本文详细介绍了如何在BIG-IP LTM系统中部署包括LDAP、RADIUS、TACACS+、SSL客户机证书LDAP、SSLOCSP在内的多种认证模块,以实现对网络流量的高效身份验证和授权。通过实施这些模块,可以显著提高系统的安全性,确保只有经过适当身份验证的用户才能访问关键资源。
• 简介
• 实施LDAP认证模块
• 实施RADIUS认证模块
• 实施TACACS+认证模块
• 实施SSL客户机证书LDAP认证模块
• 实施SSL OCSP认证模块
简介
BIG-IP®本地流量管理(LTM)系统的重要特性是能够支持可插拔认证
模块(PAM)技术。PAM技术使您能够从许多不同的认证和授权方案
中进行选择,以便对网络流量进行认证或授权。
PAM技术的目标是将应用(如LTM系统)从其底层认证技术中分离出
来。这意味着您可以采用您希望LTM系统使用的特定认证/授权技术,
对进入BIG-IP系统的应用流量进行认证。
为此,LTM系统提供了多种称为认证模块的认证方案。这些认证模块使
您能够使用远程系统对通过LTM系统的应用请求进行认证或授权。
要实施认证模块,可以使用Configuration工具来访问该工具的Local
Traffic部分的Profile屏幕。通过这些屏幕,可以配置需要实施的认证模
块的设置。
LTM认证模块
可以为远程认证实施的LTM模块包括:
• 小型目录访问协议(LDAP)
LTM 系统可以使用存储在远程LDAP 服务器或Microsoft®
Windows Active Directory服务器上的数据对网络流量进行认证
或授权。客户机证书基于基本的HTTP认证(用户名和密码)。
• 远程认证拨入用户服务(RADIUS)
LTM系统可以使用存储在远程RADIUS服务器上的数据对网络流
量进行认证。客户机证书基于基本的HTTP认证(用户名和密码)。
• TACACS+
LTM系统可以使用存储在远程TACACS+服务器上的数据对网络
流量进行认证。客户机证书基于基本的HTTP认证(用户名和密
码)。
• SSL客户机证书LDAP
LTM系统可以使用存储在远程LDAP服务器上的数据对网络流量
进行授权。客户机证书基于SSL证书以及定义的用户群和角色。
• 在线证书状态协议(OCSP)
LTM系统可以使用存储在远程OCSP服务器上的数据检查客户机
证书的撤销状态。客户机证书基于SSL证书。
实施认证模块
使用LTM系统,可以实施前一部分列出的任何可用的认证模块。实施认
证模块需要创建或配置以下对象:
• RADIUS服务器或SSL OCSP响应器对象
该对象只对RADIUS和SSL OCSP认证模块是必需的。服务器对
象和响应器对象由关于远程RADIUS服务器或OCSP响应器的设
置组成。
• 配置对象
这是通过一组可配置的设置控制认证模块的配置对象。配置对象
设置的实例包括Host、Service Port和Search Time Limit等。
• 认证Profile
认证Profile是一种对象,它指定:您希望实施的认证模块的类型、
上级Profile和配置对象(参见上一个步骤)。您既可以使用LTM
系统为每种认证模块提供的缺省Profile,也可以创建定制Profile。
有关Profile的背景信息,请参阅第5章“了解Profile”。
• 认证iRule
对于您希望实施的任何一种PAM模块,LTM系统都提供了必须与
您的Profile和Real Server关联的相应缺省认证iRule。认证iRule
是一种基于TCL的脚本,它根据相应Profile和配置对象的设置执
行认证/授权行为。
在大多数情况下,您可以使用缺省的iRule,而不是创建定制的iRule。
当需要实施多个相同类型的认证模块(如多个LDAP认证模块,每一个
都有不同的配置对象和Profile设置)时,必需创建定制的iRules™。有
关创建定制iRules的详细信息,请参阅第13章“编写iRules”。
实施认证模块的过程很简单。例如,要实施LDAP认证模块(这种模块
通过用户名和密码认证,使用远程LDAP服务器对客户机流量进行认
证),需要执行以下工作。请注意,该实例创建了一个定制Profile,并
使用LTM系统提供的缺省iRule。
实施认证模块的步骤
1. 创建名为my_ldap_config的认证配置对象。有关创建LDAP认证
配置对象的详细信息,请参阅第8-4页上的“创建LDAP配置对象”。
2. 创建名为my_ldap_profile的定制认证Profile,在该Profile中将认
证模块类型指定为LDAP,指定上级Profile(缺省LDAP Profile
或您创建的另一个定制Profile ) , 并参考配置对象
my_ldap_config。有关创建LDAP Profile的详细信息,请参阅第
8-6页上的“创建LDAP Profile”。
3. 配置Real Server,以参考定制Profilemy_ldap_profile和缺省认
证iRule auth_ldap。有关如何配置Real Server设置的详细信息,
请参阅第2章“配置Real Server”。
实施LDAP认证模块
LDAP认证模块是一种对通过LTM系统的客户机连接进行认证或授权
的机制。当认证或授权数据存储在远程LDAP服务器或Microsoft®
Windows“活动目录”服务器上,并且希望客户机证书基于基本的HTTP
认证(也就是用户名和密码)时,该模块非常有用。
要实施LDAP认证模块,必须配置LTM系统来访问远程LDAP服务器上
的数据。为此,必须创建:
• LDAP配置对象
• LDAP Profile
创建这些对象后,必须:
• 将LDAP Profile分配到Real Server。
• 将LDAP iRule分配到Real Server。
创建LDAP配置对象
创建LDAP配置对象时,需要配置各种设置。表8.1显示了为LDAP配置
