- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath A2000-Cloud系列运维审计系统和授权管理系统
软件安装部署指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
A2000-Cloud是一款专门应用于云场景下使用的虚拟运维审计系统,下文提供虚拟运维审计授权管理系统和运维审计系统的安装说明以及通过虚拟运维审计授权管理系统的授权的几种方式,且使用A2000-Cloud需要满足下述条件:
· 虚拟运维审计系统的版本为E6112P10及以上。
· 授权服务器和运维审计系统的版本配套关系如下:
|
· 授权服务器 |
运维审计系统 |
|
LS1.0 |
E6112~E6112P08;R6113P04及以上版本 |
|
LS2.0(licserver-h3c-3.3.8-1.noarch ) |
E6112P10~R6113P03 |
|
LS2.3 licserver-h3c-3.3.8-2.noarch |
E6112P10~R6113P03 |
|
LS2.4-1 licserver-h3c-3.3.8-4.noarch |
R6113P04~R6113P08;E6701P01 |
|
LS2.5 licserver-3.3.8-5.noarch |
R6113P09~R6114P01;E6701P02~E6701P03 |
|
LS2.6 licserver-3.3.8-6.noarch |
R6114P02及以上版本;E6701P04及以上版本;F6115版本 |
说明: 授权服务器版本号查看,请登录Console控制台后输入root进入命令行中,并执行rpm -qa查看licserver组件包的版本号rpm -qa |grep licserver。
· 本手册所说的虚拟运维审计授权管理系统是2.0系列。
· 虚拟运维审计授权管理系统不支持克隆部署。
· 需保证虚拟运维审计系统,虚拟运维审计授权管理系统,时间正确且一致。
安装虚拟运维审计系统时,服务器配置需要满足以下要求。
· CPU:单颗4核及以上。
· 内存:至少8G,推荐16G及以上。
· 硬盘:单硬盘500G~2T,不支持安装多块硬盘。
· 网卡:至少1块千兆网卡。
H3C虚拟运维审计系统硬件规格举例
|
|
CPU |
内存 |
硬盘 |
|
10个可管理资产 |
至少4核 |
至少8G |
至少500G |
|
20个可管理资产 |
至少4核 |
至少8G |
至少500G |
|
50个可管理资产 |
至少4核 |
至少8G |
至少1000G |
|
100个可管理资产 |
至少4核 |
至少8G |
至少1000G |
|
200个可管理资产 |
至少8核 |
至少16G |
至少1500G |
|
500个可管理资产 |
至少8核 |
至少16G |
至少2000G |
资产数量扩容需要等比例扩充虚拟机资源。
运维审计系统使用虚拟化安装,建议安装在CAS云计算管理平台或VMware上。
· CAS版本为CAS 3.0、CAS 5.0和CAS7.0。
· VMware版本为6.0。
已经获取安装所需的iso镜像文件。
步骤1 使用VMware vSphere Client6.0客户端登录管理平台。
图2-1 登录VMware管理平台
步骤2 选择“主页 > 清单 > 清单”,依次单击页面上“配置 > 存储器”。
图2-2 配置存储器
步骤3 选择数据储存,右键单击“浏览数据存储”,上传iso镜像文件。
图2-3 上传镜像
步骤1 单击“增加虚拟机”按钮,选择“自定义”配置,然后根据配置向导依次配置各项参数。
图2-4 创建虚拟机
操作系统版本选择CentOS如上图,如果是 “openEuler”操作系统安装包请选择openEuler,没有也可以用CentOS代替。
步骤2 按推荐配置要求设置硬件信息(CPU需要单颗4核及以上)。
图2-5 配置CPU
内存最少需要8G,条件允许情况下建议配置16G及以上内存。下图仅供参考,请根据实际设置。
图2-6 配置内存
网卡至少添加一块,本例添加两块网卡。
图2-7 添加网卡
单块硬盘大小不低于500G。
图2-8 配置硬盘
步骤3 检查配置,无误后单击“完成”。
步骤4 选中CD/DVD驱动器中,单击“浏览”,加载iso镜像文件。
图2-9 设置驱动器
步骤5 单击“确定”,虚拟机配置完毕。
图2-10 完成虚拟机创建
步骤6 单击“启动虚拟机”,进入控制台界面,输入命令linux-ap后按回车键,开始安装。
图2-11 执行安装
· 在VMware安装场景中,请使用以下命令:linux(使用手动分区)或linux-ap(使用自动分区),推荐使用linux-ap命令。
· 若在当前界面一直未输入安装命令,系统会默认使用linux-x2040方式来安装,此模式不适用虚拟平台,请确认使用场景后,在1分钟内输入安装命令。
步骤7 请耐心等候约20分钟,待出现如下登录界面,系统安装完成。
图2-12 安装完成后出现登录界面
步骤8 使用用户名密码root/admin登录后,再输入Console密码(默认为admin),可以进入Console界面。
图2-13 Console界面
步骤9 进入“Network Configuration”菜单,选择网口,配置IP、掩码、DNS等参数。完成后执行Submit提交配置。
图2-14 修改IP地址
步骤10 进入“Network Configuration > Default IPV4 Gateway”菜单,配置默认网关。
图2-15 配置默认网关
步骤11 进入“System Tools > Ping”菜单,进行网络连通性测试。如果成功,说明网络配置正常。
图2-16 网络连通性测试
步骤12 在浏览器地址栏输入https://IP地址,进入Web登录界面。
图2-17 Web登录页面
步骤13 使用默认用户名密码(admin/admin)登录后,按照页面提示依次配置网络参数、时间与语言、修改admin密码。
图2-18 系统初始化
步骤14 进入授权页面,进行后续安装授权服务和授权操作。
图2-19 配置授权
