随着aTrust零信任产品和idTrust统一身份认证系统的不断更新迭代,并逐渐承载客户的网络访问和业务应用,大家在日常的工作中也会经常遇到aTrust和idTrust的使用场景,如何高效快速的进行安全部署和功能应用上线呢?本着学习交流的心态,在此立贴记录,将逐步更新aTrust和idTrust新产品相关知识,从入门级安装部署,到基础功能业务配置,再到常见问题排错。欢迎大家发帖交流。
——————————————————第二章idTrust初始化网络和高可用———————————————
idTrust部署——idTrust初始化网络和高可用
一、IDTrust产品简介 1.1产品背景功能 随着网络信息化的发展,国家把网络可信身份作为核心战略,身份鉴别和双因素认证也成为等保合规要求。目前标准企事业单位的应用系统越来越多,规模越来越大,不仅面临日益严峻的外部威胁和严格的监管要求,同时还需要应对员工身份信息管理带来的业务挑战,基于传统的账号管理方式已经不能满足IT运维的工作要求。 在此业务背景下,IDtrust统一身份安全管理系统应孕而生的,以人为中心应用访问控制,提供统一身份管理、统一身份认证、统一门户/单点登录(SSO)、集中应用授权、审计与分析等功能,让认证更简易、身份更安全、应用访问更可控。并实现身份全生命周期管理,降低管理员账号开户、变更、销户等带来的运维复杂度,让管理更高效 。 二、设备参数简介 1.1设备网口属性说明 1.2默认端口说明 备注:截止IDtrust2.0.10版本,设备管理端口和用户认证的https端口均可自定义,默认的http用户认证端口100不可修改
三、IDtrust网络初始化部署 3.1硬件设备部署 某公司 IDTrust设备,网口默认的出厂IP为:eth1(管理口):10.*.*.251/24 3.1.1、使用一根交叉线连接设备和电脑 如果电脑连接的是设备的eth1口,需先在电脑上配置一个10.*.*.0/24网段的地址(10.*.*.251除外),打开浏览器输入 https://10.*.*.251 登录设备网关控制台(默认账号密码**/**)。 3.1.2、登入设备后,注意先新增路由,否则在配置IP后会重启网络导致后台路由恢复默认,在系统配置网络配置中选择路由页面,按下图所示,新增路由信息 3.1.3、部署模式配置,在【系统配置】-【网络配置】-【部署模式】按默认引导配置
3.2虚拟化平台部署 3.2.1、在虚拟化平台上配置临时IP地址,通过ip addr命令配置IP地址 例如通过如下:124的步骤,配置eth1口的IP地址和网关 1)、添加接口IP命令:ip addr add 172.*.*.1/24 dev eth1 2)、删除接口IP命令:ip addr del 172.*.*.1/24 dev eth1 3)、添加路由命令:route add –host 172.*.*.254 dev eth1 4)、添加默认路由:route add default gw 172.*.*.254 配置过程截图可以参考如下 3.2.2、网络部署模式配置 通过2.1步骤配置的IP地址登录设备,按硬件部署的指导,先添加路由,后配置网口IP地址即可,此次不再赘述。
四、双机高可用配置 4.1主备双机部署模式 4.1.1、网口规划 双机部署条件:两台IDTrust设备,在软件版本相同,硬件型号相近,使用网口相同条件下,支持主备模式部署。 认证口规划:一般使用eth0口,设备默认路由走认证口 管理口规划:一般使用eth1口,注意管理口需要配置单独的路由(主备场景下,备机认证口路由不通) HA口规划:设备管理口可选做为HA口,一般使用其他空闲网口即可。
4.1.2、双机配置步骤 配置前提:在配置认证模式初始化时,就需要把规划好的HA口和管理口填写进去,在双机处直接对应网口。 例如如下配置
主机配置:选择双机主备模式 主机配置:选举主机优先级为高,配置主备HA网口和共享密钥,检测网口选择认证口即可 主机配置:根据网络环境,选择心跳超时时间,ARP探测和ICMP探测参数和条件 主机配置:切换行为部分,主要用于down备机网口,可以保持默认备机配置:参考主机配置即可,在选举主机优先级是,勾选低优先级即可
主备状态: 4.2主主高可用部署模式 4.2.1网口规划 主主模式部署条件:两台IDTrust设备,在软件版本相同,硬件型号相近,使用网口相同条件下,支持主备模式部署。 网口规划只需配置:认证口(默认eth0),管理口(默认eth1)即可。 主主模式下,只有主节点可以修改和同步配置,从节点可以有多个。
4.2.2主主配置步骤 主节点配置步骤:选择主主模式部署 主节点配置步骤:选择设备角色为主控即可,配置共享密钥
从节点配置:选择主主部署模式,配置设备角色为节点,配置主节点地址和共享密钥即可
高可用状态: |