网神SecSSL 3600安全接入网关-管理手册
4.2系统管理员
管理员帐号仅支持本地数据库认证和采用证书进行认证。系统默认管理员帐号为:admin,密码为:admin。
点击“帐号 >管理员帐号”可以看到管理员帐号列表,选择其中一个,或点击“添加”可打开管理员帐号配置界面。
管理员有三种类型:系统,配置,审计。它们的权限分别如下 (R=读;W=写):
菜单 系统 子菜单 信息 许可 配置文件 证书 安全 日期和时间 IP主机 其他 管理员帐号 其他 在线用户 其他 升级 重启 功能 自定义 向导 工具 系统 R RW R RW RW RW RW RW R R RW R R R R R R R R RW RW RW RW -- R 配置 R R RW R RW R R R RW RW -- RW RW RW RW RW RW RW R R RW RW RW RW R 审计 R -- -- -- -- R -- -- -- -- -- -- -- -- -- -- -- R RW -- -- -- -- -- -- 网络 高可用性 网络连接 帐号 认证 服务 授权 客户端安全 端对端互联 日志与监控 维护
网神SecSSL 3600提供了四种管理员访问配置界面的方式:HTTPS, SSH, console, SNMP。管理员可以为每一个管理员指定访问方式。
管理员可能被锁定,分为两种情况:
第一种是系统管理员手动在管理页面上锁定该帐号 ,而该帐号也只能被手动解锁;
安全源于管理 管理驱动安全 14
网神SecSSL 3600安全接入网关-管理手册
第二种是管理员登入系统时出现连续3次密码错误,被锁定的帐号即可以被手动解锁,也可能在一定时间后被系统自动解锁,该时间由“系统 > 安全 > 锁定周期”选项决定。
在管理员登入系统之后,若一段时间不访问系统,那么系统会自动让该管理员下线,这一段时间可在“超时”字段中进行设置。
4.3用户生命周期
在网神SecSSL 3600中,一个帐号具有一定的生命周期,其中的操作和状态包括:添加用户;用户有效;用户禁止;用户在线;锁定用户;用户过期;删除用户。
4.3.1 添加用户
添加用户有多种方式,如下:
1. 点击“帐号 > 用户帐号 > 添加”
在添加用户的页面中可以有两种添加用户的方式: a) 添加本地密码帐号;凭证=密码;认证服务器=本地;
b) 添加本地证书+密码帐号;凭证=证书;认证服务器=证书认证服务器;
一次上传多个证书文件,则使用ZIP格式把多个证书压缩在一个文件中。采用上传证书压缩文件的方式添加多个证书用户,则每一个用户的名称为证书中的DN。
2. 手动添加远程帐号 添加认证服务器,并且不下载帐号,当该认证服务器中的用户登入系统之后,网神SecSSL 3600会在系统中自动添加该用户,并且该用户会继承认证服务器对应组的权限;
也可以在上图页面上添加远程用户,设置名字,不需要设置密码,选择认证服务器为某一个远程认证服务器。
3. 点击“帐号 > 用户帐号 > 批量添加” 通过上传一个包含了所需添加账号用户名的文件可批量添加用户;此用户名文件中的账号若有密码,则勾选上“包括密码”单选框。注意仅可批量添加本地密码用户。
上传的用户名文件必须保存为.txt 格式。每一行代表一个账号,以回车键分行。用户名和密码必须以空格分隔。
4. 从远端服务器下载用户帐号 管理员可以使用认证服务器的管理功能来下载远端服务器的用户帐号。目前网神SecSSL 3600支持从AD和LDAP服务器下载用户帐号或用户组。详情清参考5.3和5.4节。
安全源于管理 管理驱动安全 15
网神SecSSL 3600安全接入网关-管理手册
4.3.2 用户有效/禁止/锁定
针对每一个帐号,管理员可以设置其是否有效,点击“帐号->用户帐号”选择添加一个新帐号或者编辑一个已有帐号,进入帐号管理页面,点开“高级”,如图所示:
被禁止和锁定的帐号无法登入系统。
4.3.3 用户在线