本文以CAS5.0为例介绍,其他CAS版本操作类似。
步骤1 登录虚拟化管理平台。
图2-20 登录CAS管理平台
步骤2 选择“云资源 > cvknode > cvknode”,单击页面上方的“存储”。
图2-21 配置存储
步骤3 把操作系统ISO镜像文件上传到defaultpool。
图2-22 上传镜像
步骤1 单击“增加虚拟机”,在“基本信息”页面设置虚拟机参数。
图2-23 增加虚拟机
操作系统版本选择CentOS如上图,如果是 “openEuler”操作系统安装包请选择openEuler,没有也可以用CentOS代替。
步骤2 按推荐配置要求设置硬件信息(CPU需要单颗4核以上)。
图2-24 配置CPU
内存最少需要8G,条件允许情况下建议配置16G及以上内存。下图仅供参考,请根据实际设置。
图2-25 配置内存
网卡至少添加一块,本例添加两块网卡。在“增加硬件”中单击“增加网卡”。
图2-26 配置网卡
图2-27 增加网卡
单块硬盘大小不低于500G,如果是 “openEuler”操作系统安装包总线类型请选择IDE,其余默认。
图2-28 配置硬盘
步骤3 单击“光驱”选择镜像文件。
图2-29 选择光驱
步骤4 单击“完成”,虚拟机配置完毕。
图2-30 完成虚拟机配置
步骤5 单击“启动”进入控制台界面,输入命令linux-ap后按回车键,开始安装。
图2-31 执行安装
· 安全云场景下的安装方式网卡为eth*形式,只支持单机,HA部署。
· 请确认使用场景后,再使用对应的命令进行安装,以防安装错误。在标准CAS云(无需使用CAS Tools的场景),使用以下命令linux(使用手动分区)或linux-ap(使用自动分区),推荐使用linux-ap命令;在安全云场景下(仅对接新华三安全云平台使用CASTools,其它场景请勿使用),使用以下命令命令:linux-cas(使用手动分区)或linux-cas-ap(使用自动分区),推荐使用linux-cas-ap命令。
· 若在当前界面一直未输入安装命令,系统会默认使用linux-x2040方式来安装,此模式不适用虚拟平台,请确认使用场景后,在1分钟内输入安装命令。
步骤6 请耐心等候约20分钟,待出现如下登录界面,系统安装完成。
图2-32 安装完成后出现登录界面
步骤7 使用用户名密码root/admin登录后,再输入 Console密码(默认为admin),可以进入Console界面。
图2-33 Console界面
步骤8 进入“Network Configuration”菜单,选择网口,配置IP、掩码、DNS等参数。完成后执行Submit提交配置。
图2-34 修改IP地址
步骤9 进入“Network Configuration > Default IPV4 Gateway”菜单,配置默认网关。
图2-35 配置默认网关
步骤10 进入“System Tools > Ping”菜单,进行网络连通性测试。如果成功,说明网络配置正常。
图2-36 网络连通性测试
步骤11 在浏览器地址栏输入https://IP地址,进入Web登录界面。
图2-37 Web登录页面
步骤12 使用默认用户名密码(admin/admin)登录后,按照页面提示依次配置网络参数、时间与语言、修改admin密码。
图2-38 系统初始化
步骤13 进入授权页面,进行后续安装授权服务和授权操作。
图2-39 配置授权
随着虚拟化市场的逐渐展开,对虚拟化产品的配套授权机制已经迫在眉睫。因目前授权方案依赖于硬件的信息绑定,而在虚拟化环境中没有可以信任或者依赖的硬件信息作为生成授权唯一码的依据,为解决该问题,H3C的虚拟运维审计授权管理系统,可实现对虚拟运维审计系统的授权管理。
H3C虚拟运维审计授权管理系统的硬件服务器规格如表3-1所示。
表3-1 H3C虚拟运维审计授权管理系统硬件规格(支持在CAS平台下安装)
|
|
CPU |
内存 |
硬盘 |
|
运行环境要求 |
至少单颗2核 |
至少4G |
至少300G |
· 虚拟运维审计授权管理系统不支持从LicenseServer-20200313(授权服务器1.0系列版本)直接升级。
· 虚拟运维审计授权管理系统安装完成后,相关的功能操作指导可参考附录A。
授权管理系统使用虚拟化安装,建议安装在CAS云计算管理平台上。授权管理系统支持的CAS版本为CAS 3.0、CAS 5.0和CAS7.0。
目前授权管理系统支持CentOS 7和银河麒麟服务器V10操作系统,请安装时注意选择。iso文件名中带Kylin,表示采用银河麒麟操作系统,如果不带Kylin则表示采用CentOS操作系统。
安装授权管理系统,需要先获取安装镜像文件并导入,镜像文件名称为SecPathA2000V-LicenseServer2.x- *****.iso,其中*****为发布日期。
在CAS云计算管理平台导入系统镜像的相关步骤如下:
(1) 登录虚拟化管理平台。
图3-1 登录CAS管理平台
(2) 单击云资源,选中主机节点,例如node1 > cvknode,并在上方选中存储页签。
图3-2 配置存储
(3) 选择上传镜像的存储池,例如user。选中后单击上传文件。
图3-3 上传镜像
图3-4 开始上传
上传完成后,关闭上传界面并刷新后,将看到授权管理系统镜像已存在于该存储池中。
图3-5 查看上传的镜像
(1) 在左侧选中主机,并单击增加虚拟机。
图3-6 增加虚拟机
· 显示名称:自定义填写。
· 操作系统:选择Linux。
· 版本:选择CentOS 6/7(64位)或者银河麒麟服务器版V10(64位)(LS2.6开始支持国产化操作系统安装,当安装包名称中带有Kylin时可以选择此操作系统)。
图3-7 基本信息填写
(2) 设置硬件信息,推荐的最低配置请参考以下步骤。
CPU:至少需要2核。
图3-8 设置CPU
内存大小:至少需要4G。
图3-9 设置内存
设置网卡:
图3-10 设置网卡
设置硬盘:单块硬盘大小不低于300G。如果安装的是银河麒麟版本(安装包名称中带有Kylin时),其总线类型请选择“IDE硬盘”。
图3-11 设置硬盘
(3) 在光驱中,选择导入系统镜像文件上传的镜像文件。
图3-12 选择光驱
