”進(jìn)入如下頁(yè)面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s125執(zhí)行應(yīng)用對(duì)應(yīng)的‘配置應(yīng)用訪問(wèn)規(guī)則’按鈕，進(jìn)入配置應(yīng)用控制界面，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s126配置項(xiàng)：默認(rèn)策略：選擇‘允許’時(shí)，通過(guò)認(rèn)證登錄的所有用戶允許訪問(wèn)應(yīng)用。選擇‘禁止’時(shí)，通過(guò)認(rèn)證登錄的所有用戶禁止訪問(wèn)應(yīng)用。認(rèn)證方式：選擇“證書(shū)認(rèn)證”時(shí)，只有通過(guò)證書(shū)認(rèn)證后，才能訪問(wèn)應(yīng)用。選擇“用戶名口令”時(shí)，只有用戶名口令認(rèn)證后，才能訪問(wèn)應(yīng)用。選擇“用戶名口令”與“證書(shū)認(rèn)證”時(shí)，必須同時(shí)通過(guò)用戶名口令和證書(shū)認(rèn)證后才能訪問(wèn)應(yīng)用。選擇“用戶名口令”或“證書(shū)認(rèn)證”時(shí)，通過(guò)證書(shū)或用戶名口令其中一種方式認(rèn)證后，就能訪問(wèn)應(yīng)用。應(yīng)用訪問(wèn)規(guī)則在‘應(yīng)用訪問(wèn)規(guī)則’執(zhí)行‘選擇’按鈕，彈出如下圖窗口：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s127系統(tǒng)級(jí)規(guī)則：包括驗(yàn)證UMS從賬號(hào)及PMS權(quán)限策略。自定義規(guī)則：用戶自行定制的規(guī)則。（請(qǐng)參見(jiàn)‘規(guī)則管理’章節(jié)）勾選規(guī)則后，執(zhí)行確定按鈕，點(diǎn)擊保存，規(guī)則添加完畢。規(guī)則管理用戶可以通過(guò)規(guī)則管理添加用戶自定義的規(guī)則信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s128點(diǎn)擊“添加新規(guī)則”按鈕進(jìn)入如下頁(yè)面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s129規(guī)則基本信息名稱：輸入規(guī)則的名稱狀態(tài)：‘啟用’指打開(kāi)規(guī)則‘停用’指關(guān)閉規(guī)則模式：‘允許’滿足規(guī)則條件時(shí)允許訪問(wèn)‘禁止’滿足規(guī)則條件時(shí)禁止訪問(wèn)證書(shū)主題條件：勾選該項(xiàng)，編輯證書(shū)主題條件，如下圖圖表STYLEREF1\s4SEQ圖表\*ARABIC\s130選擇項(xiàng)，固定項(xiàng)包括C、O、OU、T、CN、SN、L、ST、E、DC、UID，這些基本上涵蓋了證書(shū)DN的所有常規(guī)項(xiàng)，當(dāng)存在有固定項(xiàng)不包含的項(xiàng)目或需要使用通配符方式進(jìn)行匹配的情況下，可以通過(guò)‘任意值’進(jìn)行表示。選擇某一常規(guī)項(xiàng)時(shí)，如選擇‘C’，在‘=’后選擇‘固定值’填寫(xiě)具體的信息，或選擇‘任意值’用‘*’進(jìn)行匹配。設(shè)置完成后，執(zhí)行‘確定’按鈕提交，如下圖所示：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s131時(shí)間段條件：勾選該項(xiàng)，編輯時(shí)間條件，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s132時(shí)間條件分為每天、每周和指定日期每天：指定每天的某個(gè)時(shí)間段作為訪問(wèn)控制條件。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s133每周：指定每周的星期幾的幾點(diǎn)到幾點(diǎn)作為訪問(wèn)控制條件圖表STYLEREF1\s4SEQ圖表\*ARABIC\s134指定日期：指定具體的日期，時(shí)間段圖表STYLEREF1\s4SEQ圖表\*ARABIC\s135用戶證書(shū)擴(kuò)展：根據(jù)證書(shū)擴(kuò)展來(lái)進(jìn)行控制規(guī)則設(shè)置為OR時(shí)，一條規(guī)則將控制兩個(gè)或兩個(gè)以上的用戶：用戶名條件：勾選該項(xiàng)對(duì)登錄login_portal的用戶名進(jìn)行控制圖表STYLEREF1\s4SEQ圖表\*ARABIC\s136輸入用戶名信息，可以選擇‘精確匹配’前的復(fù)選框進(jìn)行精確匹配或不選擇進(jìn)行模糊匹配用戶屬性條件：可以根據(jù)用戶的屬性進(jìn)行做控制IP地址條件：勾選該項(xiàng)對(duì)IP地址進(jìn)行控制IP地址條件限制：輸入具體的IP地址信息，可以添加多個(gè)IP圖表STYLEREF1\s4SEQ圖表\*ARABIC\s137IP區(qū)間條件限制：輸入IP地址段信息注：當(dāng)一個(gè)應(yīng)用選擇有多項(xiàng)規(guī)則的情況下，規(guī)則的優(yōu)先級(jí)按所選規(guī)則自上至下的排列順序，排在頂端的規(guī)則優(yōu)先級(jí)別最高。當(dāng)需要調(diào)整規(guī)則優(yōu)先級(jí)別順序時(shí)可通過(guò)‘上移’，‘下移’按鈕調(diào)整。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s138Portal頁(yè)面定制設(shè)置隱藏應(yīng)用在這個(gè)頁(yè)面可以對(duì)受保護(hù)的應(yīng)用是否在portal頁(yè)面顯示進(jìn)行設(shè)置，當(dāng)勾選應(yīng)用后面的隱藏復(fù)選框后在應(yīng)用的portal頁(yè)面就不顯示該應(yīng)用。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s139設(shè)置默認(rèn)Portal在這個(gè)頁(yè)面可以設(shè)置顯示的portal頁(yè)，選擇“網(wǎng)關(guān)”的話訪問(wèn)portal顯示網(wǎng)關(guān)默認(rèn)的portal頁(yè)面，選擇“自定義”時(shí)需要用戶輸入自定義的portal頁(yè)地址如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s140配置的自定義portal地址格式為：.其中為自定義portal的地址定制Portal頁(yè)定制頁(yè)面的logo圖片、portal頁(yè)面的logo圖片、公告信息和證書(shū)的有效期提示如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s141證書(shū)有效期提示：當(dāng)用戶證書(shū)快到期的時(shí)候訪問(wèn)portal頁(yè)面系統(tǒng)會(huì)有提示信息。定制登錄頁(yè)指可以給每個(gè)Agent代理的應(yīng)用配置一個(gè)單獨(dú)的認(rèn)證頁(yè)面，當(dāng)訪問(wèn)應(yīng)用的地址的時(shí)候就自動(dòng)跳轉(zhuǎn)到自定義的認(rèn)證頁(yè)面進(jìn)行認(rèn)證，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s142點(diǎn)擊“登錄頁(yè)面上傳”按鈕進(jìn)入上傳認(rèn)證頁(yè)面的添加頁(yè)面如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s143配置項(xiàng)：上傳認(rèn)證頁(yè)面：自定義的認(rèn)證頁(yè)面，文件格式為：jsp。上傳文件1：指自定義認(rèn)證頁(yè)面所需要的相關(guān)文件，如樣式表，圖片等。相關(guān)產(chǎn)品設(shè)置UMS配置配置UMS服務(wù)器信息，通過(guò)連接UMS可以實(shí)現(xiàn)以下幾個(gè)功能：實(shí)現(xiàn)用戶名/口令認(rèn)證，并獲取登錄用戶在UMS系統(tǒng)中配置的基礎(chǔ)信息。實(shí)現(xiàn)基于UMS從賬號(hào)的訪問(wèn)控制。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s144配置項(xiàng)：UMS版本：支持的各種UMS版本。UMS服務(wù)器IP地址：如00UMS服務(wù)器端口：如8802機(jī)構(gòu)字典返回類型：返回的信息可以是名稱與編碼兩種選擇。默認(rèn)是名稱，選擇編碼必須在認(rèn)證管理-認(rèn)證配置中選中支持機(jī)構(gòu)擴(kuò)展屬性測(cè)試UMS連接按鈕：點(diǎn)擊“連接測(cè)試”按鈕檢測(cè)連接狀態(tài)。PMS配置配置PMS服務(wù)器信息，通過(guò)PMS可以獲取登錄用戶在PMS系統(tǒng)中配置的權(quán)限信息，從而控制用戶對(duì)應(yīng)用的訪問(wèn)圖表STYLEREF1\s4SEQ圖表\*ARABIC\s145PMS版本：指可以支持的PMS版本。PMS服務(wù)器IP地址：如：0。PMS服務(wù)器端口：如：9999。