无论何种用户,只要认证通过登入系统,那么就可以在“日志与监控 > 在线用户”的列表中看到该用户。
4.3.4 锁定用户
用户的账号可以被锁定,而锁定的原因有两种:
第一是系统管理员手动在管理页面上锁定该用户。被手动锁定的用户必须由管理员解锁;
被系统自动锁定的帐号会在被锁定后一段时间后自动解锁,也可以由管理员手动解锁。该时间由“系统 > 安全 > 锁定周期”选项决定。若账号是由管理员锁定的话,则必须由管理员手动解除锁定。
管理员可以在“帐号 > 锁定帐号”中查看锁定的用户列表。
4.3.5 用户过期
针对每一个帐号,管理员可以设置其有效期,点击“帐号 > 用户帐号”选择添加一个新帐号或者编辑一个已有帐号,可进入帐号管理页面,点开“高级”:
安全源于管理 管理驱动安全
16
网神SecSSL 3600安全接入网关-管理手册
管理员可以设置该帐号的有效时间,即在有效时间内该帐号方可登入系统使用系统的服务,否则不能登入。
4.3.6 删除用户
要删除一个帐号,可通过“帐号 > 用户帐号”进入用户列表,然后选择要删除的帐号,再点击【删除】按钮即可。若是该用户已经登入并且正在使用系统,那么该用户会被立即从在线用户列表中清除,而用户正在使用的所有服务连接也会立即中断。
4.4用户和组的关系
网神SecSSL 3600中有用户和组,每个用户可以属于多个组,也可以不属于任何组。
网神SecSSL 3600在对用户进行授权时,除了考虑用户直接关联的角色,还会考虑用户所属的全部组的角色,包括用户所属组的父组的角色。父组基本上是一个已配置好的用户组。当一个新增的用户组被配置至-个或多个父组,此用户组将继承其父组的属性。
网神SecSSL 3600中管理员可以通过“帐号 > 组”添加组,系统也会在添加了远程认证服务器之后自动增加一个同名组。这样管理员可以针对与认证服务器同名的组进行授权,从而简化授权管理的工作。
网神SecSSL 3600中组采用树型结构,即一个组可以有父组,也可以没有父组,一个组只能有一个父组。一个组可以作为多个组的父组。
添加一个组需要选择属于该组的用户,该组适用的角色和他的父组。比如,系统中添加了group1, group1具备角色role1, 添加用户user1,其具备角色role2,并设置user1属于组group1,那么用户user1将会具备的角色将是role1,role2。
在“帐号 > 用户帐号”中点击用户列表“关系结构”列中的
图标,可查看相应的用户在系统中的
关系结构图。将显示用户所属的组、被分配的角色及用户属性和条件。
安全源于管理 管理驱动安全 17
网神SecSSL 3600安全接入网关-管理手册
第5章 认证
作为一个VPN网关,网神SecSSL 3600提供了对远端用户做认证,授权和访问控制的功能。网神SecSSL 3600不仅提供了内部用户认证数据库(本地认证服务器),支持使用证书和SMS(短消息服务)做认证,更融合了一些通用的第三方认证服务系统,如:Raduis,Windows AD和LDAP。 本章将介绍如何配置这些认证方法。
5.1使用本地认证服务器
网神SecSSL 3600系统内部认证服务器可以设置密码长度,点击“认证 > 本地”可打开页面:
系统用户的密码长度必须在6-32个字符之间。
5.2使用证书作为认证凭证
网神SecSSL 3600允许远程客户使用证书作为认证的凭证。网神SecSSL 3600使用证书信任链的方式管理信任关系。在系统中可添加多个可信CA,点击“认证 > 可信CA”页面选择【添加】按钮可打开页面:
在“证书”字段输入可信CA的证书链,CRL 选项标示该CA是否使用CRL来对客户端证书进行认证。对每一个可信CA,网神SecSSL 3600支持多种CRL获取方式,可以导入CRL文件,也可以设置FTP、HTTP路径由网神SecSSL 3600自动获取,还可以依据CA证书中携带的CRL发布点信息来自动获取CRL信息。
安全源于管理 管理驱动安全 18