安盟雙因素身份認(rèn)證系統(tǒng)快速安裝手冊(cè)

安盟雙因素身份認(rèn)證系統(tǒng)

快速安裝手冊(cè)

(AnmengServer8.0Agent7.1)

四川安盟電子信息安全有限責(zé)任公司

2019411月

版本管理

版本摘要編寫時(shí)間

1.20增加常見日常拍錯(cuò)陳俊2019/11/18

1.21增加管理員描述陳俊2019/11/20

安盟雙因素身份認(rèn)證本地保護(hù)

文檔應(yīng)用:

本地認(rèn)證保護(hù)的設(shè)置與應(yīng)用。

讀者對(duì)象:

網(wǎng)絡(luò)安全管理員

使用軟件:

安盟雙因素身份認(rèn)證軟件Anmeng8.0

安盟雙因素代理AMAgent7.1

目錄

1安裝認(rèn)證服務(wù)器和認(rèn)證客戶端.............................錯(cuò)誤!未定義書簽。

1.1安裝認(rèn)證服務(wù)器軟件...............................錯(cuò)誤!未定義書簽。

1.2導(dǎo)入令牌..........................................錯(cuò)誤!未定義書簽。

1.3添加代理主機(jī)......................................錯(cuò)誤!未定義書簽。

1.4添加用戶..........................................錯(cuò)誤!未定義書簽。

1.5安裝標(biāo)準(zhǔn)認(rèn)證客戶端...............................錯(cuò)誤!未定義書簽。

1.6測(cè)試標(biāo)準(zhǔn)的客戶端.................................錯(cuò)誤!未定義書簽。

2本地認(rèn)證保護(hù)的設(shè)置與應(yīng)用...............................錯(cuò)誤!未定義書簽。

2.1本地認(rèn)證保護(hù)的設(shè)置...............................錯(cuò)誤!未定義書簽。

2.2本地認(rèn)證保護(hù)的應(yīng)用................................錯(cuò)誤!未定義書簽。

3安裝備份服務(wù)器..........................................錯(cuò)誤!未定義書簽。

4安裝服務(wù)管理器..........................................錯(cuò)誤!未定義書簽。

5卸載服務(wù)管理器..........................................錯(cuò)誤!未定義書簽。

本說明分為兩部分，第一節(jié)為介紹認(rèn)證服務(wù)器的安裝，第二節(jié)為客戶端的安裝，如果認(rèn)

證服務(wù)器已經(jīng)安裝完成，可以直接查閱第二節(jié)內(nèi)容。

1安裝認(rèn)證服務(wù)器和認(rèn)證客戶端

安盟ACE/Agent本地訪問認(rèn)證

客戶端（工作站）服務(wù)器

皆呆的時(shí)候，用戶需要輸入

個(gè)安盟SecurH）口令.

如果口令正確,用戶就可以

建防到Widows桌面.

A2

本地保護(hù)的基本思路是：

1，在服務(wù)器上安裝安盟認(rèn)證服務(wù)器軟件。

2,將生成的文件，從服務(wù)端復(fù)制到客戶端。

3,在客戶端（工作站）安裝標(biāo)準(zhǔn)客戶認(rèn)證軟件。

1.1安裝認(rèn)證服務(wù)器軟件

在安盟認(rèn)證軟件AnmengServer8.0文件夾里邊雙擊啟動(dòng)安裝，得到如下提示:

圖1?1

選擇“主認(rèn)證服務(wù)器”，單擊“下一步”繼續(xù)安裝。

圖1-2

導(dǎo)入許可證文件（），安盟有專用的一張光盤。單擊“確定”繼續(xù)安裝。通過瀏覽按鈕,

找到許可證文件所在目錄，單擊“確認(rèn)”。許可證文件路徑出現(xiàn)在文本框中，單擊“下一步”，

進(jìn)入下一步的安裝。

圖1-3

設(shè)置安裝路徑，單擊“下一步”，繼續(xù)安裝。

圖1-4

認(rèn)證服務(wù)器自動(dòng)安裝。

圖1-5

單擊“完成”。安盟認(rèn)證服務(wù)器8.0版本安裝完成。這樣就可以啟動(dòng)服務(wù)器。

1.1.1管理員身份登錄

?第a憧度a

命令?示芬

2003

2003

i口服與*i里3

圖1-6安盟服務(wù)管理器

單擊開始）所有程序-安盟認(rèn)證服務(wù)器8.01服務(wù)管理器，就會(huì)出現(xiàn)連接服務(wù)器的畫面

圖1-7連接服務(wù)器

單擊“連接服務(wù)器二

圖1-8認(rèn)證服務(wù)器管理登錄

輸入用戶名sysadmin,口令是1111（安盟身份認(rèn)證系統(tǒng)初始密碼是1111）,單擊“下一

步”，就可以進(jìn)入到安盟認(rèn)證服務(wù)器的管理界面。如下圖所示:

T女工QSUiff?分管再；B70去工中國(guó)(主墨努衣)

糊⑤GMT理11)用戶管理@)羽富遭電代理主機(jī)曾理⑴M點(diǎn)Q)座卸gifiQ)…，如

-貨的從吐那號(hào)重型萬(wàn)

B$ttta

東廿RWI?

己制於B?liubin

8站電?理MfQg

-:陶有達(dá)吉*axa*o>a

stna<i?nt?ya?A

代理王娟理?Uk?V?L

箍二節(jié)自管理ejin.國(guó)

:8公共站點(diǎn)xi，8?T

siavsrKan^qi

MH

代曲機(jī)亶理zh?nQ<i

ckao<ztyi

菊二Y點(diǎn)筌理

S北京站

?Vililii

?SM&

-3：：w中

Ch-ckltt

xpohiK住

IE二槍

Proxy即登

顯示內(nèi)苔站《5?理-公共站《5-絹管理-籬整熨(fflPft13)教學(xué)

圖1-9安盟認(rèn)證服務(wù)器管理畫面

到此安盟認(rèn)證服務(wù)器的安裝與啟動(dòng)全部介紹完畢c

安盟身份認(rèn)證系統(tǒng)己經(jīng)增加三員分立的功能，分別是系統(tǒng)管理員，安全員和審計(jì)員。

其中日志管理員為auditadmin,初始密碼是1111o

1.1.2導(dǎo)入令牌

進(jìn)入管理界面后，在“令牌管理”中，選擇“導(dǎo)入令牌”。系統(tǒng)會(huì)提示導(dǎo)入，以xml后

綴名的種子文件，這時(shí)系統(tǒng)會(huì)提示“設(shè)置令牌工作模式”。

圖1-10設(shè)署令牌工作方式

默認(rèn)安裝，單擊“確定”。系統(tǒng)會(huì)顯示導(dǎo)入令牌的個(gè)數(shù)。

導(dǎo)入OTP令牌

令牌獨(dú)［io再入熟［o

覆蓋數(shù)p跳過數(shù)p

進(jìn)度iniinnnv

確定

圖MI令牌導(dǎo)入狀態(tài)

新導(dǎo)入的令牌在“未分配令牌”一欄中，分配給用戶后進(jìn)入“已分配令牌”一欄。

-安盟認(rèn)讓服務(wù)巨'理粉令牌序列號(hào)開始時(shí)間結(jié)束時(shí)間

-令牌管理000000789194702004-06-082010-09-29

未分配令牌000000789194712004-06-082010-09-29

已分配令牌000000789194722004-06-082010-09-29

-組管理000000789194732004-06-082010-09-29

管理員000000789194742004-06-082010-09-29

代理主機(jī)管理000000789194752004-06-082010-09-29

第二節(jié)點(diǎn)管理000000789194762004-06-082010-09-29

2010-09-29

-RADIUS首理000000789,94772004-06-08

Chee蠅性000000789194782004-06-082010-09-29

RavnenH屋件000000789194792004-06-082010-09-29

圖1-12

選中某一令牌后雙擊，可以直接編輯該令牌。

1.1.3添加代理主機(jī)

