• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

13-管理员双因子认证功能典型配置举例

本章节下载 13-管理员双因子认证功能典型配置举例  (1.08 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334136_30005_0.htm

13-管理员双因子认证功能典型配置举例


1  简介

本文档介绍ACG1000设备管理员双因子认证功能配置举例,在配置前,先了解如下定义:

·     管理员双因子认证: 结合管理员合法账号和Ukey双重身份的认证方式。

·     Ukey: 具有识别和导入用户证书功能的USB设备。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

·     Ukey管理软件: 对Ukey设备进行初始化授权。

·     Ukey客户端软件: 对Ukey设备导入用户证书。

本文档假设您已了管理员双因子认证特性。

3  管理员双因子认证功能配置举例

3.1  组网需求

图1所示,某公司网络管理员对ACG访问权限进行了严格控制,在ACG设备上开启管理员双因子认证,要求同时拥有合法管理员账号和Ukey设备的用户才能登录设备进行操作 。

图1 管理员双因子认证组网

 

3.2  配置思路

·     在ACG上配置各接口地址,如拓扑图所示。

·     生成CA根证书。

·     生成用户证书并签发。

·     导出用户证书(P12格式)。

·     将Ukey初始化。

·     将用户证书导入Ukey。

·     开启管理员双因子认证。

·     验证配置。

3.3  使用版本

本举例是在R6608版本上进行配置和验证的。

3.4  配置步骤

1. 配置路由接口

图2图3所示,在ACG上配置各接口地址。点击“网络配置>接口>物理接口”,配置接口IP地址。

图2 配置ge2接口

 

图3 配置mgt0接口

 

2. 生成CA根证书

图4所示,点击“对象管理>CA服务器>根CA配置管理”,在根证书管理中点击生成CA根证书,配置CA信息。

图4 配置CA根证书

 

图5所示,查看已生成的CA根证书。

图5 查看已生成的CA根证书

 

3. 生成用户证书并签发

图6所示,点击“对象管理>用户证书管理>生成证书请求”,配置用户证书信息。

图6 配置用户证书

 

图7所示,点击签发证书,输入证书有效期和密码,提交。

图7 签发用户证书

 

图8所示,查看已生成并签发的用户证书。

图8 签发用户证书

 

4. 导出用户证书

图9所示,点击“对象管理>用户证书管理”,点击导出用户证书。

图9 签发用户证书

 

5. 将Ukey初始化(首次使用Ukey)

(1)     如图10所示,在“系统管理>管理设定”中下载Ukey客户端软件安装,管理员电脑插上Ukey,然后下载Ukey管理软件,并双击打开。

图10 Ukey管理软件界面

 

(2)     如图11所示,点击图中向上的箭头。

图11 Ukey管理软件初始化按钮

 

(3)     如图12所示,点击上图初始化按钮,配置并确定,完成Ukey初始化。

图12 Ukey管理软件初始化界面

 

图13所示,Ukey管理软件初始化过程。

图13 Ukey管理软件初始化过程界面

 

图14所示,Ukey管理软件初始化成功弹框提示。

图14 Ukey管理软件初始化成功界面

 

6. 将用户证书导入Ukey

(1)     如图15所示,将Ukey管理软件关闭退出,双击打开已安装的Ukey客户端软件,输入之前设置的PIN码后,登录成功。

图15 Ukey客户端软件登录界面

 

(2)     如图16所示,Ukey管理软件登录成功界面。

图16 Ukey客户端软件登录成功界面

 

(3)     如图17所示,点击导入,通过<浏览>找到之前下载的用户证书user.p12,输入证书访问密码,新建容器命名名称,用途选择<签名>,确定提交。

图17 Ukey客户端软件导入用户证书界面

 

(4)     如图18所示,用户证书导入成功。

图18 用户证书导入成功界面

 

7. 开启管理员双因子认证

图19所示,点击“系统管理>管理员>管理设定”,开启管理员双因子认证功能。

图19 开启管理员双因子认证

 

3.5  配置注意事项

·     开启管理员双因子认证前需要先生成CA根证书。

·     在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。

3.6  验证配置

图20所示,管理员Host不插入Ukey,直接使用https方式访问设备,不会显示登录界面,提示没有登录证书。

图20 管理员访问设备WEB界面失败

 

图21所示,插上Ukey后,再次使用https方式访问设备,会弹出证书选择界面,选择证书,点击确定。

图21 选择证书

 

图22所示,弹出框验证PIN码,输入正确的PIN码:。

图22 输入验证PIN

 

图23所示,返回设备WEB登录界面,输入正确的管理员用户名密码,即可登录设备。

图23 设备WEB登录界面

 

4  管理员双因子认证功能使用限制及注意事项

·     开启管理员双因子认证前需要先生成CA根证书

·     在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书

·     IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备

·     火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书,设置方法参见后面第5节:火狐浏览器兼容性设置方法

·     USBKey目前仅支持epass一个厂商

5  火狐浏览器兼容性设置

说明:示例浏览器版本号55.0.3(32位),因浏览器版本不同,设置方法可能会略有差异

 

(1)     按如下截图操作,选择<菜单>- <选项>

 

(2)     按如下截图操作,选择<高级>-<证书>-<安全设备>

 

(3)     按如下截图操作并配置,选择<载入>,模块名称填写:epass2001PKCS#11 Module , 模块文件名选择浏览并填写路径  C :\Windows\System32\ ShuttleCsp11_2001.dll(此为默认安装路径)

 

(4)     查看是否设置成功:

 

6  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置手册》 中的“管理设定”

·     《H3C SecPath ACG1000系列应用控制网关 对外测试手册》中的“管理员双因子认证测试”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们