測(cè)試PMS連接按鈕：點(diǎn)擊“連接測(cè)試”按鈕檢測(cè)連接狀態(tài)。注：當(dāng)訪問(wèn)控制采用“PMS權(quán)限控制”時(shí)需要連接UMS、PMS并配置默認(rèn)權(quán)限UMS/PMS緩存配置圖表STYLEREF1\s4SEQ圖表\*ARABIC\s146緩存狀態(tài)：?jiǎn)⒂煤徒脙煞N選擇緩存持久化：?jiǎn)?dòng)該功能，網(wǎng)關(guān)將上次訪問(wèn)的UMS用戶信息保存到網(wǎng)關(guān)上，在UMS離線時(shí)仍然可以正常登陸。用戶緩存最大有效時(shí)間：指讀取的UMS/PMS信息在網(wǎng)關(guān)上緩存的最長(zhǎng)時(shí)間，這段時(shí)間用戶可從緩存中獲取UMS/PMS配置的信息，超過(guò)有效時(shí)間，用戶訪問(wèn)時(shí)網(wǎng)關(guān)將重新從UMS/PMS讀取信息并緩存。用戶緩存最大空閑時(shí)間：指用戶獲取當(dāng)前緩存的UMS/PMS信息后，在最大空閑時(shí)間內(nèi)可保持該信息，超過(guò)最大空閑時(shí)間就再次讀取緩存的UMS/PMS信息。清空緩存：點(diǎn)擊后，網(wǎng)關(guān)清空緩存中的UMS/PMS信息。配置應(yīng)用代碼在結(jié)合PMS產(chǎn)品時(shí)，需要對(duì)應(yīng)用指定應(yīng)用代碼，其中PMS3.5.1需要指定本地碼，從而實(shí)現(xiàn)基于PMS權(quán)限的訪問(wèn)控制并從PMS產(chǎn)品中獲取用戶的權(quán)限信息，應(yīng)用碼從PMS對(duì)應(yīng)的應(yīng)用中獲得。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s147配置默認(rèn)權(quán)限可以給應(yīng)用指定默認(rèn)權(quán)限，當(dāng)無(wú)法從PMS中獲取權(quán)限時(shí)便可以使用默認(rèn)權(quán)限，默認(rèn)權(quán)限配置如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s148SSO管理令牌設(shè)置在這里可以配置令牌的最長(zhǎng)有效時(shí)間和最長(zhǎng)空閑時(shí)間，時(shí)間單位為分鐘。最長(zhǎng)有效時(shí)間指從建立一個(gè)會(huì)話開(kāi)始，該會(huì)話可保持存在的最長(zhǎng)時(shí)間，超過(guò)該時(shí)間則清除該會(huì)話。最長(zhǎng)空閑時(shí)間指建立會(huì)話后，兩次請(qǐng)求間隔允許的最長(zhǎng)時(shí)間，超過(guò)該時(shí)間則清除該會(huì)話。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s149認(rèn)證地址配置在這里進(jìn)行認(rèn)證地址的設(shè)置，默認(rèn)為IP格式。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s150配置項(xiàng)：輸入格式：選擇使用域名還是IP地址形式。選擇域名時(shí)顯示如下頁(yè)面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s151公共域：輸入認(rèn)證服務(wù)器公共域信息，以’.’開(kāi)頭。如：.認(rèn)證服務(wù)器地址：輸入認(rèn)證服務(wù)器域名如：。以上三項(xiàng)設(shè)置需要結(jié)合說(shuō)明。a、當(dāng)身份認(rèn)證網(wǎng)關(guān)需要支持域名訪問(wèn)業(yè)務(wù)進(jìn)行聯(lián)合身份認(rèn)證時(shí)，輸入格式選擇為域名格式，此時(shí)，公共域名輸入域名根域地址，且必須以’.’開(kāi)頭，認(rèn)證服務(wù)器地址則需輸入身份認(rèn)證網(wǎng)關(guān)的域地址形式，且必須包含公共域所配置的字段信息。如：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s152b、當(dāng)身份認(rèn)證網(wǎng)關(guān)只需通過(guò)IP地址進(jìn)行訪問(wèn)時(shí)，輸入格式選擇為IP地址格式。此時(shí)，只需要輸入認(rèn)證服務(wù)器的IP地址信息。重啟時(shí)則默認(rèn)配置為身份認(rèn)證網(wǎng)關(guān)服務(wù)所在設(shè)備的IP地址（注意多網(wǎng)卡、IP時(shí)需要指明服務(wù)IP）。 注意：配置項(xiàng)修改后，需要重新啟動(dòng)身份認(rèn)證網(wǎng)關(guān)才能生效。