安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)

用戶手冊(cè)

四川安盟電子信息安全有限責(zé)任公司

2022年12月

目錄

1系統(tǒng)介紹..............................................錯(cuò)誤!未定義書簽。

2配置前的準(zhǔn)備..........................................錯(cuò)誤!未定義書簽。

2.1網(wǎng)絡(luò)要求..........................................錯(cuò)誤!未定義書簽。

2.2在認(rèn)證服務(wù)器上的配置.............................錯(cuò)誤!未定義書簽。

2.3對(duì)接系統(tǒng)的準(zhǔn)備工作...............................錯(cuò)誤!未定義書簽。

3常見系統(tǒng)與安盟的對(duì)接配置..............................錯(cuò)誤!未定義書簽。

3.1華為SVN系統(tǒng)....................................錯(cuò)誤!未定義書簽。

3.1.1配置RADIUS服務(wù)器.........................錯(cuò)誤!未定義書簽。

3.1.2配置認(rèn)證授權(quán)方式...........................錯(cuò)誤!未定義書簽。

3.1.3登錄測試....................................錯(cuò)誤!未定義書簽。

3.2華為0C系統(tǒng)......................................錯(cuò)誤!未定義書簽。

3.2.1配置RADIUS服務(wù)器........................錯(cuò)誤!未定義書簽。

3.3天融信運(yùn)維安全審計(jì)系統(tǒng)...........................錯(cuò)誤!未定義書簽。

3.3.1配置RADIUS服務(wù)器.........................錯(cuò)誤!未定義書簽。

3.3.2配置用戶的登錄認(rèn)證方式.....................錯(cuò)誤!未定義書簽。

3.3.3登錄測試....................................錯(cuò)誤!未定義書簽。

4對(duì)接常見問題..........................................錯(cuò)誤!未定義書簽。

4.1沒有認(rèn)訐日志......................................錯(cuò)誤!未定義書簽。

4.2密碼不正確........................................錯(cuò)誤!未定義書簽。

4.3其他日志..........................................錯(cuò)誤!未定義書簽。

1系統(tǒng)介紹

安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)的體系結(jié)構(gòu)如下圖所示:

令牌代理主機(jī)認(rèn)證服務(wù)器

安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)由三部分構(gòu)成：認(rèn)證服務(wù)器、代理主機(jī)及認(rèn)證令牌，從圖中

可以看出這三部分在實(shí)際應(yīng)用中對(duì)應(yīng)的具體內(nèi)容。認(rèn)證服務(wù)器的功能，簡單來說，是集中管理

用戶、認(rèn)證令牌、代理主機(jī)及三者之間的對(duì)應(yīng)關(guān)系；代理主機(jī)在真實(shí)環(huán)境中就是那些需要使用

雙因素身份認(rèn)證系統(tǒng)來保護(hù)的第三方系統(tǒng)（包括路由器、交換機(jī)、VPN/SVN設(shè)備、Windows/Unix

主機(jī)及服務(wù)器、業(yè)務(wù)系統(tǒng)等）；認(rèn)證令牌實(shí)際就是指用戶。

安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)采用國際標(biāo)準(zhǔn)的RADIUS認(rèn)證協(xié)議，兼容支持SecurlD工業(yè)

事實(shí)標(biāo)準(zhǔn)，并提供相關(guān)管理功能接口，以及提供整合應(yīng)用的各種版本的API,因此，第三方應(yīng)

用系統(tǒng)（包括路由器、交換機(jī)、VPN/SVN設(shè)備、Windows/Unix主機(jī)及服務(wù)器、業(yè)務(wù)系統(tǒng)等）

如果需要和安盟雙因素身份認(rèn)證系統(tǒng)進(jìn)行整合，可以采用RADIUS.SECURID和嵌入API這

三種方法中的任何一種。

2配置前的準(zhǔn)備

2.1網(wǎng)絡(luò)要求

安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)的Radius服務(wù)默認(rèn)監(jiān)聽的端口是UDP1812和UDP1813,因

