- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath A2000[V][Cloud]系列运维审计系统和授权管理系统
软件安装部署指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本手册是提供虚拟运维审计系统和虚拟运维审计授权管理系统在ARM(飞腾和鲲鹏)架构上的安装说明
· 虚拟运维审计授权管理系统不支持克隆部署。
· 需保证虚拟运维审计系统,虚拟运维审计授权管理系统,时间正确且一致。
· 支持-v以及cloud的授权码,且cloud系列的授权码需配套授权服务器来激活使用。
(1) 登录虚拟化管理平台。
图2-1 登录CAS管理平台
(2) 进入[云资源/cvknode/cvknode],单击页面上方的<存储>。
图2-2 配置存储
(3) 把操作系统ISO镜像文件上传到defaultpool。
图2-3 上传镜像
(4) 单击<增加虚拟机>按钮,<基本信息>页面设置如下图所示。
· 显示名称:自定义填写。
· 操作系统:选择Linux。
· 版本:银河麒麟服务器版4.0.2(64位)或银河麒麟服务器版V10(64位)
图2-4 增加虚拟机
(5) <硬件信息>的推荐最低配置要求,如下图所示。
CPU需要至少2个8核。
图2-5 配置CPU
内存大小需要至少16G。
图2-6 配置内存
图2-7 配置网卡
单块硬盘大小:500G≤单硬盘≤2T。
图2-8 配置硬盘
5、点击<光驱>选择镜像文件
图2-9 选择光驱
(6) 单击<完成>之后,虚拟机配置完毕。
在鲲鹏服务器上启动安装运维审计系统前,需要在CAS平台执行以下操作:
1) 登录鲲鹏服务器的宿主机CAS后台。
2) 执行命令virsh edit xxx(其中XXX为虚拟机名字)。
3) 定位到<video>,将type='vga'修改为type='virtio',修改后如下图。
(7) 单击<启动>按钮,进入控制台界面,使用键盘的上下箭头选择对应的命令,例如linux-ap(参考下文说明输入对应命令安装)。
图2-10 启动系统
在标准CAS云(无需使用CAS Tools的场景),使用以下命令:
· manual:使用手动分区。
· linux-ap:使用自动分区,推荐使用这个命令。
在安全云场景下(仅对接新华三安全云平台使用CASTools,该操作需安全云研发操作,其它场景请勿使用),使用以下命令:
· linux-cas-ap:使用自动分区,推荐使用这个命令。
· 此场景下的安装方式网卡为eth*形式,且不支持集群,多站点总分等部署方式。
· 请确认使用场景后,再使用对应的命令进行安装,以防安装错误。
(8) 单击<Enter>之后,请耐心等候约30min,会出现如下登录界面
图2-11 安装完成后登录界面
(9) 使用用户名密码root/admin console密码admin登录后,可看到如下后台界面
图2-12 运维审计控制台
(10) 进入【Network Configuration】视图,再进入管理网卡口视图,配置ip地址,如图所示
图2-13 进入管理网卡口GE0/0,配置地址
(11) 进入【Network Configuration】视图,再进入【D. Default IPV4 Gateway】配置默认网关,如图所示
图2-14 配置默认网关
(12) 进入【T. System Tools】视图,再进入【Ping】视图,进行网络连通性测试,如图所示,成功后这说明网络配置已完成。
图2-15 网络连通性测试
(13) 在浏览器地址栏输入https://IP地址/,进入登录界面。
图2-16 Web登录设备
(14) 使用默认用户名密码(admin/admin)登录,系统会提示先配置网络和时间(此处系统初始化时也可配置网络,因此用户可不在后台配置,利用192.168.0.x网段ip登录系统初始地址192.168.0.1进行配置),然后需修改admin账号的密码,修改后请使用新密码登录系统。
图2-17 系统初始化
随着虚拟化市场的逐渐展开,对虚拟化产品的配套授权机制已经迫在眉睫。因目前授权方案依赖于硬件的信息绑定,而在虚拟化环境中没有可以信任或者依赖的硬件信息作为生成授权唯一码的依据,为解决该问题,H3C的虚拟运维审计授权管理系统,可实现对虚拟运维审计系统的授权管理。
H3C虚拟运维审计授权管理系统的硬件服务器规格如表3-1所示。
表3-1 H3C虚拟运维审计授权管理系统硬件规格(支持在CAS平台下安装)
|
|
CPU |
内存 |
硬盘 |
|
运行环境要求 |
至少单颗2核 |
至少4G |
至少300G |
· 虚拟运维审计授权管理系统安装完成后,相关的功能操作指导可参考附录A。