應(yīng)用從賬號(hào)管理在這個(gè)頁(yè)面管理員可以對(duì)受保護(hù)應(yīng)用進(jìn)行從賬號(hào)的綁定、修改綁定和刪除綁定，支持的從賬號(hào)來(lái)源有：用戶自注冊(cè)，管理員指定和從UMS獲取，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s153用戶自注冊(cè)：當(dāng)選取用戶自注冊(cè)后，需要用戶在portal頁(yè)面手動(dòng)注冊(cè)從賬號(hào)。管理員指定：當(dāng)選取管理員指定點(diǎn)保存后進(jìn)入，如下頁(yè)面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s154管理員給應(yīng)用指定從賬戶有2種從賬戶類型如下：為所有用戶建立一個(gè)默認(rèn)的從賬戶。為所有用戶建立一個(gè)默認(rèn)的從賬戶指所有訪問(wèn)應(yīng)用的用戶都采用這個(gè)賬戶訪問(wèn)應(yīng)用。為某一用戶單獨(dú)配置從賬戶：為某一用戶創(chuàng)建從賬戶指可以單獨(dú)為某一個(gè)用戶指定一個(gè)從賬戶，當(dāng)一個(gè)應(yīng)用即指定了默認(rèn)從賬戶又給其中的用戶單獨(dú)創(chuàng)建了從賬戶，則以單獨(dú)創(chuàng)建的從賬戶登錄優(yōu)先，還可以對(duì)綁定的從賬戶信息進(jìn)行修改和刪除。從UMS獲?。褐笍腢MS服務(wù)器上獲取應(yīng)用的從賬號(hào)信息。注：當(dāng)用戶連接UMS獲取從賬戶的時(shí)候首先在相關(guān)產(chǎn)品模塊配置正確的UMS服務(wù)器地址。模擬代填設(shè)置配置模擬代填需要的配置文件，當(dāng)需要進(jìn)行模擬代填時(shí)需要先下載對(duì)應(yīng)的模版并進(jìn)行對(duì)應(yīng)的修改，然后將修改的文件上傳：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s155注：模擬設(shè)置在線用戶查詢?cè)L問(wèn)網(wǎng)關(guān)的在線用戶，可以根據(jù)用戶名稱和證書(shū)DN進(jìn)行實(shí)時(shí)查詢圖表STYLEREF1\s4SEQ圖表\*ARABIC\s156圖表STYLEREF1\s4SEQ圖表\*ARABIC\s157管理員配置配置管理員證書(shū)管理員證書(shū)：作為管理員的證書(shū)必須滿足三個(gè)條件：導(dǎo)入的管理員證書(shū)前必須先配置管理員根證書(shū)。管理員證書(shū)必須在有效期范圍之內(nèi)。管理員證書(shū)的標(biāo)準(zhǔn)擴(kuò)展域的密鑰用法中必須有簽名算法。導(dǎo)入管理員證書(shū)：當(dāng)需要更換管理員證書(shū)時(shí)，將管理員證書(shū)重新導(dǎo)入。點(diǎn)擊“瀏覽”按鈕選擇管理員證書(shū)。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s158配置管理員根證書(shū)在配置管理員之前先要配置管理員的根證書(shū)，以下為管理員根證書(shū)的配置頁(yè)面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s159管理員IP設(shè)置管理員IP設(shè)置主要是添加管理員IP到管理員IP列表和開(kāi)啟IP限制。添加管理員IP地址到管理員IP列表。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s160啟用IP限制后只有管理員IP列表中的用戶可以訪問(wèn)網(wǎng)關(guān)的管理頁(yè)面。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s161管理員IP列表對(duì)添加的管理員IP進(jìn)行刪除圖表STYLEREF1\s4SEQ圖表\*ARABIC\s162當(dāng)IP限制在啟用的情況下，刪除管理員IP列表中的IP最后一個(gè)IP無(wú)法刪除注：開(kāi)啟IP限制時(shí)，不允許更換管理員證書(shū)。日志管理配置系統(tǒng)日志配置系統(tǒng)日志包括設(shè)置記錄的日志類型和日志的保存方式。該系統(tǒng)支持四種日志文件類型，日志類型說(shuō)明如下：管理員日志：如果設(shè)置為記錄管理員日志，則當(dāng)管理員登錄或登出網(wǎng)關(guān)以及在管理端進(jìn)行的一些應(yīng)用添加刪除修改網(wǎng)關(guān)配置項(xiàng)信息都會(huì)記錄管理員日志。