添加代理主機(jī)，也就是需要保護(hù)的目標(biāo)機(jī)，打開安盟認(rèn)證服務(wù)器的管理畫面。

圖1-13增加代理主機(jī)

在樹列表區(qū)選擇“代理機(jī)管理”，在信息列表區(qū)，單擊鼠標(biāo)右鍵，選著“增加代理主機(jī)”

編篇代理主機(jī)

RADIUS屬性一

RespondK'll|3

Check屬性!三

IP地址池|三|

用加或二節(jié)點(diǎn)|_____________|生成節(jié)點(diǎn)花文|刪除節(jié)點(diǎn)一文|保存

刪肝黃—節(jié)點(diǎn)|壟蛆用戶|設(shè)置訪問時(shí)間|刪除代理主機(jī)|退出

圖1-14編輯代理主機(jī)

填寫“代理主機(jī)名稱”和“IP地址”，這個(gè)地方還要勾選“向所有用戶開放二保存退

出，到此代理機(jī)就添加完成。

接下來(lái)，就是要生成配置文件文件。該文件在后期安裝客戶端的時(shí)候使用到。我們臨時(shí)

將其臨時(shí)放在桌面。

在菜單欄上邊點(diǎn)擊“代理機(jī)主機(jī)管理”選擇“導(dǎo)出配置文件”。

圖1-15導(dǎo)出配置文件

將配置文件文件臨時(shí)放到桌面保存。

圖1-16保存配置文件

單擊“保存”這樣客戶端的配置文件制作完成。

L1.4添加用戶

在管理畫面上邊，在樹列表區(qū)選擇“管理員”，然后在信息列表區(qū)，單擊鼠標(biāo)右鍵選擇

“增加用戶”。

圖1-17增加用戶

假如我們添加一個(gè)用戶cc,并且給它分配令牌如下顯示:

圖1-18編輯添加用戶

填寫賬號(hào)，用戶名，分配一個(gè)令牌，最后勾選“在所有代理機(jī)上激活”，單擊“保存二

一個(gè)用戶添加完成。

1.2安裝標(biāo)準(zhǔn)認(rèn)證客戶端

將安裝認(rèn)證服務(wù)器時(shí)保存的配置文件“二復(fù)制到客戶端（工作站）。假設(shè)我們?nèi)匀环诺?/p>

桌面上。為了保證客戶端和認(rèn)證端是連接正常，安裝程序前最好ping測(cè)試一下。如果連接

正常，開始安裝程序。

雙擊安盟ACEAgent中的文件，會(huì)出現(xiàn)下面的畫面

InstallShiel4fixard2SJ

玖卻使用AIAe?i>tTVi<>rd

Inst?115hi?ld（X）Viztrd將在計(jì)It機(jī)中安蓊

熄MentT。若要縛分，語(yǔ)單擊“下一岳”。

壓三盟坡）1取消|

圖1-19

選擇“下一步”繼續(xù)安裝

AlAecnt?-Ins^allShieldTizard

圖1-20

將剛才保存在桌面上的文件導(dǎo)入，單擊“下一步二現(xiàn)在程序開始安裝。屏幕會(huì)顯示安

裝進(jìn)度的畫面。

圖1-21

客戶端安裝完成。

1.1.5測(cè)試標(biāo)準(zhǔn)的客戶端

進(jìn)入控制面板打開客戶端，在開始今所有程序令anmeng會(huì)出現(xiàn)下面的畫面

安密認(rèn)證客戶載管理署

圖1-22

點(diǎn)擊“認(rèn)證測(cè)試”