对象配置的设置和值。请注意,此表按照您在“新建认证配置”屏幕中
看到的类别对设置进行分组。有关如何创建该对象的详细流程,请参阅
第8-6页上的“创建LDAP配置对象的步骤”。
设置说明 缺省值
常规属性
Name 为配置对象指定一个唯一的名
称。此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为LDAP
无缺省值
配置
Remote LDAP Tree 指定搜索库识别名 无缺省值
Hosts 列出LTM系统用来获取认证数
据的LDAP服务器的地址
无缺省值
Service Port 指定用于LDAP服务的端口号 389 (non-SSL)
636 (SSL-enabled)
LDAP Version 指定LDAP应用的版本号 3
Bind DN 指定要与其进行绑定的账户的
识别名,以便执行搜索。这个搜
索账户是用来进行搜索的只读
账户。管理账户可以用作搜索账
户。如果未指定管理识别名,那
么就不进行绑定。只有当站点不
允许匿名搜索时,该设置才是必
需的。
如果远程服务器是Microsoft®
Windows“活动目录”服务器,
那么必须以电子邮件地址的形
式显示识别名。
无缺省值
Bind Password 指定在LDAP服务器上创建的搜
索账户的密码。如果使用bind识
别名,那么该设置是必需的。
无缺省值
Confirm Bind Password 确认bind识别名的密码。该设置
是可选的。
无缺省值
Search Time Limit 指定搜索的时限。 30
Bind Time Limit 指定绑定时限。 30
Filter 指定过滤器。该设置用于授权客
户机流量。
无缺省值
Login Attribute 指定登录属性。通常,该设置的
值是uid ; 但如果服务器是
Microsoft Windows“活动目录”
服务器,那么该值必须是账户名
SAMACCOUNTNAME(不区分
大小写)。
无缺省值
Group DN 指定群识别名。该设置用于授权
客户机流量。
无缺省值
Group Member Attribute 指定群成员属性。该设置用于授无缺省值
设置说明 缺省值
权客户机流量。
SSL 允许的值包括: Enabled 、
Disabled和Start TLS。请注意,
当启用时,LTM系统将服务端口
号从389改为636。
Disabled
Check SSL Peer 当启用时,检查SSL对等体。 Disabled
SSL CA Certificate 指定SSL CA证书的名称。允许
的值包括:None、Default和
Specify Full Path。
None
SSL Client Key 指定SSL客户机密钥的名称。允
许的值包括:None、Default和
Specify Full Path。
None
SSL Client Certificate 指定SSL客户机证书的名称。允
许的值包括:None、Default和
Specify Full Path。
None
SSL Ciphers 指定SSL密码 无缺省值
Ignore Unknown User 当启用时,让LTM系统忽略未知
用户。
Disabled
Warning Logging 启用或禁用警告消息。 Enabled
Debug Logging 启用或禁用LOG_DEBUG级别
的调试信息。正常情况下不建议
使用。
Disabled
表8.1 LDAP配置对象的设置
创建LDAP配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configurations。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置, 为配置对象输入一个唯一的名称, 例如
my_ldap_config。
6. 对于Type设置,选择LDAP。
屏幕将扩展,显示若干设置。
7. 修改或保留所有显示的设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建LDAP Profile+
创建LDAP配置对象之后,必须创建或配置LDAP Profile。此操作可以
通过修改缺省的LDAP Profile来进行,也可以通过创建继承缺省Profile
设置的定制Profile来进行。认证Profile的一项重要功能是参考已创建的
现有配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,也必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建LDAP Profile时,需要配置一些设置。表8.2显示了组成LDAP
Profile的设置和值。有关创建LDAP Profile的详细流程,请参阅第8-7
页上的“修改缺省LDAP Profile的步骤”,或参阅第8-7页上的“创建
定制LDAP Profile的步骤”。
设置说明 缺省值
Name 为Profile指定一个唯一的名称。
此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为
LDAP。
无缺省值
Parent Profile 指定希望从中继承值的Profile。ldap
Mode 指定是启用还是禁用Profile。可
能的设置包括Auto、Enabled
和Disabled。
Enabled
Configuration 指定一个现有的LDAP配置对
象。此设置是必需的。
无缺省值
Rule 指定现有认证iRule的名称。如
果不指定iRule,LTM系统将使
用相应的缺省iRule。
auth_ldap
Idle Timeout 以秒为单位,指定认证或授权请
求在超时前的空闲持续时间。您