(4) 单击完成后,虚拟机配置完毕。
(5) 单击启动按钮后,单击控制台进入控制台界面。
图3-13 启动系统
(6) 输入linux-ap命令并按回车,不对硬盘进行手工分区。
图3-14 输入linux-ap命令安装
如需进行手工分区,则输入linux,后续操作中需要进行分区设置,推荐使用自动分区安装。
请耐心等待15分钟左右,镜像会自动引导完成安装。
图3-15 安装完成后,会出现如下登录界面:
请在该界面使用用户名root、密码admin,登录到Console菜单,并参考设置授权管理系统的网络,完成网络设置。
授权管理系统虚拟机创建完成后,需要对其网络进行设置,从而使授权管理系统可以对外提供服务。
配置网络前,请先参照下表完成网络规划:
表3-2 网络参数规划
|
参数 |
举例 |
说明 |
|
业务网口地址 |
eth0: · 10.10.33.101/20 · fc00:1010:32::101/64 |
授权管理系统对外通信的地址。可以设置IPv4和IPv6其中之一,也可以都设置。授权管理系统的IPv4地址必须配置,IPv6地址为可选配置,但需要和运维审计系统设备使用的IP类型对应。 |
|
业务网口DNS |
· 8.8.8.8 · 114.114.114.114 |
域名解析服务地址。可以设置两个。 |
|
默认网关 |
eth0: · 10.10.32.1 · fc00:1010:32:0:3a22:d6ff:fe71:db1 |
默认网关只能设置在一个网口上,一般设置在业务网口上。可以对IPv4和IPv6分别设置网关。 |
授权管理系统的初始IP为192.168.0.1/24,一般需要重设IP地址,并设置网关。本节仅介绍Console中的网络配置相关操作,如需进行其它操作请参考附录中的使用Console菜单。
(2) 进入虚拟机控制台,并使用root帐号(默认密码admin)登录Console。
图3-16 登录console
(3) 输入1,进入Network Configuration。
图3-17 配置网络
(4) 依次选择IP Address、IPV6 Address、Netmask、DNS对应的序号,输入对应的取值,确认待设置的取值无误后,输入S并按回车,执行Submit提交修改。
图3-18 修改管理IP
(5) 设置IPv4默认网关,在Network Configuration菜单输入D并按回车,设置Default Gateway。
图3-19 设置默认网关
(6) 当设置了IPv6地址时,需要设置IPv6默认网关。
在Network Configuration菜单输入G并按回车,设置Default IPV6 Gateway。参考IPv4的设置步骤,完成IPv6默认网关的设置。
(7) 配置HTTPS端口(可选)。
授权管理系统默认的HTTPS端口是443,如需修改请进行以下操作。修改后会自动重启Web和Nginx服务。
在主菜单选择System Tools > Change https port,并输入新的端口号。
System Tools:
1. Change root password
2. Reboot
3. Power off
4. Change https port
N. Nginx Management
R. Reset admin
0. Return
Enter selection: 4
Please input new https port(1-65535):8443
Are you sure to update the https port number? This operation will restart the web and nginx service? [y/n] y
The https port has been updated successfully.
完成网络设置后,可以使用SSH远程登录授权管理系统的Console菜单,或访问Web界面,从而对授权管理系统进行配置和管理。
授权管理系统从2.5(含)版本,支持web页面操作,按照如下操作完成:
(1) 授权管理系统安装后自身系统使用无需授权,仅作为一个授权资源池给运维审计系统提供授权,基本使用流程如下:
l 登录授权管理系统的web页面。
l 选择授权配置>授权文件导入,第一步申请授权查看序列号。
序列号:Ser-1da149dc3ffdf9d21ad811b65ebffab5d
(2) 使用H3C SecPath A2000-Cloud运维审计系统系列授权码和授权管理系统序列号进行绑定激活,下载授权文件(有关虚拟运维审计授权管理系统和虚拟运维审计系统申请和安装授权文件的具体操作过程,请参考http://www.h3c.com/cn/home/qr/default.htm?id=620
(3) 通过选择授权配置>授权文件导入,第二步上传授权文件。
授权管理系统从2.5版本以前,按照如下操作完成:
(4) 授权管理系统安装后自身系统使用无需授权,仅作为一个授权资源池给运维审计系统提供授权,基本使用流程如下:
l 登录授权管理系统的Console菜单。
l 选择License Tools > License shell。
l 执行lic hardware命令获取授权管理系统的设备条码(需完整复制以Ser开头的序列号)。
shell:>lic hardware
Ser-1446eef4c0dc0eeff95c10a58ad99ccbd
(5) 使用H3C SecPath A2000-Cloud运维审计系统系列授权码和授权管理系统序列号进行绑定激活,下载授权文件(有关虚拟运维审计授权管理系统和虚拟运维审计系统申请和安装授权文件的具体操作过程,请参考http://www.h3c.com/cn/home/qr/default.htm?id=620)。
(6) 通过“https://授权管理系统的IP地址/upload” 访问授权服务器的web界面上传授权文件。
通过授权管理系统给运维审计系统授权时,请提前阅读以下说明:
(1) R6113P03之前的版本, 授权管理系统(以下简称LS或者授权服务器)向运维审计系统授权(不通过安全云平台)时,不支持由运维审计系统主动发起授权申请,必须在LS侧发起后下发,该方式需要配和安全云平台来使用,相关使用参考4.3章节;
