安盟雙因素身份認證系統快速安裝手冊

安盟雙因素身份認證系統

快速安裝手冊

(AnmengServer8.0Agent7.1)

四川安盟電子信息安全有限責任公司

2019411月

版本管理

版本摘要編寫時間

1.20增加常見日常拍錯陳俊2019/11/18

1.21增加管理員描述陳俊2019/11/20

安盟雙因素身份認證本地保護

文檔應用:

本地認證保護的設置與應用。

讀者對象:

網絡安全管理員

使用軟件:

安盟雙因素身份認證軟件Anmeng8.0

安盟雙因素代理AMAgent7.1

目錄

1安裝認證服務器和認證客戶端.............................錯誤!未定義書簽。

1.1安裝認證服務器軟件...............................錯誤!未定義書簽。

1.2導入令牌..........................................錯誤!未定義書簽。

1.3添加代理主機......................................錯誤!未定義書簽。

1.4添加用戶..........................................錯誤!未定義書簽。

1.5安裝標準認證客戶端...............................錯誤!未定義書簽。

1.6測試標準的客戶端.................................錯誤!未定義書簽。

2本地認證保護的設置與應用...............................錯誤!未定義書簽。

2.1本地認證保護的設置...............................錯誤!未定義書簽。

2.2本地認證保護的應用................................錯誤!未定義書簽。

3安裝備份服務器..........................................錯誤!未定義書簽。

4安裝服務管理器..........................................錯誤!未定義書簽。

5卸載服務管理器..........................................錯誤!未定義書簽。

本說明分為兩部分，第一節(jié)為介紹認證服務器的安裝，第二節(jié)為客戶端的安裝，如果認

證服務器已經安裝完成，可以直接查閱第二節(jié)內容。

1安裝認證服務器和認證客戶端

安盟ACE/Agent本地訪問認證

客戶端（工作站）服務器

皆呆的時候，用戶需要輸入

個安盟SecurH）口令.

如果口令正確,用戶就可以

建防到Widows桌面.

A2

本地保護的基本思路是：

1，在服務器上安裝安盟認證服務器軟件。

2,將生成的文件，從服務端復制到客戶端。

3,在客戶端（工作站）安裝標準客戶認證軟件。

1.1安裝認證服務器軟件

在安盟認證軟件AnmengServer8.0文件夾里邊雙擊啟動安裝，得到如下提示:

圖1?1

選擇“主認證服務器”，單擊“下一步”繼續(xù)安裝。

圖1-2

導入許可證文件（），安盟有專用的一張光盤。單擊“確定”繼續(xù)安裝。通過瀏覽按鈕,

找到許可證文件所在目錄，單擊“確認”。許可證文件路徑出現在文本框中，單擊“下一步”，

進入下一步的安裝。

圖1-3

設置安裝路徑，單擊“下一步”，繼續(xù)安裝。

圖1-4

認證服務器自動安裝。

圖1-5

單擊“完成”。安盟認證服務器8.0版本安裝完成。這樣就可以啟動服務器。

1.1.1管理員身份登錄

?第a憧度a

命令?示芬

2003

2003

i口服與*i里3

圖1-6安盟服務管理器

單擊開始）所有程序-安盟認證服務器8.01服務管理器，就會出現連接服務器的畫面

圖1-7連接服務器

單擊“連接服務器二

圖1-8認證服務器管理登錄

輸入用戶名sysadmin,口令是1111（安盟身份認證系統初始密碼是1111）,單擊“下一

步”，就可以進入到安盟認證服務器的管理界面。如下圖所示:

T女工QSUiff?分管再；B70去工中國(主墨努衣)

糊⑤GMT理11)用戶管理@)羽富遭電代理主機曾理⑴M點Q)座卸gifiQ)…，如

-貨的從吐那號重型萬

B$ttta

東廿RWI?

己制於B?liubin

8站電?理MfQg

-:陶有達吉*axa*o>a

stna<i?nt?ya?A

代理王娟理?Uk?V?L

箍二節(jié)自管理ejin.國

:8公共站點xi，8?T

siavsrKan^qi

MH

代曲機亶理zh?nQ<i

ckao<ztyi

菊二Y點筌理

S北京站

?Vililii

?SM&

-3：：w中

Ch-ckltt

xpohiK住

IE二槍

Proxy即登

顯示內苔站《5?理-公共站《5-絹管理-籬整熨(fflPft13)教學

圖1-9安盟認證服務器管理畫面

到此安盟認證服務器的安裝與啟動全部介紹完畢c

安盟身份認證系統己經增加三員分立的功能，分別是系統管理員，安全員和審計員。

其中日志管理員為auditadmin,初始密碼是1111o

1.1.2導入令牌

進入管理界面后，在“令牌管理”中，選擇“導入令牌”。系統會提示導入，以xml后

綴名的種子文件，這時系統會提示“設置令牌工作模式”。

圖1-10設署令牌工作方式

默認安裝，單擊“確定”。系統會顯示導入令牌的個數。

導入OTP令牌

令牌獨［io再入熟［o

覆蓋數p跳過數p

進度iniinnnv

確定

圖MI令牌導入狀態(tài)