可以使用缺省值,指定一个不同
的值,还可以选择Indefinite。
300
表8.2 LDAP Profile的设置
修改缺省LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击ldap。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择值None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ldap,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ldap,请选择已创建的现有
iRule的名称。
8. 点击Finished。
创建定制LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profiles屏幕。
5. 对于Name 设置, 为Profile 输入一个唯一的名称, 例如
my_ldap_profile。
6. 对于Type设置,选择LDAP。
屏幕将扩展,显示其它设置。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile ldap用于上级Profile,请将设置保留为
原状。
• 如果要将定制Profile用于上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,选择Enabled或Auto。
9. 对于Configuration设置,从列表中选择配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ldap,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ldap,请选择已创建的现有
iRule的名称。
11. 点击Finished。
创建LDAP配置对象和LDAP Profile后,必须执行以下操作:
• 通过配置Real Server的Authentication Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rule设置,将缺省auth_ldap iRule分配
到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
实施RADIUS认证模块
RADIUS认证模块是一种认证通过LTM系统进行客户机连接的机制。认
证数据存储在远程RADIUS服务器时使用该模块。在这种情况下,客户
机证书基于基本的HTTP认证(也就是,用户名和口令)。
为实施RADIUS认证模块,必须配置LTM系统来访问远程RADIUS服务
器的数据。为此,必须创建:
• 一个或多个高级RADIUS服务器对象
• RADIUS配置对象
• RADIUSProfile
创建这些对象后,必须:
• 将RADIUSProfile分配到Real Server。
• 将RADIUS iRule分配到Real Server。
创建RADIUS服务器对象
创建RADIUS服务器对象时,需要配置一些设置。表8.3显示了组成缺
省RADIUS服务器对象的设置和值。有关创建服务器对象的详细流程,
请参阅第8-10页上的“创建RADIUS服务器对象的步骤”。
设置说明 缺省值
Name 为RADIUS服务器对象指定一个
唯一的名称, 例如
my_radius_object。此设置是
必需的。
无缺省值
Host 指定RADIUS服务器的主机名称
或IP地址。此设置是必需的。
无缺省值
Service Port 指定RADIUS认证流量的端口。1812
Secret 设置用于加密或解密从服务器
发送或接收的数据包的密钥。此
无缺省值
设置说明 缺省值
设置是必需的。
Confirm Secret 确认为密钥设置提供的密钥。此
设置是必需的。
无缺省值
Timeout 指定超时值 3
表8.3 RADIUS服务器定义的设置
创建RADIUS服务器对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择RADIUS Servers。
此操作将显示RADIUS Server List屏幕。
4. 在屏幕的右上角,点击Create。
5. 对于Name设置,为RADIUS服务器对象输入一个唯一的名称,例
如my_radius_server。
6. 对于Server设置,为远程RADIUS服务器输入一个主机名或IP地
址。
7. 对于Secret和Confirm Secret设置,输入RADIUS密钥。
8. 保留或修改所有其它设置。
9. 点击Finished。
10. 对于冗余RADIUS服务器,重复这些步骤以创建其它服务器对象。
创建RADIUS配置对象
创建RADIUS配置对象时,需要配置各种设置。表8.5显示了组成
RADIUS配置对象的设置和值。请注意,此表按照您在“新建认证配置”
屏幕中看到的类别对设置进行分组。有关如何创建该配置对象的详细流
程,请参阅第8-11页上的“创建RADIUS配置对象的步骤”。
设置说明 缺省值
Name 为配置对象指定一个唯一的名
称。此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为
RADIUS。
无缺省值
RADIUS Servers 列出LTM用来获取认证数据的
RADUIS服务器的IP地址。
请注意,对于列出的每一个服务
器,必须创建相应的RADIUS服
务器定义。RADIUS服务器定义
指定服务器名称、端口号、
RADIUS密钥和超时值。有关详
细信息,请参阅表8.3。
无缺省值
Client ID 通过字符串栏发送NAS标识符
RADIUS 属性。如果不指定