授权管理系统使用虚拟化安装,建议安装在ARM架构的CAS云计算管理平台上。授权管理系统支持的CAS版本为CAS 5.0和CAS7.0。
安装授权管理系统,需要先获取安装镜像文件并导入,镜像文件名称为SecPath2000AV-ARM-LicenseServerx-*.iso,其中*为发布日期。
在CAS云计算管理平台导入系统镜像的相关步骤如下:
(1) 登录虚拟化管理平台。
图3-1 登录CAS管理平台
(2) 单击云资源,选中主机节点,例如node1 > cvknode,并在上方选中存储页签。
图3-2 配置存储
(3) 选择上传镜像的存储池,例如user。选中后单击上传文件。
图3-3 上传镜像
图3-4 开始上传
上传完成后,关闭上传界面并刷新后,将看到授权管理系统镜像已存在于该存储池中。
图3-5 查看上传的镜像
(1) 在左侧选中主机,并单击增加虚拟机。
图3-6 增加虚拟机
· 显示名称:自定义填写。
· 操作系统:选择Linux。
· 版本:银河麒麟服务器版4.0.2(64位)或银河麒麟服务器版V10(64位)。
图3-7 基本信息填写
(2) 设置硬件信息,推荐的最低配置请参考以下步骤。
CPU:至少需要2核。
图3-8 设置CPU
内存大小:至少需要4G。
图3-9 设置内存
设置网卡:
图3-10 设置网卡
设置硬盘:单块硬盘大小不低于300G。
图3-11 设置硬盘
(3) 在光驱中,选择导入系统镜像文件上传的镜像文件。
图3-12 选择光驱
(4) 单击完成后,虚拟机配置完毕。
在鲲鹏服务器上启动安装运维审计授权管理系统前,需要在CAS平台执行以下操作:
1) 登录鲲鹏服务器的宿主机CAS后台。
2) 执行命令virsh edit xxx(其中XXX为虚拟机名字)。
3) 定位到<video>,将type='vga'修改为type='virtio',修改后如下图。
(5) 单击启动按钮后,单击控制台进入控制台界面,使用键盘的上下箭头选择Install With Linux Ap命令,并回车。
图3-13 启动系统
图3-14 选择Install With Linux Ap命令安装
如需进行手工分区,请选择Install With Linux Mp,后续操作中需要进行分区设置,推荐使用自动分区安装。
请耐心等待30分钟左右,镜像会自动引导完成安装。
图3-15 安装完成后,会出现如下登录界面:
请在该界面使用用户名root、密码admin,登录到Console菜单,并参考设置授权管理系统的网络,完成网络设置。
授权管理系统虚拟机创建完成后,需要对其网络进行设置,从而使授权管理系统可以对外提供服务。
配置网络前,请先参照下表完成网络规划:
表3-2 网络参数规划
|
参数 |
举例 |
说明 |
|
业务网口地址 |
eth0: · 10.10.33.101/20 · fc00:1010:32::101/64 |
授权管理系统对外通信的地址。可以设置IPv4和IPv6其中之一,也可以都设置。授权管理系统的IPv4地址必须配置,IPv6地址为可选配置,但需要和运维审计系统设备使用的IP类型对应。 |
|
业务网口DNS |
· 8.8.8.8 · 114.114.114.114 |
域名解析服务地址。可以设置两个。 |
|
默认网关 |
eth0: · 10.10.32.1 · fc00:1010:32:0:3a22:d6ff:fe71:db1 |
默认网关只能设置在一个网口上,一般设置在业务网口上。可以对IPv4和IPv6分别设置网关。 |
授权管理系统的初始IP为192.168.0.1/24,一般需要重设IP地址,并设置网关。本节仅介绍Console中的网络配置相关操作,如需进行其它操作请参考附录中的使用Console菜单。
(1) 进入虚拟机控制台,并使用root帐号(默认密码admin)登录Console。
图3-16 登录console
(2) 输入1,进入Network Configuration。
图3-17 配置网络
(3) 依次选择IP Address、IPV6 Address、Netmask、DNS对应的序号,输入对应的取值,确认待设置的取值无误后,输入S并按回车,执行Submit提交修改。
图3-18 修改管理IP
(4) 设置IPv4默认网关,在Network Configuration菜单输入D并按回车,设置Default Gateway。
图3-19 设置默认网关
(5) 当设置了IPv6地址时,需要设置IPv6默认网关。
在Network Configuration菜单输入G并按回车,设置Default IPV6 Gateway。参考IPv4的设置步骤,完成IPv6默认网关的设置。
完成网络设置后,可以使用SSH远程登录授权管理系统的Console菜单,或访问Web界面,从而对授权管理系统进行配置和管理。