此，在配置之前，請(qǐng)確定待對(duì)接系統(tǒng)和認(rèn)證服務(wù)器之間是否有防火墻，如果有，請(qǐng)?jiān)诜阑饓ι?/p>

開通UDP1812和UDP1813,讓待對(duì)接系統(tǒng)可以訪問到認(rèn)證服務(wù)器的這兩個(gè)端口。

2.2在認(rèn)證服務(wù)器上的配置

安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)的安裝，請(qǐng)參考〈＜安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)-部署手

冊(cè).docx＞＞。

安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)的管理配置，請(qǐng)參考VV安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)■巡檢維

護(hù)手冊(cè).docx>>。

在進(jìn)行對(duì)接之前，請(qǐng)?jiān)谡J(rèn)證服務(wù)器上做以下配置：

1）查看認(rèn)證服務(wù)器的防火墻是否開啟，如有開啟，請(qǐng)關(guān)閉防火墻或開放UDP1812和UDP

1813。

2）請(qǐng)安裝好安盟認(rèn)證系統(tǒng)，并導(dǎo)入令牌種子文件；

3）將待對(duì)接系統(tǒng)的地址加入到安盟認(rèn)證系統(tǒng)中（即添加代理主機(jī)）。

注：添加代理主機(jī)時(shí)，必須設(shè)置RADIUS共享密鑰，該密鑰由用戶自定義，密鑰設(shè)置好后，

需要記住，稍后在待對(duì)接系統(tǒng)上配置RADIUS服務(wù)器的時(shí)候，需要用到這個(gè)密鑰。

4）添加測試賬號(hào)，并分配認(rèn)證令牌和授權(quán)其可以訪問待對(duì)接系統(tǒng)（即激活代理主機(jī)）；

5）安裝并激活手機(jī)令牌，硬件令牌用戶請(qǐng)?zhí)^此步驟；

手機(jī)令牌的安裝激活，請(qǐng)參考vv安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)-巡檢維護(hù)手冊(cè).doc>>。

6）打開安盟認(rèn)證日志查看器，以便能實(shí)時(shí)觀察對(duì)接測試情況。

2.3對(duì)接系統(tǒng)的準(zhǔn)備工作

確保待對(duì)接系統(tǒng)已經(jīng)安裝并配置成功，即在沒有和安盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)對(duì)接之前，

系統(tǒng)是可以正常使用的。

在配置之前，確保您有權(quán)限并能正常登錄到待對(duì)接系統(tǒng)的后臺(tái)管理進(jìn)行相關(guān)的配置。

3常見系統(tǒng)與安盟的對(duì)接配置

注意:第三方系統(tǒng)在與安盟系統(tǒng)進(jìn)行對(duì)接配置之前，必須先獲取安盟認(rèn)證系統(tǒng)的對(duì)接信息，

包括：主備認(rèn)證服務(wù)器的IP地址（或Vip）,Radius認(rèn)證端口，Radius共享密鑰，請(qǐng)確保您已經(jīng)

根據(jù)“配胃前的準(zhǔn)備”小節(jié)中所描述的內(nèi)容做好了相關(guān)的準(zhǔn)備工作。

3.1華為SVN系統(tǒng)

3.1.1配置RADIUS服務(wù)器

登錄到SVN系統(tǒng)的后臺(tái)管理界面，點(diǎn)擊頁面右上角虛擬網(wǎng)關(guān)的下拉框，選擇用戶自定義的

虛擬網(wǎng)關(guān)（如果沒有，請(qǐng)先創(chuàng)建），如下圖中的“huawei”：

當(dāng)前用戶：-y18交保存都助美于做密碼注請(qǐng)