新導入的令牌在“未分配令牌”一欄中，分配給用戶后進入“已分配令牌”一欄。

-安盟認讓服務巨'理粉令牌序列號開始時間結束時間

-令牌管理000000789194702004-06-082010-09-29

未分配令牌000000789194712004-06-082010-09-29

已分配令牌000000789194722004-06-082010-09-29

-組管理000000789194732004-06-082010-09-29

管理員000000789194742004-06-082010-09-29

代理主機管理000000789194752004-06-082010-09-29

第二節(jié)點管理000000789194762004-06-082010-09-29

2010-09-29

-RADIUS首理000000789,94772004-06-08

Chee蠅性000000789194782004-06-082010-09-29

RavnenH屋件000000789194792004-06-082010-09-29

圖1-12

選中某一令牌后雙擊，可以直接編輯該令牌。

1.1.3添加代理主機

添加代理主機，也就是需要保護的目標機，打開安盟認證服務器的管理畫面。

圖1-13增加代理主機

在樹列表區(qū)選擇“代理機管理”，在信息列表區(qū)，單擊鼠標右鍵，選著“增加代理主機”

編篇代理主機

RADIUS屬性一

RespondK'll|3

Check屬性!三

IP地址池|三|

用加或二節(jié)點|_____________|生成節(jié)點花文|刪除節(jié)點一文|保存

刪肝黃—節(jié)點|壟蛆用戶|設置訪問時間|刪除代理主機|退出

圖1-14編輯代理主機

填寫“代理主機名稱”和“IP地址”，這個地方還要勾選“向所有用戶開放二保存退

出，到此代理機就添加完成。

接下來，就是要生成配置文件文件。該文件在后期安裝客戶端的時候使用到。我們臨時

將其臨時放在桌面。

在菜單欄上邊點擊“代理機主機管理”選擇“導出配置文件”。

圖1-15導出配置文件

將配置文件文件臨時放到桌面保存。

圖1-16保存配置文件

單擊“保存”這樣客戶端的配置文件制作完成。

L1.4添加用戶

在管理畫面上邊，在樹列表區(qū)選擇“管理員”，然后在信息列表區(qū)，單擊鼠標右鍵選擇

“增加用戶”。

圖1-17增加用戶

假如我們添加一個用戶cc,并且給它分配令牌如下顯示:

圖1-18編輯添加用戶

填寫賬號，用戶名，分配一個令牌，最后勾選“在所有代理機上激活”，單擊“保存二

一個用戶添加完成。

1.2安裝標準認證客戶端

將安裝認證服務器時保存的配置文件“二復制到客戶端（工作站）。假設我們仍然放到

桌面上。為了保證客戶端和認證端是連接正常，安裝程序前最好ping測試一下。如果連接

正常，開始安裝程序。

雙擊安盟ACEAgent中的文件，會出現下面的畫面

InstallShiel4fixard2SJ

玖卻使用AIAe?i>tTVi<>rd

Inst?115hi?ld（X）Viztrd將在計It機中安蓊

熄MentT。若要縛分，語單擊“下一岳”。

壓三盟坡）1取消|

圖1-19

選擇“下一步”繼續(xù)安裝

AlAecnt?-Ins^allShieldTizard

圖1-20

將剛才保存在桌面上的文件導入，單擊“下一步二現在程序開始安裝。屏幕會顯示安

裝進度的畫面。

圖1-21

客戶端安裝完成。

1.1.5測試標準的客戶端

進入控制面板打開客戶端，在開始今所有程序令anmeng會出現下面的畫面

安密認證客戶載管理署

圖1-22

點擊“認證測試”

圖1-23

單擊“認證”