業(yè)務(wù)日志：如果設(shè)置為記錄業(yè)務(wù)日志，則當(dāng)進(jìn)行認(rèn)證，訪問(wèn)控制以及行為審計(jì)的情況下會(huì)記錄當(dāng)前的業(yè)務(wù)日志。調(diào)試日志：如果設(shè)置為記錄調(diào)試日志，則當(dāng)進(jìn)行各類服務(wù)時(shí)，會(huì)記錄整個(gè)服務(wù)流程的相關(guān)信息。錯(cuò)誤日志：如果設(shè)置為記錄錯(cuò)誤日志，則當(dāng)連接外部服務(wù)出現(xiàn)異常以及非法數(shù)據(jù)導(dǎo)致異常的情況下會(huì)記錄下錯(cuò)誤相關(guān)信息。日志保存方式：支持本地保存、AQS2.0、AQS3.0、Syslog服務(wù)器保存日志保存時(shí)間：配置本地日志的保存時(shí)間。過(guò)期日志處理方式：設(shè)置過(guò)期的本地日志的處理方式，可以上傳到ftp,也可以刪除。FTP配置：過(guò)期日志上傳的FTP服務(wù)器IP，端口，用戶名，密碼，上傳路徑。SYSLOG地址配置：配置SYSLOG服務(wù)器地址，端口。AQS2.0地址配置：配置AQS3.0服務(wù)器地址，端口。AQS3.0地址配置：配置AQS3.0服務(wù)器地址，端口。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s163查詢系統(tǒng)日志對(duì)于系統(tǒng)記錄的日志，提供瀏覽和下載功能，以方便管理員對(duì)日志信息的操作管理，查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s164管理員日志可以根據(jù)證書(shū)或管理員用戶名和操作時(shí)間進(jìn)行查詢業(yè)務(wù)日志查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s165業(yè)務(wù)日志可以根據(jù)用戶ID號(hào)、訪問(wèn)時(shí)間、應(yīng)用名稱和操作時(shí)間進(jìn)行查詢業(yè)務(wù)日志。當(dāng)日志類型選擇‘業(yè)務(wù)日志’，而查詢條件‘用戶’在選擇了模糊查詢時(shí)，操作時(shí)間必須不能為空。錯(cuò)誤日志查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s166調(diào)試日志查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s167日志空間預(yù)警日志達(dá)到設(shè)置的預(yù)警臨界值時(shí)，當(dāng)管理員登錄會(huì)彈出警告提示，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s168日志打包下載將日志按操作時(shí)間進(jìn)行歸檔，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s169系統(tǒng)設(shè)置網(wǎng)卡設(shè)置對(duì)網(wǎng)關(guān)每個(gè)網(wǎng)口的IP地址進(jìn)行修改，ETH0外網(wǎng)、ETH1內(nèi)網(wǎng)可以根據(jù)需要進(jìn)行修改。如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s170圖表STYLEREF1\s4SEQ圖表\*ARABIC\s171配置DNS服務(wù)DNS即域名解析系統(tǒng)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。DNS配置頁(yè)面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s172本地HOSTS配置本地Hosts即網(wǎng)關(guān)本地hosts文件。用來(lái)解析“用域名方式配置的應(yīng)用”的域名和IP對(duì)應(yīng)關(guān)系。在“用IP方式配置的應(yīng)用”情況下，在本地hosts文件中給該應(yīng)用IP隨意對(duì)應(yīng)一個(gè)域名，也有助于加快訪問(wèn)后臺(tái)應(yīng)用的速度。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s173靜態(tài)路由設(shè)置靜態(tài)路由：指定網(wǎng)關(guān)訪問(wèn)某個(gè)網(wǎng)絡(luò)內(nèi)的應(yīng)用時(shí)，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給哪個(gè)設(shè)備。該設(shè)備用IP地址來(lái)標(biāo)識(shí)，且必須和網(wǎng)關(guān)的某一個(gè)接口IP在同一個(gè)網(wǎng)段內(nèi)，稱為“下一跳”。配置靜態(tài)路由的要素有三項(xiàng)：目的網(wǎng)絡(luò)、目的子網(wǎng)掩碼、下一跳IP地址。例如，某靜態(tài)路由配置如下：