婀關(guān)

root

huwei

TTUQ

切換虛擬網(wǎng)關(guān)之后，請(qǐng)先點(diǎn)擊頁面上方的SSLVPN,然后再點(diǎn)擊“認(rèn)證授權(quán)—>RADIUS

服務(wù)器”，并按照卜圖中的序號(hào)進(jìn)行操作:

在Radius服務(wù)器配置頁面，配置安盟雙因素認(rèn)證系統(tǒng)的信息，其中共享密鑰對(duì)應(yīng)在安盟認(rèn)

證系統(tǒng)上添加代理主機(jī)時(shí)所設(shè)置的Radius共享密鑰，該密鑰由用戶自定義，且兩端的密鑰要設(shè)

置成一樣。

安盟雙因素認(rèn)證系統(tǒng)的信息配置好后，點(diǎn)擊“應(yīng)用”按鈕保存配置。

然后再點(diǎn)擊“檢測”按鈕，通過認(rèn)證測試來驗(yàn)證上面設(shè)置的信息是否正確。

注意：認(rèn)證測試所采用的賬號(hào)和密碼，都需要在安盟認(rèn)證系統(tǒng)上預(yù)先設(shè)置好。認(rèn)證測試的

時(shí)候，請(qǐng)打開安盟認(rèn)證日志，以觀察認(rèn)證測試的情況。

3.1.2配置認(rèn)證授權(quán)方式

點(diǎn)擊”認(rèn)證授權(quán)，認(rèn)證授權(quán)方式”，根據(jù)認(rèn)證授權(quán)策略配置認(rèn)證授權(quán)的優(yōu)先級(jí)。

認(rèn)證授權(quán)的配置有以下幾個(gè)：

?任意一組認(rèn)證授權(quán)方式通過

?全部認(rèn)證授權(quán)方式通過

?按優(yōu)先級(jí)選擇第一組可用的認(rèn)證授權(quán)方式

在啟用雙因素認(rèn)證后，應(yīng)該只允許用戶通過動(dòng)態(tài)密碼來登錄SVN系統(tǒng)，而不能允許用戶采

用靜態(tài)密碼來登錄SVN系統(tǒng)，因此，配置認(rèn)證方式時(shí)，請(qǐng)將RADIUS認(rèn)證的優(yōu)先級(jí)設(shè)置最高，

或只保留RADIUS認(rèn)證（僅供參考，相關(guān)配置請(qǐng)根據(jù)公司的安全策略來定義），如卜圖所示:

Huawei后臼與享

SVN5630

訴"SttSSIE

wu?彼偏方K

aARA

cKuaHHP■w同awm科

2,RAD<UW^aHitVM*錄

ZioAawa從良機(jī)WBIf電疫收城值危

工S?cul(W?

H止不■于但何便aam戶費(fèi)累,??*”外/?校用戶?享均段則戶不w》

正2■方號(hào)

向_也.在然EW

iMBMMftftHtUSMmOMMUIBNOMM，:WMAMUMmMUaNMK

□越證號(hào)帽!

□姮口水皿

aw?3方盧“1方4

□

②

□twwerxRADIUSvRADIUSY

2jVJcd

□0?現(xiàn)

3-HONC-a-NONE??*

至此，SVN系統(tǒng)和安盟雙因素認(rèn)證系統(tǒng)的整合己經(jīng)完成，接下來要做登錄測試。

3.1.3登錄測試

打開SVN系統(tǒng)的SSLVPN登錄頁面，輸入用戶名和密碼（動(dòng)態(tài)密碼）進(jìn)行登錄，如下圖

所示：

SSLVPN

HUAWei

不費(fèi)不安，證書可以極融波全?叁極示衽.**助

于城甘仍（地度.KUMFS?巨線￡務(wù)定衛(wèi)

如索京使用口卷USBKenE^HUb誦夫KL入U(xiǎn)SB3

珂訪河在貢御*6入U(xiǎn)Sfi叼后喻本為西?