(2) 从R6113P03版本开始,LS向运维审计系统授权(不通过安全云平台)时,支持运维审计系统主动向LS申请授权,新增支持以下方式(不通过安全云平台)进行授权;
1) 运维审计系统的web界面配置LS的地址
2) LS增加命令dev addLicNoCloud
(3) 运维审计系统从LS获取授权信息后,之后会每隔1个小时定期从LS同步授权信息。如果运维审计系统和LS连接正常,从LS同步最新授权信息的同时会刷新保活时间(默认是30天);如果连接失败,则不会从LS上同步授权信息。如果连续30天不能连接LS,则运维审计系统上当前的授权信息会失效。
(1) 需保证虚拟运维审计系统和LS的时间正确且一致。
运维审计系统时间查看和配置方法,进入console,Main Menu的Date and Time中查看并配置;LS时间查看和配置方法,进入console,Main Menu菜单下输入root进入后台配置,配置命令可参考linux系统时间配置方法。
(2) LS和运维审计系统需保证网络连通。
(3) 需要配套运维审计系统R6113P03(含)以上版本以及授权服务器LS2.X(20220518日期及以上版本)来使用。
(4) LS的IP地址支持在运维审计系统的Web上配置,可管理资产数建议填写和对应授权码一致的数值。
(5) 支持在LS的Shell窗口中,执行命令dev addLicNoCloud获取运维审计系统的序列号并绑定授权,LS直接授权完成后,如果修改了运维审计系统的端口或者admin的密码,则需要在LS上执行命令dev updateLicParam,同步更新存储在LS侧对应的参数;否则不能通过每天零时的授权检查,导致授权失效。
授权管理系统从2.5(含)版本开始,提供Web配置页面,按照以下操作完成。
(1) 在授权服务器上添加运维审计系统。
(2) 给运维审计系统授权。
(3) 授权后登录堡垒机查看。
步骤1 点击运维审计系统,在授权服务器上添加运维审计系统
步骤2 点击授权查看,授权列表绑定运维审计系统授权
步骤3 点击下发授权,给对应的堡垒机下发授权
步骤4 下发后登录堡垒机点击同步授权,完成授权过程。
授权管理系统从2.5以前版本,按照以下操作完成。
授权服务器不对接安全云平台,直接对运维审计系统下发授权。授权过程如下:
(4) 在授权服务器的Shell窗口中,执行命令dev addLicNoCloud获取运维审计系统的序列号。
(5) 授权服务器为获取到序列号的运维审计系统绑定授权。
(6) 授权服务器将授权结果回传给运维审计系统完成授权。
步骤5 执行命令dev addLicNoCloud,启动授权认证。
其中ip是运维审计系统的IP(例如10.1.1.1);secret是运维审计系统admin用户的密码(例如abc123,注意ip和secret前是两个-字符)。
dev addLicNoCloud --ip 10.1.1.1 --secret abc123
步骤6 输入授权类型的序号(例如T100),并按回车:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> T100
步骤7 选择授权数量(例如1),并按回车:
Please input num of lic selected:
> 1
has selected: T100*1
步骤8 输入submit并按回车进行确认:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> submit
has selected: T100*1
add lics success
com.lic.model.LicInfoItem@le6454ec
add lics without cloud platform success
当显示“add lics success”,表示授权管理系统为指定的运维管理系统绑定授权成功;如果失败,可能的提示信息如下:
· licInsufficient-授权数量不足
· invalidAdd-临时/一年授权无法叠加
· licOverGuiNum-永久规格的图形并发数过大
· licOverTuiNum-永久规格的字符并发数过大
· invalidCover-授权无法从永久变为一年
· invalidMix-无法同时申请 一年和永久授权/临时和正式授权
· invalidBack-授权无法从正式变为临时
当显示“add lics without cloud platform success”,表示运维管理系统侧接收到授权信息,授权成功;如果失败,可能的提示信息如下:
· IllegalSerialCode-序列号不匹配
· IllegalChangeLicType-授权方式无法进行变更
· ClearlicInfoSuccess-已成功清除该设备授权信息
· ClearlicInfoFail-清除授权失败,请检查该设备是否已进行授权操作
· dateError-授权有效期不合法
· fileError-授权文件内容错误
· LackLicInfo-缺少授权信息或设备序列号
· expireLicInfo-授权信息已过期
步骤9 (可选)当运维审计系统修改了admin密码或Web服务端口,需要更新存储在授权管理系统侧对应的参数。
其中dev是运维审计系统的序列号(例如9c0c52e71614a6709101fe794ea6daf),必选;secret是运维审计系统admin用户新的密码(例如abc123);port 是运维审计系统新的Web服务端口(例如445)。secret和port参数,至少有其一。
dev updateLicParam --dev 9c0c52e71614a6709101fe794ea6daf --secret 123abc --port 445
授权管理系统从2.5(含)版本开始,提供Web配置页面,按照以下操作完成。
(1) 运维审计系统配置授权服务器的IP地址,发起授权申请。
(2) 授权服务器管理员授权。
(3) 运维审计系统获得授权结果,完成授权。
步骤1 登录运维审计系统的Web,在“系统设置 > 系统 > 授权管理”中配置授权服务器,完成后单击“确定”。