圖1-23

單擊“認(rèn)證”

提示兇

認(rèn)證成功！

仁二確定二胃

圖1-24

身份認(rèn)證成功，到此身份認(rèn)證客戶端，就可以正常使用了。

2本地認(rèn)證保護(hù)的設(shè)置與應(yīng)用

1.3本地認(rèn)證保護(hù)的設(shè)置

i增加用戶，添加需要保護(hù)的賬戶。

圖2-1

用戶名就是需要驗(yàn)證的登錄賬號(hào)，主機(jī)密碼為windows設(shè)置的灣碼，預(yù)留口令是指當(dāng)

客戶端無(wú)法與認(rèn)證服務(wù)器聯(lián)系，會(huì)提示用戶輸入預(yù)留的口令密碼。

點(diǎn)擊〈確定〉保存,完成添加用戶操作，保存所有配置。

2啟動(dòng)認(rèn)證

安密認(rèn)證客戶栽管理涔

增加用戶編輯用戶刪除用戶

認(rèn)證則試保存配置退出

保存配置。將認(rèn)證客戶端狀態(tài)設(shè)置成啟動(dòng)，退出系統(tǒng)，認(rèn)證保護(hù)生效。

1.4本地認(rèn)證保護(hù)的應(yīng)用

完成上邊的過程，重新啟動(dòng)系統(tǒng)后，就會(huì)出現(xiàn)下邊的一個(gè)安盟SecurlD的對(duì)話框。

圖2-2

依次輸入用戶名和動(dòng)態(tài)口令點(diǎn)擊〈登錄〉，即可實(shí)現(xiàn)登錄驗(yàn)證保護(hù)的功能。

3認(rèn)證日志排錯(cuò)

選擇開始分程序令安盟認(rèn)證服務(wù)器8.0今認(rèn)證日志查看器，在經(jīng)過權(quán)限驗(yàn)證后（只有管理

員級(jí)別的用戶方可查看該日志），可查看認(rèn)證日志，如下圖：

應(yīng)用按名，爾

fQInCemMExp*Of?f□命令■小種

aWindomServerpg.(i?wa.uaa&Mi

.■dnaMwai.幢麗n

Rffi誓2.Bi*m

■HUB汶田?

.Windows用iSCSIXieWf9

■,PowvrShdl

⑦RADIUSI”ooecw?02

，付)

■aM

識(shí)找.WtLHwmasaooecttioM

3SB忖)

IMH右育,惠,Wcdows

NPowvrShdl(?M)

?安盟雙因素身份認(rèn)證系統(tǒng)V7.0—認(rèn)證日志查科器-Demo（主服務(wù)器）

系統(tǒng)日志雪理報(bào)告（R）

用戶對(duì)?I維票I

2018-03-1219:52:17adminstrator192.168.1201靜態(tài)口令

2018-03-1222:40:08adminstrator192.168.1.201靜態(tài)口令

2018-03-1223X)3:28admin192.168.1.201wax定力正■

2018-03-1223:04:52admin192.168.1201定碼不正.

2018-03-1223:05:43admin192.168.1.201用戶已被禁用

2018-03-1223:06:32admin192.168.1.201厄口令

12018-03-1223^)6:47admin192.168.1.201缶碼不正.

如果用戶登錄有問題，或者在測(cè)試時(shí)，都可以通過查看認(rèn)證日志，找到問題所在。

常見的認(rèn)證日志錯(cuò)誤及解決辦法如下所示:

3.1密碼不正確

認(rèn)證信息如下：

2018-03-1223:04:52admin192.168.1201密碼不正.