Client ID设置的值,就使用PAM
服务类型代替。通过指定空客户
机ID,可以禁用该特性。
无缺省值
Debug Logging 启用LOG_DEBUG 级别的
SYSLOG调试信息。正常情况下
我们不建议使用该选项。
Disable
Accounting Bug 禁止确认账户管理的响应矢量。
该选项应该仅适用于较早的服
Disable
设置说明 缺省值
务器。
Retries 指定在认证失败前LTM系统允
许的认证重试次数。
3
表8.4 RADIUS配置对象的设置
创建RADIUS配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configuration。
4. 在屏幕的右上角,点击Create。
此操作将显示New Confugurations屏幕。
5. 对于Name设置, 为配置对象指定一个唯一的名称, 例如
my_radius_config。
6. 对于Type设置,选择RADIUS。
屏幕将扩展,显示若干设置。
7. 修改或保留所有显示的设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建RADIUS Profile
创建RADIUS配置对象之后,必须创建或配置RADIUSProfile。此操作
可以通过修改缺省的radius Profile来进行,也可以通过创建继承缺省
Profile设置的定制Profile来进行。认证Profile的一项重要功能是参考现
有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,也必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建RADIUSProfile 时, 需要配置各种设置。表8.5 显示了组成
RADIUSProfile的设置和值。有关创建RADIUSProfile的详细流程,请
参阅第8-12页上的“修改缺省RADIUSProfile的步骤”,或参阅第8-13
页上的“创建定制RADIUSProfile的步骤”。
设置说明 缺省值
Name 为Profile指定一个唯一的名称。
此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为
RADIUS。
无缺省值
Parent Profile 指定希望从中继承值的Profile。radius
Mode 指定启用还是禁用Profile。可能
的设置包括Auto、Enabled和
Disabled
Enabled
Configuration 指定一个现有的RADIUS配置
对象。
无缺省值
Rule 指定现有认证规则的名称。如果
不指定iRule,LTM系统将使用
auth_radius
设置说明 缺省值
相应的缺省iRule。
Timeout 以秒为单位,指定认证或授权请
求在超时前的空闲持续时间。您
可以使用缺省值,指定一个不同
的值,还可以选择Indefinite。
300
表8.5 RADIUS Profile设置
修改缺省RADIUSProfile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击radius。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_radius,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_radius,请选择已创建的现有
iRule的名称。
8. 点击Finished。
创建定制RADIUSProfile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profiles屏幕。
5. 在Name设置中,为RADIUSProfile输入一个唯一的名称,例如
my_radius_profile。
6. 在Type设置中,选择RADIUS。
屏幕将扩展,显示其它设置。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile radius用于上级Profile,请将设置保留
为原状。
• 如果要将定制Profile用于上级Profile,请从列表中选择定制
Profile的名称。
8. 在Mode设置中,选择Enabled或Auto。
9. 在Configuration设置中,从列表中选择配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_radius,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_radius,请选择已创建的现有
iRule的名称。
11. 点击Finished。
创建RADIUS服务器对象、RADIUS配置对象和RADIUSProfile后,必
须执行以下操作:
• 通过配置Real Server的Autentication Profile设置,将Profile分
配到Real Server。
• 通过配置Real Server的Rule设置,将缺省auth_radius iRule分
配到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
实施TACACS+认证模块
TACACS+认证模块是用来对通过LTM系统的客户机连接进行认证的
机制。当认证数据存储在远程TACACS+服务器上时使用该模块。在这
种情况下,客户机证书基于基本的HTTP认证(也就是用户名和密码)。
要实施TACACS+认证模块,必须配置LTM系统来访问远程TACACS+
服务器上的数据。为此,必须创建:
• TACACS+配置对象
• TACACS+ Profile