其中“可管理资产数”建议配置实际授权码对应的资产数。
步骤2 登录授权管理系统的web页面,进入授权审批>审批授权页面,点击允许,选择授权绑定
步骤3 登录堡垒机刷新授权页面,先变为授权状态,完成授权。
授权管理系统从2.5以前版本,按照以下操作完成。
授权服务器不对接安全云平台,由运维审计系统主动向授权服务器申请授权。授权过程如下:
(4) 运维审计系统配置授权服务器的IP地址,发起授权申请。
(5) 授权服务器管理员授权。
(6) 运维审计系统获得授权结果,完成授权。
步骤4 登录运维审计系统的Web,在“系统设置 > 系统 > 授权管理”中配置授权服务器,完成后单击“确定”。
其中“可管理资产数”建议配置实际授权码对应的资产数。
步骤5 进入授权管理系统的License命令行,查看从运维审计系统侧发起的授权申请。
shell:>lic applications
id serialCode
1 2332ded69d7ba734038d15e30b2f8ev
2 00bf7ff0cb3417c79e09cccc2d947b48v
步骤6 给ID为1的运维审计系统授权。
shell:>lic applications --behavior permit --id 1
Please input type of lic wishing to submit, such as P20:
T10 - temporary 10 DEV + 5 GUI + 10 TUI
T20 - temporary 20 DEV + 10 GUI + 20 TUI
…
P200 - permanent 200 DEV + 100 GUI + 200 TUI
P500 - permanent 500 DEV + 250 GUI + 500 TUI
submit - submit
return - return
> P20 //输入授权类型的序号
Please input num of lic selected:
> 1 //输入授权数量
has selected: P20*1
Please input type of lic wishing to submit, such as P20:
T10 - temporary 10 DEV + 5 GUI + 10 TUI
T20 - temporary 20 DEV + 10 GUI + 20 TUI
…
P100 - permanent 100 DEV + 50 GUI + 100 TUI
P200 - permanent 200 DEV + 100 GUI + 200 TUI
P500 - permanent 500 DEV + 250 GUI + 500 TUI
submit - submit
return - return
> submit //输入submit提交
has selected: P20*1
{"dev":"00bf7ff0cb3417c79e09cccc2d947b48v","licInfo":"{aes-gcm}KDGRiov1Whi5b4CzHAwJ2tyvzr7Sm0hTu31D4jntfrSNE6fgBoDEc7HSFCROzg6VXS5ucfv06+lPaXe5ShkXZ3FN7m4GU0YiJDe/psD0ZxonPIPIUlEMdeyBzQKYY/xqJPWS3rNRkHgTgQ=="} //当显示以上信息表示授权完成
步骤7 登录运维审计系统的Web,在“系统设置 > 系统 > 授权管理”中,单击“确定”获取授权结果。
需要提前安装安全云管理平台系统、运维审计授权管理系统、制作虚拟运维审计系统模板,本文档默认已安装好安全云管理平台系统,同时因安装castools工具以及要进后台进行相关配置,请联系研发。
(1) 登录虚拟化管理平台。
图5-1 登录CAS管理平台
(2) 进入[云资源/cvknode/cvknode],单击页面上方的<存储>。
图5-2 配置存储
(3) 把操作系统ISO镜像文件上传到defaultpool。
图5-3 上传镜像
(4) 单击<增加虚拟机>按钮,<基本信息>页面设置如下图所示。
图5-4 增加虚拟机
(5) <硬件信息>的推荐最低配置要求,如下图所示。
CPU需要至少单颗8核。
图5-5 配置CPU
内存大小需要至少16G。
图5-6 配置内存
图5-7 配置网卡
单块硬盘大小:500G≤单硬盘≤2T。
图5-8 配置硬盘
5、点击<光驱>选择镜像文件
图5-9 选择光驱
(6) 单击<完成>之后,虚拟机配置完毕。
图5-10 完成虚拟机配置
(7) 单击<启动>按钮,进入控制台界面,输入命令例如linux-cas-ap后安装操作系统。
图5-11 启动系统
(8) 单击<Enter>之后,请耐心等候约30min,会出现如下登录界面
图5-12 安装完成后登录界面
(9) 使用用户名密码root/admin console密码admin登录后,可看到如下后台界面
图5-13 运维审计后台
(10) 进入【Network Configuration】视图,再进入管理网卡口视图,配置ip地址,如图所示
图5-14 进入管理网卡口eth0,配置地址
(11) 进入【Network Configuration】视图,再进入【D. Default IPV4 Gateway】配置默认网关,如图所示
图5-15 配置默认网关
(12) 进入【T. System Tools】视图,再进入【Ping】视图,进行网络连通性测试,如图所示,成功后这说明网络配置已完成。
图5-16 网络连通性测试
(13) 在浏览器地址栏输入https://IP地址/,进入登录界面。
图5-17 Web登录设备
(14) 使用默认用户名密码(admin/admin)登录,系统会提示先配置网络和时间(此处系统初始化时也可配置网络,因此用户可不在后台配置,利用192.168.0.x网段ip登录系统初始地址192.168.0.1进行配置),然后需修改admin账号的密码,修改后请使用新密码登录系统。
图5-18 系统初始化
其他还需要安装castools工具以及进后台进行相关配置,请联系研发。