有关虚拟运维审计授权管理系统和虚拟运维审计系统申请和安装授权文件的具体操作过程,请参考《H3C SecPath A2000虚拟运维审计授权管理系统(仅安全云场景) License使用指南》。
通过授权管理系统给运维审计系统授权时,请提前阅读以下说明:
(1) 授权管理系统(以下简称LS或者授权服务器)向运维审计系统授权时,支持运维审计系统主动向LS申请授权,支持以下方式进行授权;
1) 运维审计系统的web界面配置LS的地址
2) LS增加命令dev addLicNoCloud
(2) 运维审计系统从LS获取授权信息后,之后会每隔1个小时定期从LS同步授权信息。如果运维审计系统和LS连接正常,从LS同步最新授权信息的同时会刷新保活时间(默认是30天);如果连接失败,则不会从LS上同步授权信息。如果连续30天不能连接LS,则运维审计系统上当前的授权信息会失效。
(1) 需保证虚拟运维审计系统和LS的时间正确且一致。
(2) LS和运维审计系统需保证网络连通。
(3) LS的IP地址支持在运维审计系统的Web上配置,可管理资产数建议填写和对应授权码一致的数值。
(4) 支持在LS的Shell窗口中,执行命令dev addLicNoCloud获取运维审计系统的序列号并绑定授权,LS直接授权完成后,如果修改了运维审计系统的端口或者admin的密码,则需要在LS上执行命令dev updateLicParam,同步更新存储在LS侧对应的参数;否则不能通过每天零时的授权检查,导致授权失效。
授权服务器直接对运维审计系统下发授权,授权过程如下:
(1) 在授权服务器的Shell窗口中,执行命令dev addLicNoCloud获取运维审计系统的序列号。
(2) 授权服务器为获取到序列号的运维审计系统绑定授权。
(3) 授权服务器将授权结果回传给运维审计系统完成授权。
步骤1 执行命令dev addLicNoCloud,启动授权认证。
其中ip是运维审计系统的IP(例如10.1.1.1);secret是运维审计系统admin用户的密码(例如abc123,其中ip和secret前是两个字符-)。
dev addLicNoCloud --ip 10.1.1.1 --secret abc123
步骤2 输入授权类型的序号(例如T100),并按回车:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> T100
步骤3 选择授权数量(例如1),并按回车:
Please input num of lic selected:
> 1
has selected: T100*1
步骤4 输入submit并按回车进行确认:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> submit
has selected: T100*1
add lics success
com.lic.model.LicInfoItem@le6454ec
add lics without cloud platform success
当显示“add lics success”,表示授权管理系统为指定的运维管理系统绑定授权成功;如果失败,可能的提示信息如下:
· licInsufficient-授权数量不足
· invalidAdd-临时/一年授权无法叠加
· licOverGuiNum-永久规格的图形并发数过大
· licOverTuiNum-永久规格的字符并发数过大
· invalidCover-授权无法从永久变为一年
· invalidMix-无法同时申请 一年和永久授权/临时和正式授权
· invalidBack-授权无法从正式变为临时
当显示“add lics without cloud platform success”,表示运维管理系统侧接收到授权信息,授权成功;如果失败,可能的提示信息如下:
· IllegalSerialCode-序列号不匹配
· IllegalChangeLicType-授权方式无法进行变更
· ClearlicInfoSuccess-已成功清除该设备授权信息
· ClearlicInfoFail-清除授权失败,请检查该设备是否已进行授权操作
· dateError-授权有效期不合法
· fileError-授权文件内容错误
· LackLicInfo-缺少授权信息或设备序列号
· expireLicInfo-授权信息已过期
步骤5 (可选)当运维审计系统修改了admin密码或Web服务端口,需要更新存储在授权管理系统侧对应的参数。
其中dev是运维审计系统的序列号(例如9c0c52e71614a6709101fe794ea6daf),必选;secret是运维审计系统admin用户新的密码(例如abc123);port 是运维审计系统新的Web服务端口(例如445)。secret和port参数,至少有其一。