创建这些对象后,必须:
• 将TACACS+ Profile分配到Real Server。
• 将TACACS+ iRule分配到Real Server。
创建TACACS+配置对象
创建TACACS+配置对象时,需要配置各种设置。表8.6显示了组成缺省
TACACS+配置对象的设置和值。请注意,此表按照您在“新建认证设
置”屏幕中看到的类别对设置进行分组。有关如何创建该对象的详细流
程,请参阅第8-15页上的“创建TACACS+配置对象的步骤”。
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是
必需的。
无缺省值
Type 指定要实施的认证模块的类型。必须将此值
设置为TACACS+。
无缺省值
Servers 指定TACACS+服务器的主机名称或IP地
址。此设置是必需的。
无缺省值
Secret 设置用于加密和解密发送到或接收自服务
器的数据包的密钥。此设置是必需的。
无缺省值
Confirm Secret 确认为Secret设置提供的密钥。此设置是必
需的。
无缺省值
Encryption 启用或禁用TACACS+数据包的加密。建议
在正常情况下使用。
Enabled
Service Name 指定TACACS+服务器的接听设备,例如
PPP。
无缺省值
Protocol Name 指定TACACS+服务器的接听设备,例如
lcp。
无缺省值
Authentication 指定认证选项。可能的值包括Authenticate
to first server和Authenticate to each
server until success。
Authenticate to first server
Accounting
Information
如果定义了多个TACACS+服务器并启用
了PAM会话账户,那么将账户的开始和结
束数据包发送到第一个可用的服务器或发
送到所有服务器。可能的值包括Send to
first available serve 和Send to all
servers。
Send to first available server
设置 说明 缺省值
Debug Logging 启用LOG_DEBUG级别的SYSLOG调试信
息。不建议在正常情况下使用。
Disable
表8.6 TACACS+配置对象的设置
创建TACACS+配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configurations。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置, 为配置对象指定一个唯一的名称, 例如
my_tacacs_config。
6. 对于Type设置,选择TACACS+。
屏幕将扩展,显示若干设置。
7. 修改或保留所有显示的设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建TACACS+ Profile
创建TACACS+配置对象之后,必须创建或配置TACACS+ Profile。此
操作可以通过修改缺省的tacacs+ Profile来进行,也可以通过创建继
承缺省Profile设置的定制Profile来进行。认证Profile的一项重要功能是
参考现有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,仍必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建TACACS+ Profile 时, 将配置各种设置。表8.7 显示了组成
TACACS+ Profile的设置和值。有关创建TACACS+ Profile的详细流程,
请参阅第8-16页上的“修改缺省TACACS+ Profile的步骤”,或参阅第
8-17页上的“创建定制TACACS+ Profile的步骤”。
设置 说明 缺省值
Name 为Profile指定一个唯一的名称。此设置是必需的。 无缺省值
Type 指定要实施的认证模块的类型。必须将此值设置为
TACACS+。
无缺省值
Parent Profile 指定希望从中继承值的Profile。 tacacs+
Mode 指定是启用还是禁用Profile。可能的设置包括Auto、
Enabled和Disabled。
Enabled
Configuration 指定一个现有的TACACS+配置对象。 无缺省值
Rule 指定现有认证规则的名称。如果不指定iRule,LTM系
统将使用相应的缺省iRule。
auth_tacacs+
Idle Timeout 以秒为单位,指定认证或授权请求在超时前的空闲持续
时间。您可以使用缺省值,指定一个不同的值,还可以
选择Indefinite。
300
表8.7 TACACS+ Profile的设置
修改缺省TACACS+ Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击tacacs+。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_tacacs,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_tacacs,请选择已创建的现
有iRule的名称。
8. 点击Finished。
创建定制TACACS+ Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profile屏幕。
5. 对于Name设置,为Profile指定一个唯一的名称。
6. 对于Type设置,选择TACACS+。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile tacacs用作上级Profile,请将设置保留