00

，則含義為，網(wǎng)關(guān)想要訪問(wèn)/16網(wǎng)絡(luò)內(nèi)的應(yīng)用，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給00的這個(gè)IP。路由的設(shè)定，可以是計(jì)算機(jī)之間跨網(wǎng)段通信。主要用于定義封包的走向，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s174如圖所示，目標(biāo)網(wǎng)絡(luò)為，掩碼為的數(shù)據(jù)包網(wǎng)關(guān)地址為54，數(shù)據(jù)包通過(guò)ETH0流出。ETH0口的默認(rèn)網(wǎng)關(guān)是54，配置靜態(tài)路由時(shí)網(wǎng)關(guān)要配成與ETH0的默認(rèn)網(wǎng)關(guān)ETH1沒(méi)有默認(rèn)網(wǎng)關(guān)，配置ETH1的靜態(tài)路由時(shí)網(wǎng)關(guān)配成與ETH1同一網(wǎng)段即可系統(tǒng)硬件信息這里是系統(tǒng)信息的頁(yè)面。主要顯示服務(wù)器的CPU、內(nèi)存的大小、硬盤(pán)的大小等信息。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s175系統(tǒng)時(shí)間設(shè)置這里是顯示當(dāng)前網(wǎng)關(guān)的系統(tǒng)的時(shí)間，并且可以修改系統(tǒng)時(shí)間圖表STYLEREF1\s4SEQ圖表\*ARABIC\s176可信時(shí)間源設(shè)置圖表STYLEREF1\s4SEQ圖表\*ARABIC\s177設(shè)置NTP服務(wù)器，使網(wǎng)關(guān)時(shí)間自動(dòng)與可信的服務(wù)器時(shí)間同步手動(dòng)同步設(shè)備時(shí)間手動(dòng)同步NTP服務(wù)器時(shí)間圖表STYLEREF1\s4SEQ圖表\*ARABIC\s178服務(wù)器啟停這里是服務(wù)啟停的頁(yè)面，主要有兩項(xiàng)功能：重啟機(jī)器和關(guān)閉機(jī)器。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s179系統(tǒng)維護(hù)恢復(fù)出廠默認(rèn)值在這里可以將系統(tǒng)的配置信息恢復(fù)到出廠時(shí)的默認(rèn)配置，執(zhí)行恢復(fù)操作時(shí)系統(tǒng)會(huì)重啟機(jī)器，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s180備份恢復(fù)備份功能可以將用戶的當(dāng)前系統(tǒng)配置全部備份到一個(gè)文件中，以便發(fā)生錯(cuò)誤時(shí)可以恢復(fù)到當(dāng)前狀態(tài)。在備份時(shí)系統(tǒng)要重新啟動(dòng)，復(fù)操作可以使系統(tǒng)恢復(fù)到某一個(gè)備份的狀態(tài)，點(diǎn)擊瀏覽，選擇需要恢復(fù)的文件，點(diǎn)擊恢復(fù)，重啟系統(tǒng)，便完成恢復(fù)操作如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s181備份文件列表中的備份文件可以下載、恢復(fù)或者刪除。系統(tǒng)升級(jí)在管理頁(yè)面中點(diǎn)擊系統(tǒng)升級(jí)進(jìn)入數(shù)據(jù)管理系統(tǒng)升級(jí)頁(yè)面，選中升級(jí)包，執(zhí)行升級(jí)，系統(tǒng)自動(dòng)進(jìn)行升級(jí)如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s182注：系統(tǒng)升級(jí)文件名字必須是update.zip硬件管理網(wǎng)關(guān)提供HA服務(wù)管理，網(wǎng)絡(luò)診斷管理，SNMP服務(wù)管理，系統(tǒng)監(jiān)控，網(wǎng)絡(luò)監(jiān)控，5項(xiàng)操作。HA服務(wù)管理HA功能實(shí)現(xiàn)當(dāng)網(wǎng)關(guān)發(fā)生異常，如宕機(jī)、斷電情況下，使網(wǎng)關(guān)能夠自動(dòng)切換到備機(jī)，使用戶能夠正常使用網(wǎng)關(guān)。