(1) 登录CAS平台中,选中刚刚创建的运维审计,先卸载装载了安装包的光驱,然后“更多操作-克隆为模板”,即可导入模板进模板池中。
图5-19 卸载光驱
图5-20 克隆为模板
(2) 生成模板之后,安全资源池中配置了CAS地址的安全云可以自动识别模板
图5-21 查看识别出的模板
(3) 选中刚刚创建的模板,即可完成模板配置。
图5-22 进行模板配置
(4) 如果不导入模板,那么在审批完服务创建虚拟机时会报错“未配置模板”。
图5-23 未配置模板提示信息
首先用户在安全市场中申请开通运维审计服务(安全市场 > 运维审计)。
图5-24 开通运维审计服务
图5-25 运维审计系统规格选择
如图5-2选择好服务所属用户,服务名称和规格之后,就可以完成服务的申请。注意:创建运维审计服务,可以选择两种维度的规格,一个是资产规格,另一个是租期。安全云把运维审计的授权进行了进一步的拆分,可以将一年和永久的授权进行小到一个月为周期的拆分使用。另外创建服务的时候可以选择和资产规格和租期,并不是所有规格都可以选择,是根据实际可用的硬件资源和安全云上配置的license server池中剩余可用的授权的总和进行判断的。
用户申请服务之后会生成一个服务订单,如果订单审批策略(系统管理 > 订单策略)是自动审批,那么订单会立即完成审批,否则需要管理员用户手动审批(运营管理 > 审核订单)。
图5-26 配置订单审批策略
图5-27 手动审批
审批完成之后,就会开始服务的创建。
首先根据运维审计资源池(资源管理 > 资源池管理 > 安全资源池 > 运维审计资源池)实例使用的优先级判断服务该如何创建。
如果优先级是“资源池资源>VNF”,那么会优先使用资源池中未分配的运维审计实例资源,如果没有未分配的运维审计实例资源再新建虚拟化类型为VNF的运维审计虚机。新建运维审计虚机是安全云自动从CAS创建虚拟机的过程,拉起来的虚拟机的配置依赖于4.2制作的运维审计模板。
图5-28 创建服务
如果优先级是“VNF>资源池资源”,那么会直接开始从CAS创建运维审计虚机,并将其分配给用户创建的服务,为服务的策略下发提供支撑。
图5-29 创建服务
如果开始创建运维审计虚机,那么服务(服务管理 > 策略管理 > 运维审计)中会出现这样一条待创建记录。
图5-30 创建虚机
此时安全云会根据用户选择的规格,选择相应的模板(资源管理 > 资源池管理 > 安全资源池 > CAS资源池)进行克隆一个新的运维审计虚机。
图5-31 克隆运维审计
之后,安全云后台调用运维审计系统设置业务口IP的方法,给运维审计虚机分配一个新的登录地址。
图5-32 分配地址
最后利用设置好的授权服务器(资源管理 > 资源池管理 > 安全资源池 > 运维审计资源池(配置授权服务器)),通过接口调用的方式向运维审计传入授权信息,如果授权过程正常进行(运维审计和授权服务器版本正确接口无误,在审批订单时授权服务器中仍有对应规格……),那么服务状态就显示正常,并且能通过操作—登录系统按钮(服务管理 > 策略管理 > 运维审计 > 登录系统)进行单点登录。
至此运维审计虚机建立完毕,能够正常使用。
A.1 授权类型介绍
授权管理系统,按照支持纳管资产数量、并发字符和图形会话数量的不同,分为以下几种授权类型。每种授权类型又分为临时授权和正式授权,其中正式授权又分为一年授权和永久授权。临时/一年/永久授权的型号ID依次以T、Y和P开头。
表5-1 授权管理系统支持的授权文件详情
|
型号 |
支持资产数量 |
支持并发字符会话数量 |
支持并发图形会话数量 |
|
T10/Y10/P10 |
10 |
10 |
5 |
|
T20/Y20/P20 |
20 |
20 |
10 |
|
T50/Y50/P50 |
50 |
50 |
25 |
|
T100/Y100/P100 |
100 |
100 |
50 |
|
T200/Y200/P200 |
200 |
250 |
100 |
|
T500/Y500/P500 |
500 |
500 |
250 |
为授权管理系统上传授权时,必须上传以上规格的授权文件。
另外,授权管理系统对于上传和使用授权文件还有以下限制:
· 不允许临时和正式(一年/永久)授权共存。一旦上传正式授权文件,所有临时授权文件都将失效,已绑定授权的设备将变为未授权状态,且无法再上传临时授权。从授权管理系统2.5(含)版本开始,允许同时存在临时和正式(一年/永久)授权。
· 临时授权和一年授权,一台设备最多绑定一个。如果为设备绑定永久授权,成功后将会自动释放该设备绑定的一年授权。
· 本要求适用于授权管理系统2.5及之前版本:永久授权支持给同一设备绑定多个不同型号和不同数量的授权。设备最终支持的资产/字符会话/图形会话数量,由各个授权文件累加计算。上限为1000个并发字符会话,500个并发图形会话。
· 本要求适用于授权管理系统2.6及以后版本:临时授权支持和临时授权叠加;正式一年授权支持和正式一年授权叠加;永久授权支持和永久授权叠加。某授权到期后,会自动释放过期部分的授权。对于存在相同时间段的授权,会对授权项(资产/字符会话/图形会话数量)进行累加计算。同时取消之前版本的最大数限制,可以无限累加。
A.2 使用授权管理系统的Web界面(2.5以后版本包含2.5)
A.3 使用授权管理系统的Web界面(2.5以前版本)
授权管理系统的Web界面用于上传授权文件,以及备份/上传授权数据。
Web界面的访问方式为:在浏览器中输入“https://授权管理系统的IP地址/upload”,并跳转访问。
图5-33 授权服务器界面
控件的具体显示会因浏览器的不同而有所差异。
上传的授权文件必须是满足授权管理系统的授权要求的授权文件。
(1) 单击选择文件或浏览,在弹出的窗口中选中tar.gz格式的授权文件。
(2) 单击提交,授权文件校验通过后将上传到授权管理系统。
图5-34 安装授权文件
· 如果上传的授权文件不符合支持的授权类型之一,上传文件将失败。
· 上传的授权文件中的UUID,如在授权管理系统中已存在,将不允许重复上传。
A.3.2 上传授权管理系统授权数据
上传授权数据,需要之前已做过备份授权管理系统授权数据,并保存了备份文件。