dev updateLicParam --dev 9c0c52e71614a6709101fe794ea6daf --secret 123abc --port 445
由运维审计系统主动向授权服务器申请授权,授权过程如下:
(1) 运维审计系统配置授权服务器的IP地址,发起授权申请。
(2) 授权服务器管理员授权。
(3) 运维审计系统获得授权结果,完成授权。
步骤1 登录运维审计系统的Web,在“系统设置 > 系统 > 授权管理”中配置授权服务器,完成后单击“确定”。
其中“可管理资产数”建议配置实际授权码对应的资产数。
步骤2 进入授权管理系统的License命令行,查看从运维审计系统侧发起的授权申请。
shell:>lic applications
id serialCode
1 2332ded69d7ba734038d15e30b2f8ev
2 00bf7ff0cb3417c79e09cccc2d947b48v
步骤3 给ID为1的运维审计系统授权。
shell:>lic applications --behavior permit --id 1
Please input type of lic wishing to submit, such as P20:
T10 - temporary 10 DEV + 5 GUI + 10 TUI
T20 - temporary 20 DEV + 10 GUI + 20 TUI
…
P200 - permanent 200 DEV + 100 GUI + 200 TUI
P500 - permanent 500 DEV + 250 GUI + 500 TUI
submit - submit
return - return
> P20 //输入授权类型的序号
Please input num of lic selected:
> 1 //输入授权数量
has selected: P20*1
Please input type of lic wishing to submit, such as P20:
T10 - temporary 10 DEV + 5 GUI + 10 TUI
T20 - temporary 20 DEV + 10 GUI + 20 TUI
…
P100 - permanent 100 DEV + 50 GUI + 100 TUI
P200 - permanent 200 DEV + 100 GUI + 200 TUI
P500 - permanent 500 DEV + 250 GUI + 500 TUI
submit - submit
return - return
> submit //输入submit提交
has selected: P20*1
{"dev":"00bf7ff0cb3417c79e09cccc2d947b48v","licInfo":"{aes-gcm}KDGRiov1Whi5b4CzHAwJ2tyvzr7Sm0hTu31D4jntfrSNE6fgBoDEc7HSFCROzg6VXS5ucfv06+lPaXe5ShkXZ3FN7m4GU0YiJDe/psD0ZxonPIPIUlEMdeyBzQKYY/xqJPWS3rNRkHgTgQ=="} //当显示以上信息表示授权完成
步骤4 登录运维审计系统的Web,在“系统设置 > 系统 > 授权管理”中,单击“确定”获取授权结果。
A.1 授权类型介绍
授权管理系统,按照支持纳管资产数量、并发字符和图形会话数量的不同,分为以下几种授权类型。每种授权类型又分为临时授权和正式授权,其中正式授权又分为一年授权和永久授权。临时/一年/永久授权的型号ID依次以T、Y和P开头。
表5-1 授权管理系统支持的授权文件详情
|
型号 |
支持资产数量 |
支持并发字符会话数量 |
支持并发图形会话数量 |
|
T10/Y10/P10 |
10 |
10 |
5 |
|
T20/Y20/P20 |
20 |
20 |
10 |
|
T50/Y50/P50 |
50 |
50 |
25 |
|
T100/Y100/P100 |
100 |
100 |
50 |
|
T200/Y200/P200 |
200 |
250 |
100 |
|
T500/Y500/P500 |
500 |
500 |
250 |
为授权管理系统上传授权时,必须上传以上规格的授权文件。
另外,授权管理系统对于上传和使用授权文件还有以下限制:
· 不允许临时和正式(一年/永久)授权共存。一旦上传正式授权文件,所有临时授权文件都将失效,已绑定授权的设备将变为未授权状态,且无法再上传临时授权。
· 临时授权和一年授权,一台设备最多绑定一个。如果为设备绑定永久授权,成功后将会自动释放该设备绑定的一年授权。