解決辦法:

I.如果是所有登錄某個(gè)代理主機(jī)的用戶均報(bào)密碼不正確，請(qǐng)確定代理主機(jī)對(duì)接的協(xié)

議：

a）如果是RADIUS協(xié)議，請(qǐng)確保雙方的RADIUS共享密鑰一致。

b）如果是SECURID協(xié)議，請(qǐng)清除代理主機(jī)上的節(jié)點(diǎn)密文。

2.請(qǐng)確保用戶的密碼類型，

a）如果是靜態(tài)密碼，請(qǐng)確保靜態(tài)密碼沒有過期，并重置密碼。

張?zhí)栭_戶日期|2018-03-12「需用戶更換口令「用戶禁用

黑號(hào)開始日期修01873T2"二|口令微止日期"017-02T2,二|

最近登錄時(shí)間|2018-03-1223:06:32過期，請(qǐng)延期~

b）動(dòng)態(tài)密碼

i.請(qǐng)確保用戶令牌的狀態(tài)為可用狀態(tài);

ii.請(qǐng)確保用戶的令牌沒有過期；

111.請(qǐng)重置令牌的PIN碼，并同步令牌。

3.2用戶不在代理主機(jī)上

認(rèn)證信息如下:

2018-03-090029:03|root|192.168.1.103||用戶程

解決辦法：

1.根據(jù)日志信息中的操作主機(jī)信息，請(qǐng)確保192.168.1.103已經(jīng)添加成為了代理主

機(jī)，如果尚未添加，請(qǐng)根據(jù)6.2添加代理主機(jī)中所描述的步驟進(jìn)行增加。

2.如果已經(jīng)把192.168.1,103添加成了代理主機(jī)，請(qǐng)確保代理主機(jī)向root用戶開放了

訪問權(quán)限，可根據(jù)6.5激活代理主機(jī)小節(jié)中所描述的內(nèi)容進(jìn)行授權(quán)。

3.3需要設(shè)置新PIN碼

2018-03-1309:42:05admin192.168.1.20100000046127119若要設(shè)置新PIN碼

2018-03-1309:43:05test192.168.1201靜態(tài)口令有要設(shè)置新PIN請(qǐng)

I）當(dāng)認(rèn)證對(duì)象為令牌序號(hào)時(shí)，表示用戶的令牌模式鉤選了使用PIN,但尚未設(shè)置PIN

碼，或者是用戶令牌的狀態(tài)為新PIN模式，如下圖所示：

解決方法:

a）在編輯令牌窗口，點(diǎn)擊編輯PIN碼按鈕，手動(dòng)設(shè)置PIN碼，并將令牌的狀態(tài)設(shè)置

為啟用狀態(tài)。

b）通過認(rèn)證代理軟件或支持RADIUS挑戰(zhàn)應(yīng)答的工具，并根據(jù)提示設(shè)置PIN碼，如

下圖所示：

R*dlu,客戶超.|支持挽戰(zhàn)/應(yīng)答認(rèn)證菽］

請(qǐng)缽入用戶名：adRin

197518

Responsepacket：

1Code■Access-ChaHenge<11>

1ID-0

2Length?121

16RequestAuthenticator-<80428064Id6261368afb8c2f51Id58e9>

44Rcply-tlcssAge<18>?"EnteranewPINhavingfnon4to8digits:**

57State<24>-0AUTH.0-Rf?Hc?A?Rlc9ef35db?lc9beS6c997c929300*bcacbffc53M

EnteranewPINhavingfron4to8di9its：：abcdl234"

Responsepacket：

1Code■Access-Accept<2>

1ID-1

2Length?37

16RequestAuthenticator-<ba81562c499b8b7ffB1927la11fl446d>

17Reply-Hessasre<18>-,(PASSCODEAccept0

PIN設(shè)置成功，在認(rèn)證Fl志中，將新生成一條設(shè)置新PIN碼成功的Fl志，如下圖所示:

201803-1309:51^)8admin192.168.1.20100000046127119設(shè)置新PIN碼成功

3.4需要下一個(gè)令牌碼

201803-131Ch03:41admin192.168.1.20100000046127119

當(dāng)用戶令牌的模式鉤選了啟用下一令牌碼，且令牌的狀態(tài)為下一令牌碼時(shí)，在用戶輸入

正確的PIN碼+令牌碼后，會(huì)提示需要下一個(gè)令牌碼，如下圖所示:

輛令牌

令I(lǐng)t^0C300046127119

P|?dain

令慎6用時(shí)同|2017-06-W-

令0關(guān)雨時(shí)日|20J8-05-08~

.近登錄/II用時(shí)同|2019-03-13100441-

令普奧0|128位收件~令聲碼位效[6—

余次Ik|1分"狀速|(zhì)下

◎梁生奧次?[0pixa|*SH

令0虢式狀在設(shè)置

P啟用一次一生。自用

C*用

P使用P1M

CjjPIJiUl式

|P啟用下一令呵

r啟用遇倩

解決辦法:

a）在編輯令牌窗口，將令牌的狀態(tài)設(shè)置為啟用狀態(tài)，并保存。

b）通過認(rèn)證代理軟件或支持RADIUS挑戰(zhàn)應(yīng)答的工具，并根據(jù)提示設(shè)置PIN碼，如

下圖所示：

ludis客戶at|支挎挑成/應(yīng)答認(rèn)證稹式］

請(qǐng)輸入用戶W2

請(qǐng)輸入后襠斗>加“23Ml38k|—PINi什—?

Responsepacket：

1Code■Access-Challenge<11>

1ID-0

2L0ngli-94

16Requestduthenticator■《b6?bdS44a4c9dd093?Stcdc?54f?il16>

17Reply-heasage<18>-<,E-?terNextCode”

57State<24>-MAUTH.0-00decBa801c9e6ff4e3fl2cdf34fd482a7610S84ddfffbaeM

日“rN?xtCo.：785858|

Responsepacket：

1Code-Access-Accept<2>

1ID,1

2Length-37

16RequestAuthenticator-<eb96e28f1cb3194。feb2fB09fd4b26di>

17Reply-Hessage<18>-"PVS8DEAccept0

所謂的下一個(gè)令牌碼，是相對(duì)于用戶登錄時(shí)，所輸入的那個(gè)令牌碼來(lái)講的，假設(shè)有

以下5個(gè)令牌碼：

387212413870785858341375901562

假設(shè)，用戶在登錄時(shí)，輸入的密碼是abed,其中，abcdl234是PIN碼，413870是

令牌碼，那么，等413870變化之后的第一個(gè)令牌碼，就是下一個(gè)令牌碼，即785858。

下一個(gè)令牌碼驗(yàn)證成功之后，在認(rèn)證日志中，將新生成一條登錄成功的日志，如下

圖所示：

2018-03-131003:41admin192.168.1.20100000046127119需要下一^^?符碼

2018-03-1310^)4:08|admin|192.168.1201100000046127119

3.5沒有可用的令牌

2019-03-1310:1503admin192.168.1201沒有可用的令牌

當(dāng)用戶在登錄的時(shí)候，輸入了正確的PIN碼+正確的令牌碼，得到?jīng)]有可用的令牌

時(shí)，表示用戶的令牌已經(jīng)過期了。

解決方法：

請(qǐng)為用戶重新分配一個(gè)沒有過期的令牌。

4安裝認(rèn)證備份服務(wù)器

安裝備份服務(wù)器操作步驟:

第一步，在系統(tǒng)/備份服務(wù)器管理/輸入備份服務(wù)器，填入預(yù)作備份機(jī)的IP地址。

圖4-1添加備份服務(wù)器地址

單擊“生成備份服務(wù)器數(shù)據(jù)走”,

圖4-2生成備份數(shù)據(jù)包

此時(shí)，在主認(rèn)證服務(wù)器上生成一個(gè)包，在安裝認(rèn)證服務(wù)器默認(rèn)路徑下會(huì)出現(xiàn)一個(gè)

replicaDB備份包(例如：C