動(dòng)態(tài)密碼有以下兩種情況；

1.如果登錄賬號(hào)的令牌已經(jīng)設(shè)置好了PIN碼，那么登錄時(shí)的密碼是PIN碼+令牌上顯示的6

位令牌碼。假設(shè)PIN碼是1234,令牌碼是234528,那么登錄密碼就是。

2.如果登錄賬號(hào)的令牌尚未設(shè)置好PIN碼，那么登錄時(shí)的密碼請(qǐng)直接輸入令牌上顯示的6位

令牌碼，SVN系統(tǒng)會(huì)提示您輸入驗(yàn)證碼，如下圖所示：

SSLVPN

MUAWCI

請(qǐng)輸入驗(yàn)證科及交皿■黃

這實(shí)際是讓您設(shè)置一個(gè)PIN碼，請(qǐng)輸入一個(gè)4至8位的PIN碼，可數(shù)字和字母組合，PIN

碼設(shè)置成功之后，以后您再登錄的時(shí)候，就是第一種情況，即動(dòng)態(tài)密碼=PIN碼+令牌碼。

備注：PIN碼是雙因素認(rèn)證不可缺少的重要組成部分，手動(dòng)設(shè)置PIN碼的方法請(qǐng)參考vv安

盟雙因素認(rèn)證基礎(chǔ)服務(wù)平臺(tái)?巡檢維護(hù)手冊(cè).docx>>中“5.5重置PIN偈”小節(jié)。

關(guān)于SVN系統(tǒng)更為詳細(xì)的配置，請(qǐng)參考SVN系統(tǒng)的相關(guān)文檔。

3.2華為OC系統(tǒng)

3.2.1配置RADIUS服務(wù)器

登錄到OC系統(tǒng)的后臺(tái)管理界面，點(diǎn)擊頁面上方的系統(tǒng)管理，安全設(shè)置，如下圖所示：

日口》"童?

達(dá)維地圖fAM

在安全設(shè)置的遠(yuǎn)程認(rèn)證配置中，選擇RADIUS認(rèn)證，輸入安盟系統(tǒng)的IP地址、端口號(hào)（默

認(rèn)證1812）及共享密鑰（如果尚未設(shè)置，請(qǐng)先自定義一個(gè)，并記錄下來），如下圖所示：

?MUMmaouotiM*S￡S國女化a幻化CMD8pragXA.

認(rèn)證配置

不皿證LDMU證

aMV.vZEI磯本信息

ssou?主mpg出OIPv4OFv6

25.83.241.140

1812

OVM02

■?舒,叩t25.83.242.152

?KffBAC：1912

■WiRCOCHAPPAPOM$<HAPv2Two-Uctor

-1

?共享E：1——

文冷和:?

接著，在響應(yīng)報(bào)文中，選擇“使用本地用戶組綁定關(guān)系”（如需選擇其他項(xiàng)，請(qǐng)查閱OC系

統(tǒng)管理員文檔），然后點(diǎn)擊頁面右下方的“測試”按鈕，將彈出連接測試頁面，如下圖所示：

9M電”?

itH

開Brt?:

請(qǐng)求修文連擂》做

血.…:廠

??w

值定自定義■?：O

?定

加修文

從皿《?物障吩國G定關(guān)凄

從白國義■任中麗用戶?牘美事

在連接測試頁面，輸入安盟系統(tǒng)上的用戶名和密碼（如果是動(dòng)態(tài)密碼，需先輸入PIN碼,

然后接著輸入令牌碼），并采用審計(jì)管理員（如auditadmin）登錄安盟系統(tǒng)查看認(rèn)證日志，觀察

是否有測試日志。

下圖中jjztest為測試時(shí)顯示的結(jié)果，提示“用戶不在代理主機(jī)上”，表示OC系統(tǒng)尚未在

安盟系統(tǒng)的代理主機(jī)中注冊(cè)，請(qǐng)采用系統(tǒng)管理員或安全管理員登錄安盟認(rèn)證系統(tǒng)添加代理主機(jī)