在開(kāi)啟HA功能之前，需要先設(shè)置相應(yīng)網(wǎng)卡的IP，因?yàn)榫W(wǎng)關(guān)出廠時(shí)網(wǎng)卡的IP是一樣的。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s183默認(rèn)HA狀態(tài)為關(guān)閉，通過(guò)修改機(jī)器名稱來(lái)配置主機(jī)名。當(dāng)處于關(guān)閉狀態(tài)時(shí)，HA功能不起作用。選擇開(kāi)啟，HA功能啟動(dòng)，會(huì)出現(xiàn)下面信息：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s184配置項(xiàng)：機(jī)器名稱：輸入英文、數(shù)字，作為機(jī)器名稱。工作方式：開(kāi)啟狀態(tài)。集群角色：可以選擇使用的本機(jī)為主機(jī)還是備機(jī)。主節(jié)點(diǎn)名稱：為主機(jī)的hostname。備節(jié)點(diǎn)名稱：為備機(jī)的hostname。虛擬IP地址：設(shè)置可以用來(lái)進(jìn)行訪問(wèn)的“中間IP”，與網(wǎng)關(guān)出口ip在一個(gè)網(wǎng)段內(nèi)。虛擬IP掩碼：為虛擬IP設(shè)置的對(duì)應(yīng)掩碼（1-32之間整數(shù)）。心跳端口：心跳服務(wù)端口，HA主備機(jī)間通過(guò)心跳消息來(lái)檢測(cè)對(duì)方是否存活。心跳間隔：設(shè)置間隔多長(zhǎng)時(shí)間測(cè)試連接一次，心跳間隔在1-5秒之間。配置完成后點(diǎn)擊確定，提示重啟。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s185點(diǎn)擊“取消”，工作方式與集群角色重置。網(wǎng)絡(luò)診斷管理網(wǎng)絡(luò)診斷信息功能用來(lái)診斷網(wǎng)絡(luò)是否使用正常，可以通過(guò)Ping命令、Traceroute命令、telnet命令來(lái)檢測(cè)。界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s186Ping命令選擇Ping命令，輸入IP格式如：97，ping個(gè)數(shù)為ping多少次停止。輸入配置信息，后點(diǎn)擊執(zhí)行，如果可以ping通顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s187如果不可以ping通顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s188點(diǎn)擊“清空”則清空當(dāng)前文本框信息。Traceroute命令選擇Traceroute命令，測(cè)試是否網(wǎng)關(guān)與所執(zhí)行的IP經(jīng)過(guò)路由，經(jīng)過(guò)的網(wǎng)關(guān)IP是多少。輸入IP格式如：65輸入配置信息，后點(diǎn)擊執(zhí)行，如果不過(guò)路由顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s189如果過(guò)路由顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s190過(guò)網(wǎng)關(guān)IP如圖是54點(diǎn)擊“清空”則清空當(dāng)前文本框信息。Telnet命令選擇Telnet命令，測(cè)試是否網(wǎng)關(guān)與Telnet服務(wù)相通。輸入IP格式如：輸入配置信息，后點(diǎn)擊執(zhí)行，如果可以連接成功顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s191如果連接不成功顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s192點(diǎn)擊“清空”則清空當(dāng)前文本框信息。SNMP服務(wù)管理SNMP是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，該協(xié)議能夠支持監(jiān)測(cè)連接到網(wǎng)絡(luò)上的設(shè)備的任何需要關(guān)注的情況。SNMP服務(wù)自動(dòng)啟動(dòng)，選擇“SNMP服務(wù)管理”顯示頁(yè)面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s193若配置項(xiàng)設(shè)置如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s194點(diǎn)擊“確定”，提示重啟圖表STYLEREF1\s4SEQ圖表\*ARABIC\s195重啟過(guò)程中查看SNMP服務(wù)啟動(dòng)。