版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、安全管理(鑒權(quán))安裝手冊(cè)葉家青 2006-4-20前言第一節(jié) 目的指導(dǎo)部署安全管理系統(tǒng)。第二節(jié) 內(nèi)容本文介紹GP-NMS-SECURITY-V2.0系統(tǒng)的安裝配置過程。在執(zhí)行安裝程序前,請(qǐng)首先安裝以下幾個(gè)支撐軟件:Oracle Client 9i(安裝在應(yīng)用服務(wù)器)域控制器(操作系統(tǒng)為2003SERVER)授權(quán)管理器(操作系統(tǒng)為Windows2000SERVER,應(yīng)該和域控制器安裝一起)其中包括:準(zhǔn)備安裝;安裝;配置;測試。第三節(jié) 誰應(yīng)該讀這本書本文針對(duì)省級(jí)移動(dòng)網(wǎng)管系統(tǒng)三期和聯(lián)通網(wǎng)管二期的系統(tǒng)安裝,適用于軟件安裝和維護(hù)人員。第一章 準(zhǔn)備安裝第一節(jié) 軟硬件要求硬件平臺(tái):兩臺(tái)PC服務(wù)器(P4 CP
2、U,256M Mem,50M Hardware) 軟件要求:1、 Windows 2003 Server + IIS 5.0以上;2、 IE 6.0以上;3、 ;第二章 安裝Oracle Client 9i 客戶端第一節(jié) 首先需要注意的地方支持9i(開發(fā)環(huán)境是.1版本)建議安裝該版本。第二節(jié) 安裝正確安裝數(shù)據(jù)庫的客戶端,配置nrmdb的數(shù)據(jù)庫配置。第三節(jié) Oracle l 對(duì)于9.2.0以上的版本會(huì)出現(xiàn)創(chuàng)建環(huán)境變量不成功的問題,這個(gè)問題是因?yàn)閃eb以NetWork Service帳號(hào)訪問的,該版本及以上版本對(duì)權(quán)限設(shè)置的更細(xì),所以需要吧NetWork Service 賦給Oracl
3、e客戶端的根目錄,如下圖。l 如果出現(xiàn)OCI.Dll找不到,可能是安裝不完全造成的,在oraibin下邊沒有該文件;需要將該文件拷貝過來或者重新安裝;一般情況安裝完成后需要重新啟動(dòng)機(jī)器。第三章 安全管理用到的表第一節(jié) 用到的表系統(tǒng)自身用到的表:l Taa_sm_acll Taa_sm_config公共表:l objects,l meta_objectsl objects_manul objects_manu_rl Tai_userinfol Tai_appnamel Tca_negrp_definel Type2string第二節(jié) 主要表的唯一標(biāo)識(shí)和索引主要表的唯一標(biāo)識(shí):l 表taa_sm_a
4、cl 唯一標(biāo)識(shí):Role_name,object_idl 表taa_sm_config唯一標(biāo)識(shí):Role_name+object_id+ object_id 1+object_id 2+object_typel 表tai_userinfo唯一標(biāo)識(shí):(1)USER_ID(2)ZH_NAME(3)USER_NAME必要索引:下面是要?jiǎng)?chuàng)建的索引:請(qǐng)現(xiàn)場注意檢查:l CREATE UNIQUE INDEX SYS_C0015250 ON NRMDB.TAI_USERINFO(USER_ID)l CREATE UNIQUE INDEX nrmdb.tai_userinfo.username_index