· 永久授权支持给同一设备绑定多个不同型号和不同数量的授权。设备最终支持的资产/字符会话/图形会话数量,由各个授权文件累加计算。上限为1000个并发字符会话,500个并发图形会话。
授权管理系统的Web界面用于上传授权文件,以及备份/上传授权数据。
Web界面的访问方式为:在浏览器中输入“https://授权管理系统的IP地址/upload”,并跳转访问。
图5-1 授权服务器界面
控件的具体显示会因浏览器的不同而有所差异。
上传的授权文件必须是满足授权管理系统的授权要求的授权文件。
(1) 单击选择文件或浏览,在弹出的窗口中选中tar.gz格式的授权文件。
(2) 单击提交,授权文件校验通过后将上传到授权管理系统。
图5-2 安装授权文件
· 如果上传的授权文件不符合支持的授权类型之一,上传文件将失败。
· 上传的授权文件中的UUID,如在授权管理系统中已存在,将不允许重复上传。
A.2.2 上传授权管理系统授权数据
上传授权数据,需要之前已做过备份授权管理系统授权数据,并保存了备份文件。
(3) 单击选择文件或浏览,在弹出的窗口中选中_tmp_backup_data.xml备份文件。
(4) 单击上传,将备份文件上传至授权管理系统。
上传成功后,授权管理系统将使用该备份文件完成数据恢复。恢复后,授权管理系统中保存的授权文件和已完成的授权,都将恢复为备份时的状态。
图5-3 上传授权系统
单击备份,将自动搜集备份数据并将备份文件_tmp_backup_data.xml下载到本地。
授权管理系统的管理员可以通过虚拟机控制台或SSH远程登录(端口号为22)访问授权管理系统的Console菜单。
SSH方式登录需要获取密钥文件来登录,管理员可以将该密钥完整复制粘贴到文本文件中,例如命名为RSA-201811-openssh,并在使用SSH工具访问运维审计授权管理系统的22端口时导入并使用该密钥进行身份验证。
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
图5-4 通过密钥方式登录授权管理系统
在Console菜单的Network Configuration菜单中,可以进行授权管理系统的网络配置相关操作,具体如下:
表5-2 网络配置菜单说明
|
编号 |
名称 |
说明 |
|
1~N |
网口名称,如eth0 |
配置该网口的相关网络参数: · IP Address:IPv4地址,必配。初始为192.168.0.1。 · Netmask:IPv4地址对应的子网掩码,必配。初始为255.255.255.0。 · IPV6 Address:IPv6地址,选配。包含掩码前缀,例如fc00:1010:32::1/64。 · DNS1:DNS服务器地址1,选配。 · DNS2:DNS服务器地址2,选配。 注: 执行Clean all可以清除当前网口的所有设置。 |
|
D |
Default IPV4 Gateway |
IPv4网关地址,必配。 |
|
G |
Default IPV6 Gateway |
IPv6网关地址,仅当配置了IPv6地址时配置。 |
|
0 |
Return |
返回主菜单。 |
授权管理系统提供了一些系统工具,使管理员可以执行改密、重启、关机等操作:
表5-3 系统工具菜单说明
|
编号 |
名称 |
说明 |
|
1 |
Change root password |
修改root帐号的密码。长度不足8位时会提示,但仍能修改成功。 |
|
2 |
Reboot |
重启授权管理系统。 |
|
G |
Power off |
关闭授权管理系统。授权管理系统短时间关闭不会对已授权的运维审计系统产生影响,但如果一直不开机,已有的授权将在30天后失效。 |
|
0 |
Return |
返回主菜单。 |
管理员可以选择License Tools > License shell,进入授权管理系统的License命令行。在该命令行中,可以执行特定的命令,管理授权管理系统的授权文件,并为运维审计系统授权。
License命令行中,可以执行以下系统命令:
表5-4 命令行系统命令说明
|
命令 |
说明 |
|
help |
· 单独执行help,查看可以执行的所有命令。 · help+命令名称,例如help lic,查看该条命令的具体帮助。 |
|
clear |
清屏。 |
|
exit/quit |
退出命令行模式。 |
|
script |
读取并执行后台的某个文件,一般不使用。 |
|
stacktrace |
查看上一个报错的堆栈跟踪日志,出现报错时一般会提示使用该命令查看。 |
(1) acl命令
acl命令用于实现对授权管理系统的访问控制,允许/拒绝某个IP地址/IP段访问授权管理系统,包括用户访问Web界面以及安全云管理平台连接授权管理系统。该命令不影响用户对于Console菜单的访问。