(3) 单击选择文件或浏览,在弹出的窗口中选中_tmp_backup_data.xml备份文件。
(4) 单击上传,将备份文件上传至授权管理系统。
上传成功后,授权管理系统将使用该备份文件完成数据恢复。恢复后,授权管理系统中保存的授权文件和已完成的授权,都将恢复为备份时的状态。
图5-35 上传授权系统
单击备份,将自动搜集备份数据并将备份文件_tmp_backup_data.xml下载到本地。
授权管理系统的管理员可以通过虚拟机控制台或SSH远程登录(端口号为22)访问授权管理系统的Console菜单。Console菜单使用root帐号登录,初始密码默认为admin。
在Console菜单的Network Configuration菜单中,可以进行授权管理系统的网络配置相关操作,具体如下:
表5-2 网络配置菜单说明
|
编号 |
名称 |
说明 |
|
1~N |
网口名称,如eth0 |
配置该网口的相关网络参数: · IP Address:IPv4地址,必配。初始为192.168.0.1。 · Netmask:IPv4地址对应的子网掩码,必配。初始为255.255.255.0。 · IPV6 Address:IPv6地址,选配。包含掩码前缀,例如fc00:1010:32::1/64。 · DNS1:DNS服务器地址1,选配。 · DNS2:DNS服务器地址2,选配。 注: 执行Clean all可以清除当前网口的所有设置。 |
|
D |
Default IPV4 Gateway |
IPv4网关地址,必配。 |
|
G |
Default IPV6 Gateway |
IPv6网关地址,仅当配置了IPv6地址时配置。 |
|
0 |
Return |
返回主菜单。 |
授权管理系统提供了一些系统工具,使管理员可以执行改密、重启、关机等操作:
表5-3 系统工具菜单说明
|
编号 |
名称 |
说明 |
|
1 |
Change root password |
修改root帐号的密码。长度不足8位时会提示,但仍能修改成功。 |
|
2 |
Reboot |
重启授权管理系统。 |
|
G |
Power off |
关闭授权管理系统。授权管理系统短时间关闭不会对已授权的运维审计系统产生影响,但如果一直不开机,已有的授权将在30天后失效。 |
|
0 |
Return |
返回主菜单。 |
管理员可以选择License Tools > License shell,进入授权管理系统的License命令行。在该命令行中,可以执行特定的命令,管理授权管理系统的授权文件,并为运维审计系统授权。
License命令行中,可以执行以下系统命令:
表5-4 命令行系统命令说明
|
命令 |
说明 |
|
help |
· 单独执行help,查看可以执行的所有命令。 · help+命令名称,例如help lic,查看该条命令的具体帮助。 |
|
clear |
清屏。 |
|
exit/quit |
退出命令行模式。 |
|
script |
读取并执行后台的某个文件,一般不使用。 |
|
stacktrace |
查看上一个报错的堆栈跟踪日志,出现报错时一般会提示使用该命令查看。 |
(1) acl命令
acl命令用于实现对授权管理系统的访问控制,允许/拒绝某个IP地址/IP段访问授权管理系统,包括用户访问Web界面以及安全云管理平台连接授权管理系统。该命令不影响用户对于Console菜单的访问。
某个IP被限制后,用户使用该IP访问授权管理系统的Web界面,或安全云管理平台连接授权管理系统获取同步时,都无法成功访问。
缺省的控制规则为允许,即当IP或IP段不在acl列表中时,默认允许访问。acl列表中的每条规则都有对应的behavior,取值为permit(允许)或deny(拒绝)。当同一个IP受到多条规则控制时,会比较规则的优先级(acl-number),只有acl-number较小的规则会生效。
acl命令可以携带的参数按顺序如下:
表5-5 acl命令参数说明
|
参数 |
说明 |
|
--action |
执行的动作,必选参数。取值范围如下: · add:添加一条规则,必须指定acl-number、ip-range,可以指定behavior,指定id无效。使用add命令时,如按顺序书写参数,则所有参数的名称都可以省略。 · delete:删除一条规则,必须指定id。 · list:列出所有规则,指定其它参数无效。 |
|
--acl-number |
规则优先级,越小优先级越高。全局唯一,如重复将添加失败。 取值范围为1~1000。 |
|
--ip-range |
访问授权管理系统的用户PC或云安全管理系统的IP地址或地址范围。如为地址范围,需要写成网段/掩码前缀的格式,例如10.10.10.0/24。 支持IPv6地址和地址范围,地址不加中括号。例如fc00:1010:66::1、fc00:1010:66::/64。 注: Windows PC访问授权管理系统的IPv6地址时本地会使用临时IPv6地址连接,因此需要限制该IP所在网段。 |
|
--behavior |
访问控制规则的具体行为: · permit:允许该IP或IP范围。 · deny:拒绝该IP或IP范围。 如添加规则时不指定该参数,则为permit。 |
|
--id |
访问控制规则的标识ID。添加规则时无需指定,会自动累加。删除时需要指定该ID。 |
举例如下:
acl list
2. 添加规则,拒绝10.1.1.0/24网段的访问,优先级为10
acl add 10 10.1.1.0/24 deny
3. 添加规则,允许10.10.10.1地址的访问,优先级为103
acl --ip-range 10.10.10.1 --action add --acl-number 103
4. 删除ID为1的规则
acl delete --id 1
(2) dev命令
dev命令用于管理授权管理系统绑定的运维审计系统设备,可以通过该命令对某些运维审计系统做预授权或释放授权。
dev命令可以携带的参数按顺序如下:
表5-6 dev命令参数说明
|
参数 |
说明 |
|
--action |