为原状。
• 如果要将定制Profile用作上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,选择Enabled或Auto。
9. 对于Configuration设置,从列表中选择配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_tacacs,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_tacacs,请选择已创建的现
有iRule的名称。
11. 点击Finished。
创建TACACS+配置对象和TACACS+ Profile后,必须执行以下操作:
• 通过配置Real Server的Authentication Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rules设置,将缺省的auth_tacacs iRule
分配到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
实施SSL客户机证书LDAP认证模块
SSL客户机证书LDAP认证模块是用来对通过LTM系统的客户机连接进
行认证或授权的机制。在此情形中,客户机认证信息基于SSL证书认证
信息,而不是基于用户名和密码;LDAP客户机授权不仅基于SSL证书,
而且基于您定义的用户群和角色。
♦ 重要信息
实施SSL客户机证书LDAP认证模块之前,必须配置并实施Client SSL
Profile。在该Profile中,Mode配置设置的值必须设置为Auto或
Enabled。
了解SSL客户机证书授权
使用SSL客户机证书LDAP授权,LTM系统可以基于可信CA签发的签名
客户机证书对客户机进行授权。然后,要进一步增强系统对客户机请求
进行授权的能力,您还可以指定群和角色。使授权基于证书以及群和角
色进行,这提供了控制客户机对系统资源的访问时所需的灵活性。
能够实施SSL客户机证书LDAP模块之前,必须了解两种不同类型的认
证信息,LTM系统使用它们来对使用远程LDAP服务器上数据的应用流
量进行授权。这两类认证信息是:
• SSL证书
• 群和角色
使用SSL证书进行LDAP授权
对客户机进行授权的过程中,LTM系统必须搜索LDAP数据库。使用基
于证书的授权时,系统可以三种方式搜索LDAP数据库:
• 用户
很多LDAP服务器环境已将证书集成到存储在LDAP数据库中的
用户信息中。在LDAP服务器环境中,配置授权的方法之一是将系
统配置为比较入站证书和存储在LDAP数据库中且与客户机请求
关联的用户证书。如果在用户的LDAP Profile中找到证书,则授
予用户访问权限并批准请求。
• 证书映射
如果创建用于将证书映射到LDAP数据库中的用户的对象和类,那
么可以将系统配置为在映射中搜索证书以及从该映射中检索用
户。然后,系统将进行检查,确保LDAP数据库中的用户是有效的
用户。
• 证书
如果证书未存储在LDAP数据库中,那么可以将系统配置为从作为
入站客户机请求的一部分而出示的证书中提取用户名。然后,系
统将检查LDAP数据库中是否存在用户条目。对于自己担当证书授
权机构的公司,此方案是一个不错的选择。通过该方案公司可以
确定证书是否经过验证,然后对用户进行授权。
不论执行何种类型的基于证书的授权,该过程都将产生表8.8中所示的
结果。
搜索的结果 授权状态
无匹配记录 授权失败
一个匹配记录 授权成功,且服从群和角色的限制
两个或多个匹配记录 授权失败,原因是数据库条目无效
表8.8 搜索结果和相应的授权状态
使用群和角色进行LDAP授权
除了启用基于证书的授权,还可以基于群和角色来配置授权。
• 群
因为LDAP服务器中已经建立了群的概念和结构,所以LTM系统可
以在其授权特性中包括群。要使群能够用于授权,必须指明基础
和范围,系统将按照这些条件在LDAP数据库中搜索群。此外,还
必须指定群名称和成员名称的设置值。完成这些任务后,系统便
可在有效群的列表中进行搜索,直至找到当前用户是其成员的群。
• 角色
与群不同,角色是直接与用户关联的设置。LTM系统执行的任何
基于角色的授权都依赖内建有角色概念的LDAP数据库。为了确定
是否应授予用户对资源的访问权限,LTM系统在分配给该用户的
角色中进行搜索,并尝试将该角色与管理员定义的有效角色进行
匹配。
要实施SSL客户机证书LDAP授权,必须将LTM系统配置为访问远程
LDAP服务器上的数据。为此,必须创建:
• SSL客户机证书LDAP配置对象
• SSL客户机证书LDAP Profile
创建这些对象后,必须:
• 将SSL客户机证书LDAP Profile分配给Real Server。
• 将SSL客户机证书LDAP iRule分配给Real Server。
创建SSL客户机证书LDAP配置对象
SSL客户机证书LDAP配置对象由一组数据和指令组成。相应的外部
LDAP服务器在处理来自LTM系统的授权请求时,需要这组数据和指
令。
创建SSL客户机证书LDAP配置对象时,您将配置各种设置。表8.9列出
并介绍了可在此配置对象中指定的设置。请注意,此表按照您在“新建
认证配置”屏幕中看到的类别对设置进行分组。有关如何配置此对象的
详细流程,请参阅第8-22页上的“创建SSL客户机证书LDAP配置对象
的步骤”。
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是必需的。无缺省值
Type 指定要实施的认证模块的类型。必须将此值设置为
SSL Client Certificate LDAP。
无缺省值
Hosts 列出LTM系统将用来获取授权数据的LDAP服务器的
