安盟雙因素認證基礎服務平臺用戶手冊

安盟雙因素認證基礎服務平臺

用戶手冊

四川安盟電子信息安全有限責任公司

2022年12月

目錄

1系統(tǒng)介紹..............................................錯誤!未定義書簽。

2配置前的準備..........................................錯誤!未定義書簽。

2.1網(wǎng)絡要求..........................................錯誤!未定義書簽。

2.2在認證服務器上的配置.............................錯誤!未定義書簽。

2.3對接系統(tǒng)的準備工作...............................錯誤!未定義書簽。

3常見系統(tǒng)與安盟的對接配置..............................錯誤!未定義書簽。

3.1華為SVN系統(tǒng)....................................錯誤!未定義書簽。

3.1.1配置RADIUS服務器.........................錯誤!未定義書簽。

3.1.2配置認證授權方式...........................錯誤!未定義書簽。

3.1.3登錄測試....................................錯誤!未定義書簽。

3.2華為0C系統(tǒng)......................................錯誤!未定義書簽。

3.2.1配置RADIUS服務器........................錯誤!未定義書簽。

3.3天融信運維安全審計系統(tǒng)...........................錯誤!未定義書簽。

3.3.1配置RADIUS服務器.........................錯誤!未定義書簽。

3.3.2配置用戶的登錄認證方式.....................錯誤!未定義書簽。

3.3.3登錄測試....................................錯誤!未定義書簽。

4對接常見問題..........................................錯誤!未定義書簽。

4.1沒有認訐日志......................................錯誤!未定義書簽。

4.2密碼不正確........................................錯誤!未定義書簽。

4.3其他日志..........................................錯誤!未定義書簽。

1系統(tǒng)介紹

安盟雙因素認證基礎服務平臺的體系結構如下圖所示:

令牌代理主機認證服務器

安盟雙因素認證基礎服務平臺由三部分構成：認證服務器、代理主機及認證令牌，從圖中

可以看出這三部分在實際應用中對應的具體內容。認證服務器的功能，簡單來說，是集中管理

用戶、認證令牌、代理主機及三者之間的對應關系；代理主機在真實環(huán)境中就是那些需要使用

雙因素身份認證系統(tǒng)來保護的第三方系統(tǒng)（包括路由器、交換機、VPN/SVN設備、Windows/Unix

主機及服務器、業(yè)務系統(tǒng)等）；認證令牌實際就是指用戶。

安盟雙因素認證基礎服務平臺采用國際標準的RADIUS認證協(xié)議，兼容支持SecurlD工業(yè)

事實標準，并提供相關管理功能接口，以及提供整合應用的各種版本的API,因此，第三方應

用系統(tǒng)（包括路由器、交換機、VPN/SVN設備、Windows/Unix主機及服務器、業(yè)務系統(tǒng)等）

如果需要和安盟雙因素身份認證系統(tǒng)進行整合，可以采用RADIUS.SECURID和嵌入API這

三種方法中的任何一種。

2配置前的準備

2.1網(wǎng)絡要求

安盟雙因素認證基礎服務平臺的Radius服務默認監(jiān)聽的端口是UDP1812和UDP1813,因

此，在配置之前，請確定待對接系統(tǒng)和認證服務器之間是否有防火墻，如果有，請在防火墻上

開通UDP1812和UDP1813,讓待對接系統(tǒng)可以訪問到認證服務器的這兩個端口。

2.2在認證服務器上的配置

安盟雙因素認證基礎服務平臺的安裝，請參考〈＜安盟雙因素認證基礎服務平臺-部署手

冊.docx＞＞。

安盟雙因素認證基礎服務平臺的管理配置，請參考VV安盟雙因素認證基礎服務平臺■巡檢維

護手冊.docx>>。

在進行對接之前，請在認證服務器上做以下配置：

1）查看認證服務器的防火墻是否開啟，如有開啟，請關閉防火墻或開放UDP1812和UDP

1813。

2）請安裝好安盟認證系統(tǒng)，并導入令牌種子文件；

3）將待對接系統(tǒng)的地址加入到安盟認證系統(tǒng)中（即添加代理主機）。

注：添加代理主機時，必須設置RADIUS共享密鑰，該密鑰由用戶自定義，密鑰設置好后，

需要記住，稍后在待對接系統(tǒng)上配置RADIUS服務器的時候，需要用到這個密鑰。

4）添加測試賬號，并分配認證令牌和授權其可以訪問待對接系統(tǒng)（即激活代理主機）；

5）安裝并激活手機令牌，硬件令牌用戶請?zhí)^此步驟；

手機令牌的安裝激活，請參考vv安盟雙因素認證基礎服務平臺-巡檢維護手冊.doc>>。

6）打開安盟認證日志查看器，以便能實時觀察對接測試情況。

2.3對接系統(tǒng)的準備工作

確保待對接系統(tǒng)已經(jīng)安裝并配置成功，即在沒有和安盟雙因素認證基礎服務平臺對接之前，

系統(tǒng)是可以正常使用的。

在配置之前，確保您有權限并能正常登錄到待對接系統(tǒng)的后臺管理進行相關的配置。

3常見系統(tǒng)與安盟的對接配置

注意:第三方系統(tǒng)在與安盟系統(tǒng)進行對接配置之前，必須先獲取安盟認證系統(tǒng)的對接信息，

包括：主備認證服務器的IP地址（或Vip）,Radius認證端口，Radius共享密鑰，請確保您已經(jīng)