执行的动作,必选参数。取值范围如下: · list:列出所有授权的设备。可以指定dev,表示仅查看该设备对应的授权。 · add:添加一个设备绑定,即对设备做预授权。必须指定dev参数。 · release:释放某个设备的指定类型和指定数量的授权,必须指定dev参数。 · delete:释放某个设备的所有授权。 |
|
--dev |
运维审计系统的序列号。表示对该设备执行操作。 序列号可以在运维审计系统的授权管理界面查看,也可以使用查看序列号的API进行查看。 |
· 执行add操作时,必须保证授权管理系统中,已拥有指定类型和不少于指定数量的未使用授权文件。另外,对于临时授权和一年授权,只支持绑定一个授权文件;当一个设备已绑定了一年授权时,可以绑定永久授权覆盖原有授权,绑定成功后,原有的授权将自动释放。
· 执行release操作时,必须保证对应设备已绑定了指定类型和不少于指定数量的授权文件。
具体示例如下。
1. 查看所有已授权的设备
dev list
2. 查看序列号为e97b4829dc0b64f7034e13fc4a547766d的设备的授权信息
dev list e97b4829dc0b64f7034e13fc4a547766d
3. 为序列号为e97b4829dc0b64f7034e13fc4a547766d的运维审计系统添加授权
执行dev add添加授权。
dev add e97b4829dc0b64f7034e13fc4a547766d
输入授权类型的序号,例如T20,并按回车:
图5-36 命令示意图
选择授权数量,例如1,并按回车,输入submit并按回车进行确认。
图5-37 命令示意图
4. 为IP地址为10.1.1.1(admin用户的密码为abc123)的运维审计系统,通过授权管理系统直接授权
1)启动授权认证。
dev addLicNoCloud --ip 10.1.1.1 --secret abc123
2)输入授权类型的序号,例如T100,并按回车:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> T100
3)选择授权数量,例如1,并按回车:
Please input num of lic selected:
> 1
has selected: T100*1
4)输入submit并按回车进行确认:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> submit
has selected: T100*1
add lics success
com.lic.model.LicInfoItem@le6454ec
add lics without cloud platform success
当显示“add lics success”,表示授权管理系统为指定的运维管理系统绑定授权成功;当显示“add lics without cloud platform success”,表示运维管理系统接收到授权信息,授权成功。
5. 为序列号为e97b4829dc0b64f7034e13fc4a547766d的运维审计系统释放授权
执行dev release释放授权。
dev release e97b4829dc0b64f7034e13fc4a547766d
输入授权类型的序号,例如T20,并按回车:
图5-38 命令示意图
选择授权数量,例如1,并按回车,输入submit并按回车进行确认:
图5-39 命令示意图
6. 为序列号为e97b4829dc0b64f7034e13fc4a547766d的运维审计系统释放所有授权
dev delete e97b4829dc0b64f7034e13fc4a547766d
7. 更新授权管理系统上存储的运维审计系统的Web服务端口号(新端口号为445)和admin密码(新密码为123abc)。运维审计系统的序列号为9c0c52e71614a6709101fe794ea6daf。
dev updateLicParam --dev 9c0c52e71614a6709101fe794ea6daf --secret 123abc --port 445
(3) lic命令
lic命令用于管理授权管理系统的所有授权资源。
lic命令可以携带的参数按顺序如下:
表5-7 lic命令参数说明
|
参数 |
说明 |
|
--action |
执行的动作,必选参数。取值范围如下: · list:列出已上传的授权文件的相关信息,包括授权文件的uuid、授权类型、授权起始日期、结束如期、已绑定的设备序列号和是否被使用。可以指定status和dev参数。 · hardware:查看当前授权管理系统的设备序列号,用于申请授权。指定其它参数无效。 · specification:查看授权管理系统支持的所有授权类型以及相应授权类型的数量。指定其它参数无效。 |
|
--status |
授权的使用状态。仅用于执行list操作时,对显示的授权文件进行筛选。 · all:查看所有授权文件。缺省为all。仅当指定dev参数时需要携带。 · unused:查看所有未被使用的授权文件。 · used:查看所有已被使用的授权文件。 |
|
--dev |
授权绑定的运维审计系统的序列号。仅用于执行list操作时,对显示的授权文件进行筛选。 序列号可以在运维审计系统的授权管理界面查看,也可以使用查看序列号的API进行查看。 |
1. 查看所有已上传的授权文件
lic list
2. 查看所有已使用的授权文件
lic list used
3. 查看序列号为9c0c52e71614a6709101fe794ea6daffd的运维审计系统绑定的所有授权文件
lic list all 9c0c52e71614a6709101fe794ea6daffd
4. 查看授权管理系统的序列号
lic hardware
5. 查看所有支持的授权类型状态
lic specification
lic applications
7. 向ID为1的运维审计系统授权
lic applications --behavior permit --id 1
8. 拒绝向ID为2的运维审计系统授权
lic applications --behavior deny --id 2
支持