5、ON NRMDB.TAI_USERINFO (USER_NAME)刪除,由程序判斷如果已經(jīng)創(chuàng)建的,需要?jiǎng)h除 第三節(jié) 注意事項(xiàng)l 公用表中必須要有數(shù)據(jù),而且一定要完善,否則可能會(huì)出現(xiàn)一些樹圖展不開的情況!l 安全管理系統(tǒng)用到的表是存儲(chǔ)在資源數(shù)據(jù)庫(nrmdb)中,在nmosdb中是同義詞的方式存儲(chǔ),請(qǐng)現(xiàn)在確認(rèn)和注意。第四章 安裝域控制器域控制器選擇一個(gè)操作系統(tǒng)為Windows 2003的機(jī)器。第一節(jié) 安裝步驟一:進(jìn)入服務(wù)器(windows server 2003系統(tǒng)),打開【管理工具】-【管理您的服務(wù)器】;步驟二:點(diǎn)擊【添加或刪除角色】;步驟三:點(diǎn)擊【下一步】,等待步驟四:選擇域控制器(Acti
6、ve Directory),點(diǎn)擊下一步;步驟五:選擇新域的域控制器,點(diǎn)擊下一步;步驟六:選擇在新林中的域,點(diǎn)擊下一步步驟七:輸入域名稱(至少有一個(gè)點(diǎn)號(hào));步驟八:指定域名稱;步驟九:指定數(shù)據(jù)庫和日志文件;步驟十:DNS注冊(cè)診斷;步驟十一:權(quán)限設(shè)置步驟十二:設(shè)置密碼,密碼與域管理員密碼一致步驟十三:點(diǎn)擊下一步;步驟十四:等待步驟十五:安裝完成。第二節(jié) 提升域功能級(jí)別步驟一:打開活動(dòng)目錄,【管理工具】-【Active Directory 用戶和計(jì)算機(jī)】;步驟二:選中Active Directory 用戶和計(jì)算機(jī)點(diǎn)擊鼠標(biāo)右鍵,選擇【提升級(jí)別】;步驟三:選擇indows Server 2003,點(diǎn)擊【
7、提升】,提升成功;第三節(jié) 修改密碼策略在修改密碼時(shí)一般很難輸入符合密碼策略的密碼,因?yàn)楦鶕?jù)window的默認(rèn)域密碼策略很難設(shè)定密碼,所以必須修改密碼策略。可以通過如下方式修改:步驟一:打開【管理工具】-【域安全策略】;步驟二:選擇【window設(shè)置】-【安全設(shè)置】-【帳戶策略】-【密碼策略】;步驟三:將選項(xiàng)設(shè)定為:n 密碼必須符合復(fù)雜性要求:已啟用;n 密碼長度最小值:8個(gè)字符;n 密碼最長使用期限:32;n 密碼最短使用期限:;n 強(qiáng)制密碼歷史:個(gè)記住的密碼;n 用可還原的加密來儲(chǔ)存密碼:已禁用;步驟四:【開始】-【運(yùn)行】運(yùn)行g(shù)pupdate /force命令,更新策略。如果系統(tǒng)提示找不到g
8、pupdate /force,可在運(yùn)行中執(zhí)行cmd,把路徑指到gpupdate所在的目錄下(C:WINDOWSsystem32)再執(zhí)行即可注意:密碼最長使用期限設(shè)定為,即表示無期限,如果設(shè)定為“沒有定義”,系統(tǒng)會(huì)自動(dòng)將密碼最短使用期限改為“沒有定義”密碼最短使用期限如果設(shè)定為“沒有定義”,系統(tǒng)會(huì)默認(rèn)為,即密碼必須使用超過天才能更改。強(qiáng)制密碼歷史如果設(shè)定為“沒有定義”,系統(tǒng)會(huì)默認(rèn)為,即新密碼不能與以前用過的24個(gè)密碼中任何一個(gè)相同。第四節(jié) 創(chuàng)建網(wǎng)管中心組織單元在默認(rèn)情況下我們的用戶都是存放在這個(gè)目錄下,創(chuàng)建完后選中該組織單元的屬性,然后在安全中添加適當(dāng)?shù)挠脩簦ǜ鶕?jù)自己的需要,安全系統(tǒng)以什么用戶訪