根據(jù)“配胃前的準備”小節(jié)中所描述的內容做好了相關的準備工作。

3.1華為SVN系統(tǒng)

3.1.1配置RADIUS服務器

登錄到SVN系統(tǒng)的后臺管理界面，點擊頁面右上角虛擬網(wǎng)關的下拉框，選擇用戶自定義的

虛擬網(wǎng)關（如果沒有，請先創(chuàng)建），如下圖中的“huawei”：

當前用戶：-y18交保存都助美于做密碼注請

婀關

root

huwei

TTUQ

切換虛擬網(wǎng)關之后，請先點擊頁面上方的SSLVPN,然后再點擊“認證授權—>RADIUS

服務器”，并按照卜圖中的序號進行操作:

在Radius服務器配置頁面，配置安盟雙因素認證系統(tǒng)的信息，其中共享密鑰對應在安盟認

證系統(tǒng)上添加代理主機時所設置的Radius共享密鑰，該密鑰由用戶自定義，且兩端的密鑰要設

置成一樣。

安盟雙因素認證系統(tǒng)的信息配置好后，點擊“應用”按鈕保存配置。

然后再點擊“檢測”按鈕，通過認證測試來驗證上面設置的信息是否正確。

注意：認證測試所采用的賬號和密碼，都需要在安盟認證系統(tǒng)上預先設置好。認證測試的

時候，請打開安盟認證日志，以觀察認證測試的情況。

3.1.2配置認證授權方式

點擊”認證授權，認證授權方式”，根據(jù)認證授權策略配置認證授權的優(yōu)先級。

認證授權的配置有以下幾個：

?任意一組認證授權方式通過

?全部認證授權方式通過

?按優(yōu)先級選擇第一組可用的認證授權方式

在啟用雙因素認證后，應該只允許用戶通過動態(tài)密碼來登錄SVN系統(tǒng)，而不能允許用戶采

用靜態(tài)密碼來登錄SVN系統(tǒng)，因此，配置認證方式時，請將RADIUS認證的優(yōu)先級設置最高，

或只保留RADIUS認證（僅供參考，相關配置請根據(jù)公司的安全策略來定義），如卜圖所示:

Huawei后臼與享

SVN5630

訴"SttSSIE

wu?彼偏方K

aARA

cKuaHHP■w同awm科

2,RAD<UW^aHitVM*錄

ZioAawa從良機WBIf電疫收城值危

工S?cul(W?

H止不■于但何便aam戶費累,??*”外/?校用戶?享均段則戶不w》

正2■方號

向_也.在然EW

iMBMMftftHtUSMmOMMUIBNOMM，:WMAMUMmMUaNMK

□越證號帽!

□姮口水皿

aw?3方盧“1方4

□

②

□twwerxRADIUSvRADIUSY

2jVJcd

□0?現(xiàn)

3-HONC-a-NONE??*

至此，SVN系統(tǒng)和安盟雙因素認證系統(tǒng)的整合己經(jīng)完成，接下來要做登錄測試。

3.1.3登錄測試

打開SVN系統(tǒng)的SSLVPN登錄頁面，輸入用戶名和密碼（動態(tài)密碼）進行登錄，如下圖

所示：

SSLVPN

HUAWei

不費不安，證書可以極融波全?叁極示衽.**助

于城甘仍（地度.KUMFS?巨線￡務定衛(wèi)

如索京使用口卷USBKenE^HUb誦夫KL入USB3

珂訪河在貢御*6入USfi叼后喻本為西?

動態(tài)密碼有以下兩種情況；

1.如果登錄賬號的令牌已經(jīng)設置好了PIN碼，那么登錄時的密碼是PIN碼+令牌上顯示的6

位令牌碼。假設PIN碼是1234,令牌碼是234528,那么登錄密碼就是。

2.如果登錄賬號的令牌尚未設置好PIN碼，那么登錄時的密碼請直接輸入令牌上顯示的6位

令牌碼，SVN系統(tǒng)會提示您輸入驗證碼，如下圖所示：

SSLVPN

MUAWCI

請輸入驗證科及交皿■黃

這實際是讓您設置一個PIN碼，請輸入一個4至8位的PIN碼，可數(shù)字和字母組合，PIN

碼設置成功之后，以后您再登錄的時候，就是第一種情況，即動態(tài)密碼=PIN碼+令牌碼。

備注：PIN碼是雙因素認證不可缺少的重要組成部分，手動設置PIN碼的方法請參考vv安

盟雙因素認證基礎服務平臺?巡檢維護手冊.docx>>中“5.5重置PIN偈”小節(jié)。

關于SVN系統(tǒng)更為詳細的配置，請參考SVN系統(tǒng)的相關文檔。

3.2華為OC系統(tǒng)

3.2.1配置RADIUS服務器

登錄到OC系統(tǒng)的后臺管理界面，點擊頁面上方的系統(tǒng)管理，安全設置，如下圖所示：

日口》"童?