某个IP被限制后,用户使用该IP访问授权管理系统的Web界面,或安全云管理平台连接授权管理系统获取同步时,都无法成功访问。
缺省的控制规则为允许,即当IP或IP段不在acl列表中时,默认允许访问。acl列表中的每条规则都有对应的behavior,取值为permit(允许)或deny(拒绝)。当同一个IP受到多条规则控制时,会比较规则的优先级(acl-number),只有acl-number较小的规则会生效。
acl命令可以携带的参数按顺序如下:
表5-5 acl命令参数说明
|
参数 |
说明 |
|
--action |
执行的动作,必选参数。取值范围如下: · add:添加一条规则,必须指定acl-number、ip-range,可以指定behavior,指定id无效。使用add命令时,如按顺序书写参数,则所有参数的名称都可以省略。 · delete:删除一条规则,必须指定id。 · list:列出所有规则,指定其它参数无效。 |
|
--acl-number |
规则优先级,越小优先级越高。全局唯一,如重复将添加失败。 取值范围为1~1000。 |
|
--ip-range |
访问授权管理系统的用户PC或云安全管理系统的IP地址或地址范围。如为地址范围,需要写成网段/掩码前缀的格式,例如10.10.10.0/24。 支持IPv6地址和地址范围,地址不加中括号。例如fc00:1010:66::1、fc00:1010:66::/64。 注: Windows PC访问授权管理系统的IPv6地址时本地会使用临时IPv6地址连接,因此需要限制该IP所在网段。 |
|
--behavior |
访问控制规则的具体行为: · permit:允许该IP或IP范围。 · deny:拒绝该IP或IP范围。 如添加规则时不指定该参数,则为permit。 |
|
--id |
访问控制规则的标识ID。添加规则时无需指定,会自动累加。删除时需要指定该ID。 |
举例如下:
acl list
2. 添加规则,拒绝10.1.1.0/24网段的访问,优先级为10
acl add 10 10.1.1.0/24 deny
3. 添加规则,允许10.10.10.1地址的访问,优先级为103
acl --ip-range 10.10.10.1 --action add --acl-number 103
4. 删除ID为1的规则
acl delete --id 1
(2) dev命令
dev命令用于管理授权管理系统绑定的运维审计系统设备,可以通过该命令对某些运维审计系统做预授权或释放授权。
dev命令可以携带的参数按顺序如下:
表5-6 dev命令参数说明
|
参数 |
说明 |
|
--action |
执行的动作,必选参数。取值范围如下: · list:列出所有授权的设备。可以指定dev,表示仅查看该设备对应的授权。 · add:添加一个设备绑定,即对设备做预授权。必须指定dev参数。 · release:释放某个设备的指定类型和指定数量的授权,必须指定dev参数。 · delete:释放某个设备的所有授权。 |
|
--dev |
运维审计系统的序列号。表示对该设备执行操作。 序列号可以在运维审计系统的授权管理界面查看,也可以使用查看序列号的API进行查看。 |
· 执行add操作时,必须保证授权管理系统中,已拥有指定类型和不少于指定数量的未使用授权文件。另外,对于临时授权和一年授权,只支持绑定一个授权文件;当一个设备已绑定了一年授权时,可以绑定永久授权覆盖原有授权,绑定成功后,原有的授权将自动释放。
· 执行release操作时,必须保证对应设备已绑定了指定类型和不少于指定数量的授权文件。
具体示例如下。
1. 查看所有已授权的设备
dev list
2. 查看序列号为e97b4829dc0b64f7034e13fc4a547766d的设备的授权信息
dev list e97b4829dc0b64f7034e13fc4a547766d
3. 为序列号为e97b4829dc0b64f7034e13fc4a547766d的运维审计系统添加授权
执行dev add添加授权。
dev add e97b4829dc0b64f7034e13fc4a547766d
输入授权类型的序号,例如T20,并按回车:
图5-5 命令示意图
选择授权数量,例如1,并按回车,输入submit并按回车进行确认。
图5-6 命令示意图
4. 为IP地址为10.1.1.1(admin用户的密码为abc123)的运维审计系统,通过授权管理系统直接授权
1)启动授权认证。
dev addLicNoCloud --ip 10.1.1.1 --secret abc123