9、問該目錄)。其中給authenticated users 全部權(quán)限。注意:安全選項(xiàng)只有在Active Directory用戶和計(jì)算機(jī)的【查看】功能中選中【高級(jí)功能】后才能看到。第五章 安裝授權(quán)管理器一般情況將授權(quán)管理器安裝在域控制器所在機(jī)器上,步驟如下。步驟一:【開始】-【運(yùn)行】鍵入MMC 打開控制臺(tái);步驟二:菜單欄選擇【控制臺(tái)】-【刪除添加管理單元】;步驟三:在刪除添加管理單元中點(diǎn)擊【添加】,選擇授權(quán)管理器,點(diǎn)擊【確定】進(jìn)入授權(quán)管理器界面;步驟四:點(diǎn)擊授權(quán)管理器右鍵-【選項(xiàng)】,選擇開發(fā)人員模式,點(diǎn)擊【確定】;步驟五:點(diǎn)擊授權(quán)管理器右鍵,創(chuàng)建一個(gè)新的授權(quán)管理器(可以選擇活動(dòng)目錄,也可以選擇XM
10、L文件;建議選擇活動(dòng)目錄),在存儲(chǔ)名稱中在添加”CN=BOCO,”或者其他名稱;步驟六:在BOCO上選擇創(chuàng)建應(yīng)用程序,點(diǎn)擊BOCO右鍵;步驟七:輸入應(yīng)用程序名(系統(tǒng)默認(rèn)是NMS4,建議使用該名字)稱和其他信息,點(diǎn)擊【確定】完成添加應(yīng)用程序;步驟八:設(shè)置安全權(quán)限:設(shè)置權(quán)限,這一項(xiàng)很重要,如果不設(shè)置,系統(tǒng)將無法正常訪問!選中BOCO改授權(quán)管理器,右鍵選擇屬性;將Authenticated Users 用戶添加進(jìn)來,這個(gè)用戶是系統(tǒng)用戶(它允許加入到域的計(jì)算機(jī)用戶訪問,實(shí)際上它相當(dāng)于域中的計(jì)算機(jī));附錄:FAQ問題一:初始化授權(quán)管理器STORE不成功n 授權(quán)路徑是否正確:CN=BOCO,CN=Prog
11、ram Data,DC=boco,DC=com;n 權(quán)限是否配對(duì):將Authenticated Users 用戶添加到授權(quán)管理器BOCO的安全中。問題二:機(jī)器不夠用怎么辦建議在WebServer上安裝兩個(gè)虛擬機(jī),一臺(tái)做域控制器,一臺(tái)運(yùn)行集中鑒權(quán)的程序。windows2000可以用vmware,windows2003可以用virtual server 2003。 問題三:添加用戶時(shí)報(bào):“添加用戶失?。阂话阈跃芙^訪問錯(cuò)誤”n 需要將集中鑒權(quán)的機(jī)器加入域,并且以域用戶啟動(dòng),該機(jī)器;以域用戶訪問授權(quán)網(wǎng)頁。 n 配置文件中的ADUsername配置是否正確,是否將該用戶付給網(wǎng)管中心。問題四:對(duì)用戶分配角
12、色時(shí)報(bào)錯(cuò)。對(duì)用戶分配角色時(shí)報(bào):“角色分配失?。∠蚪巧砑映蓡Tbocoxpz出錯(cuò)!有可能該成員已經(jīng)在該角色中了,或者是您沒有權(quán)限進(jìn)行這樣的操作。此工作站和主域間的信任關(guān)系失敗?!眓 需要將集中鑒權(quán)的機(jī)器的指到域控制器;n 修改應(yīng)用服務(wù)器的名字重新加入域中;問題五:能夠創(chuàng)建用戶,但修改用戶出錯(cuò)。能夠創(chuàng)建用戶,但設(shè)定和修改用戶可用性和密碼時(shí)報(bào)錯(cuò):“調(diào)用的目標(biāo)發(fā)生了異常。System.UnauthorizedAccessException: 拒絕訪問?!笔筗eb.config中設(shè)定的ADUsername用戶擁有Domain Admins的權(quán)限。因?yàn)锳DUsername用戶在程序中是用來創(chuàng)建用戶和設(shè)定用