（其中Radius密鑰應(yīng)該和0C上設(shè)置的共享密鑰一致），并設(shè)置向所有用戶開放，如下圖所示：

認(rèn)證時(shí)間▼認(rèn)證用戶認(rèn)證主機(jī)受影晌對(duì)象認(rèn)證結(jié)果認(rèn)證來源來源也址租戶名稱

2022-12-0117:57:27t11192.168.1.9用戶不在代理主機(jī)上-adius192.168.1.150公共資源區(qū)

RnjmEnjG^=資涯樂統(tǒng)RADIUS及性RtBWff

McurityJL

8!?W?

impiw

，令0省l?radiui-tdt-9一自定義

仲才磯情理

?但主眠192」網(wǎng).9j必須和認(rèn)證日志中的認(rèn)證地址一致

1B3SWS

RADmsew

自定義，但必須和0C上設(shè)置的一致

fii否向所杓用戶開放

蝕式自用新PIN懵式層用下令刖啟用0伍自用用戶在樹8制

提交保存

請(qǐng)確保在OC上做認(rèn)證測試并測試成功，然后點(diǎn)“應(yīng)用”按鈕啟用RADIUS認(rèn)證策略。

至此，0C系統(tǒng)和安盟雙因素認(rèn)證系統(tǒng)的整合已經(jīng)完成，接下來就可以安盟系統(tǒng)的賬號(hào)登

錄0C系統(tǒng)了。

3.3天融信運(yùn)維安全審計(jì)系統(tǒng)

3.3.1配置RADIUS服務(wù)器

登錄到天融信運(yùn)維安全審計(jì)系統(tǒng)的后臺(tái)管理界面，按照下圖中的序號(hào)進(jìn)行操作，配置第三

方OTP服務(wù)器的信息，如下圖所示：

濟(jì)M90?代??ee至???3■?3D2m1卬■?[XRWhW-T'>芳3?"1<9?￡

1??■urtU

，w：

-t

|■uOTIW|2

*

?3yl

?S3—

.MM

■EE

-e今點(diǎn)

￡.R<MA

丈

y

1

;emeu

.SYSLOCCfl

其中，OTP服務(wù)器主機(jī)地址對(duì)應(yīng)的是安盟認(rèn)證系統(tǒng)的主服務(wù)器的地址，OTP服務(wù)器備機(jī)地

址對(duì)應(yīng)的是安盟認(rèn)證系統(tǒng)的備份服務(wù)器的地址，OTP認(rèn)證端口對(duì)應(yīng)的是安盟認(rèn)證系統(tǒng)RADIUS

服務(wù)的認(rèn)證端口（默認(rèn)是1812）,OTP認(rèn)證方法為PAP,通信密鑰對(duì)應(yīng)的是RADIUS共享密鑰。

信息設(shè)置好后，請(qǐng)點(diǎn)擊保存按鈕，讓其生效。

3.3.2配置用戶的登錄認(rèn)證方式

然后在用戶管理下，找到需要后用安盟認(rèn)證的用戶，修改它的登錄認(rèn)證方式，如下圖所示:

編輯用戶，設(shè)置用戶的登錄認(rèn)證方式為OTP認(rèn)證（一次性口令），如下圖所示:

魚日Q利用戶越理設(shè)置用戶口力猊"

設(shè)印戶登錄認(rèn)

□?上口令認(rèn)證

|例,OTP認(rèn)口（一次性口令）

□，證書認(rèn)證

口,AD1?認(rèn)證

設(shè)置完成之后，點(diǎn)擊保存按鈕，讓其生效。

3.3.3登錄測試

打開天融信運(yùn)維安全審計(jì)系統(tǒng)的登錄頁面，您將看到如下界面:

天岫體運(yùn)緞安全審計(jì)系及

天融信

TOF>SEC

&??