IP地址,包括端口号。
无缺省值
Search Type
指定系统搜索LDAP数据库时,所使用的基于证书的
授权方法(第8-18页上的“使用SSL证书进行LDAP
授权” 中进行了介绍) 。可能的值包括User 、
Certificate Map和Certificate。
User
User Base DN
指定User和Certificate这两种搜索类型使用的子树
的搜索基础。典型的搜索基础是:
ou=people,dc=company,dc=com。有关详细信息,
请参阅Search Type设置。
无缺省值
设置 说明 缺省值
User Key
指定LDAP数据库中,指定用户ID的属性的名称。此
设置供User搜索类型使用。用户密钥值的典型实例是
uid。有关详细信息,请参阅Search Type设置。
无缺省值
Cache Size 指定允许SSL会话缓存使用的最大容量。将此值设置
为0表示不允许SSL会话缓存。
20000
Cache Timeout 以秒为单位,指定可协商的SSL会话ID的可用寿命。
如果超过此时间,客户机必须协商新会话。
300
Secure 指示LTM系统在系统和LDAP服务器之间使用安全通
信(即SSL/TLS)。
Disabled
Admin DN
指定要与其进行绑定的账户的识别名,以便执行搜索。
这个搜索帐户是用来进行搜索的只读帐户。Admin账
户可以用作搜索账户。如果未指定管理DN,将不尝试
绑定。仅当站点不允许匿名搜索时才需要此设置。
无缺省值
Admin Password 为LDAP服务器上创建的搜索账户指定密码。 无缺省值
Confirm Admin
Password
确认为LDAP服务器上创建的搜索账户指定的密码。 无缺省值
Group Base DN
指定群搜索使用的子树的搜索基础。仅当指定了有效
群时才使用此参数。典型的搜索基础类似于:
ou=people,dc=company,dc=com。
无缺省值
Group Key 指明LDAP数据库中,指定群子树中的群名称的属性
的名称。
无缺省值
Group Member Key
指明LDAP数据库中,指定群成员(DN)的属性的名
称。
无缺省值
Valid Groups
指定用户要获得授权,就必须属于其中的群的列表。
此选项可以指定多次。要获得授权,客户机仅需是字
符串中指定的某个群的成员。
无缺省值
Role Key
指明LDAP数据库中,指定用户授权角色的属性的名
称。仅当使用有效角色(如下一条中所述)时才使用
此密钥。
无缺省值
Valid Roles
指定角色列表。要获得授权,用户必须分配为这些角
色之一。此列表中的有效角色以空格进行分隔。此选
项可以指定多次。要获得授权,客户机仅需是字符串
中指定的某个角色的成员。
无缺省值
表8.9 SSL客户机证书LDAP配置对象的设置
创建SSL客户机证书LDAP配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configuration。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置,为配置对象指定一个唯一的名称。
6. 对于Type设置,选择SSL Client Certificate LDAP。
7. 修改或保留所有其它设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建SSL客户机证书LDAP授权Profile
创建SSL客户机证书LDAP配置对象之后,必须创建或配置相应的
Profile。此操作可以通过修改缺省的ssl_cc_LDAP Profile来进行,也
可以通过创建继承缺省Profile设置的定制Profile来进行。认证Profile的
一项重要功能是参考现有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,仍必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建SSL客户机证书LDAP Profile时,您将配置各种设置。表8.10显示
了组成SSL客户机证书LDAP Profile的设置和值。有关创建此类Profile
的详细流程,请参阅第8-23页上的“修改缺省SSL客户机证书LDAP
Profile的步骤”,或参阅第8-24页上的“创建定制SSL客户机证书LDAP
Profile的步骤”。
设置 说明 缺省值
Name 为Profile指定一个唯一的名称。此设置是必需的。 无缺省值
Type 指定要实施的认证模块的类型。必须将此值设置为
LDAP(SSL Client Certificate)。
无缺省值
Parent Profile 指定希望从中继承值的Profile。 ssl_cc_ldap
Mode 指定是启用还是禁用Profile。可能的设置包括Auto、
Enabled和disabled。
Enabled
Configuration 指定现有的SSL客户机证书LDAP配置对象。 无缺省值
Rule 指定现有认证iRule的名称。如果不指定iRule,LTM
系统将使用相应的缺省iRule。
auth_ssl_cc_ldap
Idle Timeout 以秒为单位,指定授权请求在超时前的空闲持续时
间。您可以使用缺省值,指定一个不同的值,还可以
选择Indefinite。
300
表8.10 SSL客户机证书LDAP Profile的设置
修改缺省SSL客户机证书LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击ssl_cc_ldap。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ssl_cc_ldap,请将设置保留