13、戶密碼的,如果只有Domain Users的權(quán)限則只能創(chuàng)建同級(jí)的Domain Users,但不能設(shè)定該用戶的密碼。注意:由于ADUsername用戶的密碼不能更改,所以不要使用administrator用戶。 問題六:密碼復(fù)雜度問題。在修改密碼時(shí)報(bào)錯(cuò):“修改用戶失?。涸谠O(shè)置用戶的可用性或密碼時(shí)發(fā)生錯(cuò)誤!調(diào)用的目標(biāo)發(fā)生了異常。System.Runtime.InteropServices.COMException (0x800708C5): 密碼不滿足密碼策略的要求。檢查最小密碼長度、密碼復(fù)雜性和密碼歷史的要求?!?需要修改域安全策略:window的默認(rèn)域密碼策略很難設(shè)定,可以通過如下方式修改:1
14、)打開“管理工具”->“域安全策略”2)選擇“window設(shè)置”->“安全設(shè)置”->“帳戶策略”->“密碼策略”3)將選項(xiàng)設(shè)定為:密碼必須符合復(fù)雜性要求:已禁用密碼長度最小值:0個(gè)字符密碼最長使用期限:0密碼最短使用期限:0強(qiáng)制密碼歷史:0個(gè)記住的密碼用可還原的加密來儲(chǔ)存密碼:已禁用運(yùn)行g(shù)pupdate /force命令注意:n 密碼最長使用期限設(shè)定為0,即表示無期限,如果設(shè)定為“沒有定義”,系統(tǒng)會(huì)自動(dòng)將密碼最短使用期限改為“沒有定義”;n 密碼最短使用期限如果設(shè)定為“沒有定義”,系統(tǒng)會(huì)默認(rèn)為,即密碼必須使用超過天才能更改n 強(qiáng)制密碼歷史如果設(shè)定為“沒有定義”,系統(tǒng)會(huì)默
15、認(rèn)為,即新密碼不能與以前用過的24個(gè)密碼中任何一個(gè)相同。問題七:如果想讓用戶可以通過自己的帳號(hào)加入到域,如何保證域控制器的安全性?如果想讓用戶可以通過自己的帳號(hào)加入到域,必須要使該用戶屬于Domain Admins組(這樣就保護(hù)了administrator用戶的密碼)。但集中鑒權(quán)程序默認(rèn)是將用戶加入Domain Users組,所以必須使將Domain Users加入到Domain Admins組才能讓用戶自己將機(jī)器加入到域中。域控制器的安全性就會(huì)受到威脅,可以通過如下兩個(gè)方法避免:1) 設(shè)定允許終端服務(wù)登錄的用戶名n 打開“管理工具”->“域控制器安全策略”n 選擇“window設(shè)置”-
16、>“安全設(shè)置”->“本地策略”->“用戶權(quán)限分配”將“通過終端服務(wù)允許登錄”設(shè)定為Administrator 2) 去掉windows默認(rèn)共享。問題八:域安全策略和域控制器安全策略有什么不同?顧名思義,域安全策略是針對(duì)整個(gè)域,而域控制器安全策略只是針對(duì)域控制器這臺(tái)機(jī)器的,對(duì)我們用戶起作用的是域安全策略。問題九:TAI_USERINFO表說明。為什么使用了2003集中鑒權(quán)方式后,還要在數(shù)據(jù)庫的tai_userinfo表中有一條相同用戶名的記錄?是程序設(shè)計(jì)的不徹底造成的。1) 即使設(shè)定的是通過2003集中鑒權(quán)方式,由于AD中沒有保存user_id,NMSecurity4.dll需
17、要在數(shù)據(jù)庫中讀取user_id供程序使用。2) 上層的ava程序(NMClient, SCClient)沒有使用NMSecurity4.dll組件,只能使用數(shù)據(jù)庫的方式來鑒權(quán)。問題十:如何在集中鑒權(quán)中創(chuàng)建用戶和設(shè)定密碼都失效時(shí)使用安全管理?1) 可以在域控制器中直接創(chuàng)建用戶和設(shè)定密碼2) 向nrmdb中插入記錄:insert into tai_userinfo (user_id, user_name, password)values(2011, 'bocosradmin', 'sradmin');3) 在集中鑒權(quán)中對(duì)該用戶授權(quán) 4) 在集中配置和性能報(bào)表的web