若配置項(xiàng)設(shè)置如下圖表STYLEREF1\s4SEQ圖表\*ARABIC\s196點(diǎn)擊“確定”則提示關(guān)閉成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s197SNMP服務(wù)將被關(guān)閉。若配置項(xiàng)設(shè)置如下圖表STYLEREF1\s4SEQ圖表\*ARABIC\s198點(diǎn)擊“確定”則提示啟動(dòng)成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s199SNMP服務(wù)將被啟動(dòng)。若配置項(xiàng)設(shè)置如下圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1100點(diǎn)擊“確定”則提示關(guān)閉成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1101SNMP服務(wù)將被關(guān)閉。點(diǎn)擊“重置”則對(duì)當(dāng)前填寫(xiě)信息進(jìn)行回退。系統(tǒng)監(jiān)控系統(tǒng)監(jiān)控功能會(huì)對(duì)網(wǎng)關(guān)硬件信息進(jìn)行實(shí)時(shí)監(jiān)控，監(jiān)控信息為cpu、內(nèi)存、硬盤(pán)使用情況。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1102“刷新頻率設(shè)置”用來(lái)設(shè)置多長(zhǎng)時(shí)間采集一次信息，單位為秒。顯示的CPU使用信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1103顯示的硬盤(pán)使用信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1104分別顯示兩個(gè)分區(qū)硬盤(pán)使用的情況。顯示的內(nèi)存使用信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1105設(shè)置刷新頻率，點(diǎn)擊“保存”，提示數(shù)據(jù)保存成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1106當(dāng)輸入的刷新頻率為不為數(shù)字時(shí)，提示只能輸入整數(shù)。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1107網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)監(jiān)控功能會(huì)對(duì)網(wǎng)卡信息進(jìn)行實(shí)時(shí)監(jiān)控。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1108并分別對(duì)eth0、eth1等網(wǎng)卡進(jìn)行監(jiān)控，并分別對(duì)應(yīng)顯示網(wǎng)卡對(duì)應(yīng)的IP地址。當(dāng)有網(wǎng)絡(luò)流量的時(shí)候會(huì)顯示相應(yīng)信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1109設(shè)置刷新頻率，點(diǎn)擊“保存”，提示數(shù)據(jù)保存成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1110當(dāng)輸入的刷新頻率不為數(shù)字時(shí)，提示只能輸入整數(shù)。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1111HYPERLINK\o"點(diǎn)擊見(jiàn)說(shuō)明"常見(jiàn)問(wèn)題解答(FAQ)Agent無(wú)法做重定向認(rèn)證參考《JIT身份認(rèn)證網(wǎng)關(guān)I_Agent配置手冊(cè).doc》，檢查Agent是否正確配置；檢查域名配置是否正確。 檢查域名正確配置，應(yīng)檢查服務(wù)器的域名配置，以及DNS配置。檢查域名配置在桌面上“我的電腦”圖標(biāo)上單擊鼠標(biāo)右鍵，在快捷菜單中選擇“屬性”出現(xiàn)如下圖的圖表STYLEREF1\s5SEQ圖表\*ARABIC\s11單擊“網(wǎng)絡(luò)標(biāo)識(shí)”選項(xiàng)