H:\精品资料\建筑精品网原稿ok（删除公文）\建筑精品网5未上传百度 HYPERLINK"" ArraySPX工程安装配置手册 认证授权配置部分TOC\o"1-3"\h\z\u SSLVPN门户VirtualSite认证配置 1 Radius认证服务配置 3 LDAP认证服务配置 5 AD认证服务配置 8 SecurID动态口令认证配置 9 SSLVPN门户VirtualSite授权配置 10 LocalDB的授权 13 LDAP服务器的授权 15 Radius服务器的授权 17 GroupMapping授权方式 19  SSLVPN门户VirtualSite认证配置 ArraySSLVPN设备VirtualSite的接入支持多种认证方式,包括LocalDB、LDAP、AD、Radius、SecurID等。门户认证也能够关掉,这时用户登陆就不需要认证了,当然,也丧失了很大的安全性。每个VirtualSite最多能够配置四种认证方法,用户登陆时,按照顺序查找认证服务,当第一种认证方法失败会使用第二种认证方法,直到成功或完全失败为止。对于AD、LDAP、Radius认证,每种方法最多能够配置3个认证服务器。由于上一章已经介绍了LocalDB的配置方法,如果您只使用LocalDB,能够越过本章。本章我们主要介绍其它几种认证方式的配置。 SiteConfiguration->AAA->General SiteConfiguration->AAA->Method 命令行为: aaamethod<authenticationmethod>rank[authorizationmethod] AuthenticationMethod:指采用的认证方法 Rank:是VirtualSite的第几种认证方法 AuthorizationMethod:定义了使用这种认证方法时采用的授权方法,下章祥述。 如: SP-Demo(config)$aaamethodlocaldb1 第一种认证方法采用LocalDB,授权使用LocalDB。 SP-Demo(config)$aaamethodldap2ldap 第二种认证方法采用LDAP服务器,授权也使用LDAP服务器。 Radius认证服务配置 Radius认证是业界普遍采用的认证协议,VirtualSite采用Radius作认证服务器,需要配置相应参数及端口,当然在SPX与Radius服务器中间的通信要保持畅通,如果有防火墙需要打开相应端口。在配置Radius认证前,先要和用户的管理员询问一些Radius服务器的情况,包括:Radius服务认证端口,一般采用UDP1812或者是UDP1645,当然用户也可能使用别的端口。另外还要询问服务器使用的通信密钥。 命令行为: aaamethodradius<rank>[authorizationmethod] aaaradiushost<ip><port><secret><timeout><retries> IP:指Radius服务器的IP地址 Port:Radius服务所使用的端口 Secret:SPX与Radius服务器之间使用的通信密钥 Timeout:超时设定 Retries:重试次数 如: SP-Demo(config)$aaamethodradius2 SP-Demo(config)$aaaradiushost10.1.10.761812"radius_secret"203 SiteConfiguration->AAA->Authentication->RADIUS LDAP认证服务配置 LDAP是一种轻型目录访问协议,具有结构清晰,查找速度较快的特点。VirtualSite采用LDAP作认证,同样需要配置一些参数。因此在作此项配置之前,要先和用户的LDAP管理员作一下沟通,获得一些参数信息,并用LDAPBrowser等客户端工具验证一下,把她的LDAP结构清晰化。LDAP服务一般采用TCP389端口,基于SSL的协议一般采用636端口。 命令行为: aaamethodldap<rank>[authorizationmethod] aaaldaphost<ip><port><user_name><password><”base”><timeout>[tls] IP:LDAP服务器IP地址。 Port:LDAP服务端口 UserName:有相应LDAPSearch权限的用户名 Password:查找时上面用户的口令 Base:从哪一级目录进行查找 aaaldapsearchfilter<filter> LDAP查找的Search规则,如:某属性＝<user>,其中<u