18、.config都需要這樣配置。 問題十一:為何在使用了2003鑒權(quán)后,應(yīng)用程序都不能顯示地區(qū)?需要在角色授權(quán)中對(duì)角色賦予地區(qū)級(jí)的控制:在樹圖類型中選擇“對(duì)象”,在左邊的樹圖上選擇“應(yīng)用&網(wǎng)元類型”,“應(yīng)用&地理類型”中選擇地區(qū)即可。問題十二:Oracle數(shù)據(jù)庫問題。Oracle 數(shù)據(jù)庫可能會(huì)出現(xiàn)“Could not create an environment:OCIEnvCreate return -1”和“”1) 找不到oci.dll是因?yàn)樵诎惭b的Oracle客戶端的時(shí)候不正確,bin目錄下并沒有該文件,需要重新安裝客戶端,有時(shí)候從別的地方拷貝過來也可以。如果還不行,將net
19、work service帳號(hào)加到orc9i訪問權(quán)限,然后重新啟動(dòng)。2) 不能創(chuàng)建環(huán)境變量返回-1是因?yàn)镺racle.1往后版本增加了安全性,集中鑒權(quán)程序是用Network Service訪問的,需要將該帳號(hào)賦予訪問Ora9i的權(quán)限。如果這樣還不行則建議安裝.1版本,這個(gè)版本是開發(fā)版本,沒有問題的;因?yàn)镺racle9.2版本也支持低版本的客戶端,所以完全沒有問題的。問題十三:鑒權(quán)時(shí)發(fā)生錯(cuò)誤初始化授權(quán)管理器store時(shí)發(fā)生錯(cuò)誤1) 授權(quán)路徑不正確2) 沒有將Authorization Users 賦予為BOCO訪問權(quán)限。問題十四:怎樣融合Portal系統(tǒng)大多數(shù)省份都沒有上該系統(tǒng),如果上了該系統(tǒng)需要啟用配置項(xiàng)SystemTag,并且需要在host中添加.12 eomsws 項(xiàng);這個(gè)項(xiàng)指向portal的Web service。問題十五:手動(dòng)注銷日志組件若要部署前請(qǐng)手動(dòng)注銷日志組建(authoriz
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度個(gè)人與文化傳播公司合作推廣合同2篇
- 2025年度個(gè)人信用汽車貸款額度調(diào)整合同4篇
- 2025年度綠色能源儲(chǔ)藏系統(tǒng)采購合同4篇
- 二零二五年度美容院美容院連鎖經(jīng)營管理股份合作合同3篇
- 二零二五版綠色建筑暖通系統(tǒng)性能評(píng)估合同4篇
- 2025年度建筑工地臨時(shí)宿舍租賃服務(wù)合同范本2篇
- 2025年度寧波市事業(yè)單位財(cái)務(wù)人員勞動(dòng)合同4篇
- 二零二五年度養(yǎng)老服務(wù)業(yè)合作合同2篇
- 二零二五年度新能源產(chǎn)業(yè)過橋資金投資合同
- 2025年度個(gè)人家居裝修貸款合同模板(含材料費(fèi))3篇
- 碳排放管理員 (碳排放核查員) 理論知識(shí)考核要素細(xì)目表四級(jí)
- 撂荒地整改協(xié)議書范本
- GB/T 20878-2024不銹鋼牌號(hào)及化學(xué)成分
- 診所負(fù)責(zé)人免責(zé)合同范本
- 2024患者十大安全目標(biāo)
- 印度與阿拉伯的數(shù)學(xué)
- 會(huì)陰切開傷口裂開的護(hù)理查房
- 實(shí)驗(yàn)報(bào)告·測定雞蛋殼中碳酸鈣的質(zhì)量分?jǐn)?shù)
- 部編版小學(xué)語文五年級(jí)下冊(cè)集體備課教材分析主講
- 電氣設(shè)備建筑安裝施工圖集
- 《工程結(jié)構(gòu)抗震設(shè)計(jì)》課件 第10章-地下建筑抗震設(shè)計(jì)
評(píng)論
0/150
提交評(píng)論