達維地圖fAM

在安全設置的遠程認證配置中，選擇RADIUS認證，輸入安盟系統(tǒng)的IP地址、端口號（默

認證1812）及共享密鑰（如果尚未設置，請先自定義一個，并記錄下來），如下圖所示：

?MUMmaouotiM*S￡S國女化a幻化CMD8pragXA.

認證配置

不皿證LDMU證

aMV.vZEI磯本信息

ssou?主mpg出OIPv4OFv6

25.83.241.140

1812

OVM02

■?舒,叩t25.83.242.152

?KffBAC：1912

■WiRCOCHAPPAPOM$<HAPv2Two-Uctor

-1

?共享E：1——

文冷和:?

接著，在響應報文中，選擇“使用本地用戶組綁定關系”（如需選擇其他項，請查閱OC系

統(tǒng)管理員文檔），然后點擊頁面右下方的“測試”按鈕，將彈出連接測試頁面，如下圖所示：

9M電”?

itH

開Brt?:

請求修文連擂》做

血.…:廠

??w

值定自定義■?：O

?定

加修文

從皿《?物障吩國G定關凄

從白國義■任中麗用戶?牘美事

在連接測試頁面，輸入安盟系統(tǒng)上的用戶名和密碼（如果是動態(tài)密碼，需先輸入PIN碼,

然后接著輸入令牌碼），并采用審計管理員（如auditadmin）登錄安盟系統(tǒng)查看認證日志，觀察

是否有測試日志。

下圖中jjztest為測試時顯示的結果，提示“用戶不在代理主機上”，表示OC系統(tǒng)尚未在

安盟系統(tǒng)的代理主機中注冊，請采用系統(tǒng)管理員或安全管理員登錄安盟認證系統(tǒng)添加代理主機

（其中Radius密鑰應該和0C上設置的共享密鑰一致），并設置向所有用戶開放，如下圖所示：

認證時間▼認證用戶認證主機受影晌對象認證結果認證來源來源也址租戶名稱

2022-12-0117:57:27t11192.168.1.9用戶不在代理主機上-adius192.168.1.150公共資源區(qū)

RnjmEnjG^=資涯樂統(tǒng)RADIUS及性RtBWff

McurityJL

8!?W?

impiw

，令0省l?radiui-tdt-9一自定義

仲才磯情理

?但主眠192」網(wǎng).9j必須和認證日志中的認證地址一致

1B3SWS

RADmsew

自定義，但必須和0C上設置的一致

fii否向所杓用戶開放

蝕式自用新PIN懵式層用下令刖啟用0伍自用用戶在樹8制

提交保存

請確保在OC上做認證測試并測試成功，然后點“應用”按鈕啟用RADIUS認證策略。

至此，0C系統(tǒng)和安盟雙因素認證系統(tǒng)的整合已經(jīng)完成，接下來就可以安盟系統(tǒng)的賬號登

錄0C系統(tǒng)了。

3.3天融信運維安全審計系統(tǒng)

3.3.1配置RADIUS服務器

登錄到天融信運維安全審計系統(tǒng)的后臺管理界面，按照下圖中的序號進行操作，配置第三

方OTP服務器的信息，如下圖所示：

濟M90?代??ee至???3■?3D2m1卬■?[XRWhW-T'>芳3?"1<9?￡

1??■urtU

，w：

-t

|■uOTIW|2

*

?3yl

?S3—

.MM

■EE

-e今點

￡.R<MA

丈

y

1

;emeu

.SYSLOCCfl

其中，OTP服務器主機地址對應的是安盟認證系統(tǒng)的主服務器的地址，OTP服務器備機地

址對應的是安盟認證系統(tǒng)的備份服務器的地址，OTP認證端口對應的是安盟認證系統(tǒng)RADIUS

服務的認證端口（默認是1812）,OTP認證方法為PAP,通信密鑰對應的是RADIUS共享密鑰。

信息設置好后，請點擊保存按鈕，讓其生效。

3.3.2配置用戶的登錄認證方式

然后在用戶管理下，找到需要后用安盟認證的用戶，修改它的登錄認證方式，如下圖所示:

編輯用戶，設置用戶的登錄認證方式為OTP認證（一次性口令），如下圖所示:

魚日Q利用戶越理設置用戶口力猊"

設印戶登錄認

□?上口令認證

|例,OTP認口（一次性口令）

□，證書認證

口,AD1?認證

設置完成之后，點擊保存按鈕，讓其生效。

3.3.3登錄測試

打開天融信運維安全審計系統(tǒng)的登錄頁面，您將看到如下界面:

天岫體運緞安全審計系及

天融信

TOF>SEC

&??