提示兇

認證成功！

仁二確定二胃

圖1-24

身份認證成功，到此身份認證客戶端，就可以正常使用了。

2本地認證保護的設置與應用

1.3本地認證保護的設置

i增加用戶，添加需要保護的賬戶。

圖2-1

用戶名就是需要驗證的登錄賬號，主機密碼為windows設置的灣碼，預留口令是指當

客戶端無法與認證服務器聯系，會提示用戶輸入預留的口令密碼。

點擊〈確定〉保存,完成添加用戶操作，保存所有配置。

2啟動認證

安密認證客戶栽管理涔

增加用戶編輯用戶刪除用戶

認證則試保存配置退出

保存配置。將認證客戶端狀態(tài)設置成啟動，退出系統，認證保護生效。

1.4本地認證保護的應用

完成上邊的過程，重新啟動系統后，就會出現下邊的一個安盟SecurlD的對話框。

圖2-2

依次輸入用戶名和動態(tài)口令點擊〈登錄〉，即可實現登錄驗證保護的功能。

3認證日志排錯

選擇開始分程序令安盟認證服務器8.0今認證日志查看器，在經過權限驗證后（只有管理

員級別的用戶方可查看該日志），可查看認證日志，如下圖：

應用按名，爾

fQInCemMExp*Of?f□命令■小種

aWindomServerpg.(i?wa.uaa&Mi

.■dnaMwai.幢麗n

Rffi誓2.Bi*m

■HUB汶田?

.Windows用iSCSIXieWf9

■,PowvrShdl

⑦RADIUSI”ooecw?02

，付)

■aM

識找.WtLHwmasaooecttioM

3SB忖)

IMH右育,惠,Wcdows

NPowvrShdl(?M)

?安盟雙因素身份認證系統V7.0—認證日志查科器-Demo（主服務器）

系統日志雪理報告（R）

用戶對?I維票I

2018-03-1219:52:17adminstrator192.168.1201靜態(tài)口令

2018-03-1222:40:08adminstrator192.168.1.201靜態(tài)口令

2018-03-1223X)3:28admin192.168.1.201wax定力正■

2018-03-1223:04:52admin192.168.1201定碼不正.

2018-03-1223:05:43admin192.168.1.201用戶已被禁用

2018-03-1223:06:32admin192.168.1.201厄口令

12018-03-1223^)6:47admin192.168.1.201缶碼不正.

如果用戶登錄有問題，或者在測試時，都可以通過查看認證日志，找到問題所在。

常見的認證日志錯誤及解決辦法如下所示:

3.1密碼不正確

認證信息如下：

2018-03-1223:04:52admin192.168.1201密碼不正.

解決辦法:

I.如果是所有登錄某個代理主機的用戶均報密碼不正確，請確定代理主機對接的協

議：

a）如果是RADIUS協議，請確保雙方的RADIUS共享密鑰一致。

b）如果是SECURID協議，請清除代理主機上的節(jié)點密文。

2.請確保用戶的密碼類型，

a）如果是靜態(tài)密碼，請確保靜態(tài)密碼沒有過期，并重置密碼。

張?zhí)栭_戶日期|2018-03-12「需用戶更換口令「用戶禁用

黑號開始日期修01873T2"二|口令微止日期"017-02T2,二|

最近登錄時間|2018-03-1223:06:32過期，請延期~

b）動態(tài)密碼

i.請確保用戶令牌的狀態(tài)為可用狀態(tài);

ii.請確保用戶的令牌沒有過期；

111.請重置令牌的PIN碼，并同步令牌。

3.2用戶不在代理主機上

認證信息如下:

2018-03-090029:03|root|192.168.1.103||用戶程

解決辦法：

1.根據日志信息中的操作主機信息，請確保192.168.1.103已經添加成為了代理主

機，如果尚未添加，請根據6.2添加代理主機中所描述的步驟進行增加。

2.如果已經把192.168.1,103添加成了代理主機，請確保代理主機向root用戶開放了

訪問權限，可根據6.5激活代理主機小節(jié)中所描述的內容進行授權。

3.3需要設置新PIN碼

2018-03-1309:42:05admin192.168.1.20100000046127119若要設置新PIN碼

2018-03-1309:43:05test192.168.1201靜態(tài)口令有要設置新PIN請

I）當認證對象為令牌序號時，表示用戶的令牌模式鉤選了使用PIN,但尚未設置PIN

碼，或者是用戶令牌的狀態(tài)為新PIN模式，如下圖所示：

解決方法:

a）在編輯令牌窗口，點擊編輯PIN碼按鈕，手動設置PIN碼，并將令牌的狀態(tài)設置

為啟用狀態(tài)。

b）通過認證代理軟件或支持RADIUS挑戰(zhàn)應答的工具，并根據提示設置PIN碼，如

下圖所示：

R*dlu,客戶超.|支持挽戰(zhàn)/應答認證菽］

請缽入用戶名：adRin

197518

Responsepacket：

1Code■Access-ChaHenge<11>

1ID-0

2Length?121

16RequestAuthenticator-<80428064Id6261368afb8c2f51Id58e9>

44Rcply-tlcssAge<18>?"EnteranewPINhavingfnon4to8digits:**

57State<24>-0AUTH.0-Rf?Hc?A?Rlc9ef35db?lc9beS6c997c929300*bcacbffc53M

EnteranewPINhavingfron4to8di9its：：abcdl234"

Responsepacket：

1Code■Access-Accept<2>

1ID-1

2Length?37

16RequestAuthenticator-<ba81562c499b8b7ffB1927la11fl446d>

17Reply-Hessasre<18>-,(PASSCODEAccept0

PIN設置成功，在認證Fl志中，將新生成一條設置新PIN碼成功的Fl志，如下圖所示:

201803-1309:51^)8admin192.168.1.20100000046127119設置新PIN碼成功

3.4需要下一個令牌碼

201803-131Ch03:41admin192.168.1.20100000046127119

當用戶令牌的模式鉤選了啟用下一令牌碼，且令牌的狀態(tài)為下一令牌碼時，在用戶輸入

正確的PIN碼+令牌碼后，會提示需要下一個令牌碼，如下圖所示:

輛令牌

令It^0C300046127119

P|?dain

令慎6用時同|2017-06-W-

令0關雨時日|20J8-05-08~

.近登錄/II用時同|2019-03-13100441-

令普奧0|128位收件~令聲碼位效[6—

余次Ik|1分"狀速|下

◎梁生奧次?[0pixa|*SH

令0虢式狀在設置

P啟用一次一生。自用

C*用

P使用P1M

CjjPIJiUl式

|P啟用下一令呵

r啟用遇倩

解決辦法:

a）在編輯令牌窗口，將令牌的狀態(tài)設置為啟用狀態(tài)，并保存。

b）通過認證代理軟件或支持RADIUS挑戰(zhàn)應答的工具，并根據提示設置PIN碼，如

下圖所示：

ludis客戶at|支挎挑成/應答認證稹式］

請輸入用戶W2

請輸入后襠斗>加“23Ml38k|—PINi什—?

Responsepacket：

1Code■Access-Challenge<11>

1ID-0

2L0ngli-94

16Requestduthenticator■《b6?bdS44a4c9dd093?Stcdc?54f?il16>

17Reply-heasage<18>-<,E-?terNextCode”

57State<24>-MAUTH.0-00decBa801c9e6ff4e3fl2cdf34fd482a7610S84ddfffbaeM

日“rN?xtCo.：785858|

Responsepacket：

1Code-Access-Accept<2>

1ID,1

2Length-37

16RequestAuthenticator-<eb96e28f1cb3194。feb2fB09fd4b26di>

17Reply-Hessage<18>-"PVS8DEAccept0

所謂的下一個令牌碼，是相對于用戶登錄時，所輸入的那個令牌碼來講的，假設有

以下5個令牌碼：

387212413870785858341375901562

假設，用戶在登錄時，輸入的密碼是abed,其中，abcdl234是PIN碼，413870是

令牌碼，那么，等413870變化之后的第一個令牌碼，就是下一個令牌碼，即785858。

下一個令牌碼驗證成功之后，在認證日志中，將新生成一條登錄成功的日志，如下

圖所示：

2018-03-131003:41admin192.168.1.20100000046127119需要下一^^?符碼

2018-03-1310^)4:08|admin|192.168.1201100000046127119

3.5沒有可用的令牌

2019-03-1310:1503admin192.168.1201沒有可用的令牌

當用戶在登錄的時候，輸入了正確的PIN碼+正確的令牌碼，得到沒有可用的令牌

時，表示用戶的令牌已經過期了。

解決方法：

請為用戶重新分配一個沒有過期的令牌。

4安裝認證備份服務器

安裝備份服務器操作步驟:

第一步，在系統/備份服務器管理/輸入備份服務器，填入預作備份機的IP地址。

圖4-1添加備份服務器地址

單擊“生成備份服務器數據走”,

圖4-2生成備份數據包

此時，在主認證服務器上生成一個包，在安裝認證服務器默認路徑下會出現一個

replicaDB備份包(例如：C