2)输入授权类型的序号,例如T100,并按回车:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> T100
3)选择授权数量,例如1,并按回车:
Please input num of lic selected:
> 1
has selected: T100*1
4)输入submit并按回车进行确认:
Please input type of lic wishing to submit, such as P20:
T100 - temporary 100 DEV + 50 GUI + 100 TUI
T200 - temporary 200 DEV + 100 GUI + 200 TUI
T500 - temporary 500 DEV + 250 GUI + 500 TUI
Y10 - one year 10 DEV + 5 GUI + 10 TUI
…
submit - submit
return - return
> submit
has selected: T100*1
add lics success
com.lic.model.LicInfoItem@le6454ec
add lics without cloud platform success
当显示“add lics success”,表示授权管理系统为指定的运维管理系统绑定授权成功;当显示“add lics without cloud platform success”,表示运维管理系统接收到授权信息,授权成功。
5. 为序列号为e97b4829dc0b64f7034e13fc4a547766d的运维审计系统释放授权
执行dev release释放授权。
dev release e97b4829dc0b64f7034e13fc4a547766d
输入授权类型的序号,例如T20,并按回车:
图5-7 命令示意图
选择授权数量,例如1,并按回车,输入submit并按回车进行确认:
图5-8 命令示意图
6. 为序列号为e97b4829dc0b64f7034e13fc4a547766d的运维审计系统释放所有授权
dev delete e97b4829dc0b64f7034e13fc4a547766d
7. 更新授权管理系统上存储的运维审计系统的Web服务端口号(新端口号为445)和admin密码(新密码为123abc)。运维审计系统的序列号为9c0c52e71614a6709101fe794ea6daf。
dev updateLicParam --dev 9c0c52e71614a6709101fe794ea6daf --secret 123abc --port 445
(3) lic命令
lic命令用于管理授权管理系统的所有授权资源。
lic命令可以携带的参数按顺序如下:
表5-7 lic命令参数说明
|
参数 |
说明 |
|
--action |
执行的动作,必选参数。取值范围如下: · list:列出已上传的授权文件的相关信息,包括授权文件的uuid、授权类型、授权起始日期、结束如期、已绑定的设备序列号和是否被使用。可以指定status和dev参数。 · hardware:查看当前授权管理系统的设备序列号,用于申请授权。指定其它参数无效。 · specification:查看授权管理系统支持的所有授权类型以及相应授权类型的数量。指定其它参数无效。 |
|
--status |
授权的使用状态。仅用于执行list操作时,对显示的授权文件进行筛选。 · all:查看所有授权文件。缺省为all。仅当指定dev参数时需要携带。 · unused:查看所有未被使用的授权文件。 · used:查看所有已被使用的授权文件。 |
|
--dev |
授权绑定的运维审计系统的序列号。仅用于执行list操作时,对显示的授权文件进行筛选。 序列号可以在运维审计系统的授权管理界面查看,也可以使用查看序列号的API进行查看。 |
1. 查看所有已上传的授权文件
lic list
2. 查看所有已使用的授权文件
lic list used
3. 查看序列号为9c0c52e71614a6709101fe794ea6daffd的运维审计系统绑定的所有授权文件
lic list all 9c0c52e71614a6709101fe794ea6daffd
4. 查看授权管理系统的序列号
lic hardware
5. 查看所有支持的授权类型状态
lic specification
lic applications
7. 向ID为1的运维审计系统授权
lic applications --behavior permit --id 1
8. 拒绝向ID为2的运维审计系统授权
lic applications --behavior deny --id 2
支持