为原状。
• 如果不想使用缺省iRule auth_ssl_cc_ldap,请选择已创建
的现有iRule的名称。
8. 点击Finished。
创建定制SSL客户机证书LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profile屏幕。
5. 对于Name设置,为Profile指定一个唯一的名称。
6. 对于Type设置,选择SSL客户机证书LDAP。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profilessl_cc_ldap用作上级Profile,请将设
置保留为原状。
• 如果要将定制Profile用作上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,点击屏幕右侧的“定制”框,然后选择Enabled
或Auto。
9. 对于Configuration设置,点击屏幕右侧的Custom框,然后从列
表中选择一个配置对象。
10. 对于Rule设置,点击屏幕右侧的“定制”框,然后指定一个认证
iRule:
• 如果希望使用缺省iRule auth_ssl_cc_ldap,请将设置保留
为原状。
• 如果不想使用缺省iRule auth_ssl_cc_ldap,请选择已创建
的现有iRule的名称。
11. 点击Finished。
创建SSL客户机证书LDAP配置对象和SSL客户机证书LDAP Profile之
后,必须执行以下操作:
• 通过配置Real Server的Authentication、 Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rule设置,将缺省的auth_ssl_cc_ldap
iRule分配到Real Server。
实施SSL OCSP认证模块
SSL OCSP认证模块是用来对通过LTM系统的客户机连接进行认证的
机制。更确切地说,SSL OCSP认证模块检查SSL证书的撤销状态,这
是对该证书进行认证的一部分。
在线证书状态协议(OCSP)是一种第三方软件应用和业界标准协议,
它提供了使用公匙技术时的证书撤销列表(CRL)的替代方案。CRL
是已撤销的客户机证书的列表,服务器系统可以在验证客户机证书的流
程中检查该列表。
希望使用OCSP代替CRL作为检查SSL证书撤销状态的机制时,便可实
施SSL OCSP认证模块。
LTM系统既支持CRL协议,也支持OCSP协议。如果希望使用CRL代替
OCSP,请配置SSL Profile。有关CRL的详细信息,请参阅第7章“管
理SSL流量”。
有关OCSP的详细信息,请参阅 http://www.ietf.org上的RFC 2560。
了解OCSP
与使用CRL相比,使用OCSP来检查客户机证书的撤销状态有着截然不
同的优势。以下各小节介绍了CRL和OCSP之间的差异,以及OCSP的
工作方式。
CRL的局限性
随客户机证书一起出示时,LTM系统有时需要在接受证书,然后将连接
转发至目标服务器之前,评估该证书的撤销状态。评估撤销状态的标准
方法是CRL,CRL存储在配置中的各台计算机上的独立CRL文件中。尽
管CRL被视为检查SSL证书撤销状态的标准方法,但CRL仅以固定的时
间间隔更新,这将导致检查状态时,CRL中的信息已过时的风险。
此外,必须在每台计算机上存储独立的CRL文件也会导致其它一些局限
性:
• 所有CRL文件都必须保持同步。
• 在每台计算机上存储独立的CRL文件会引起安全性方面的风险。
• 无法从一个中心位置管理多个CRL文件。
OCSP的优势
OCSP确保LTM系统在证书验证流程中,始终能够获得实时撤销状态。
OCSP基于客户机/服务器模型。在此模型中,客户机系统请求证书的
撤销状态,服务器系统发送响应。因此,实施SSL OCSP认证模块时,
LTM系统充当OCSP客户机,称为OCSP响应器的外部系统充当OCSP
服务器。所以,OCSP响应器是根据请求将证书撤销状态发送到LTM系
统的外部服务器。
OCSP的工作方式
通常,接收到来自客户机应用的SSL证书后,LTM系统(充当OCSP客
户机)向OCSP响应器请求证书撤销状态,然后阻止连接,直至接收到
来从该响应器的状态。如果来自响应器的状态显示证书已撤销,LTM
系统将拒绝证书和连接。如果来自响应器的状态显示证书仍有效,LTM
将继续其正常证书验证流程,对客户机应用进行认证。
更确切地说,应用客户机发送用于认证的证书时,LTM系统将按照以下
流程进行操作:
• 首先,LTM系统检查证书的签发者是否列在可信CA文件中。
• 如果证书列在其中,LTM系统接下去将检查证书是否已撤销。没
有OCSP时,如果LTM系统上配置了CRL选项,LTM系统将通过
读取证书撤销列表(CRL)来检查撤销状态。但有OCSP时,LTM
系统将绕过CRL,准备将撤销状态请求发送到相应的OCSP响应
器。
• 然后,LTM系统检查原始客户机证书的Issuer字段中指定的CA,
并据此选择OCSP响应器。
• 下一步,LTM系统尝试将该CA与SSL OCSP Profile中列出的CA
进行匹配。
• 如果存在匹配, LTM 系统将检查客户机证书的
AuthorityInfoAccesLDAPProfile字段(如果该字段存在)中的
目标URL,并使用该URL将证书撤销状态请求发送到OCSP响应
器。
• 如果在SSL OCSP Profile中启用了Ignore AIA参数,LTM系统将
转为使用相匹配的SSL OCSP Profile的url参数中指定的URL,发
送证书撤销状态请求。
• 如果不存在匹配,LTM系统将检查系统中定义的另一个SSL
OCSP Profile 的calist设置。如果检查了所有的SSL OCSP
Profile,没有找到任何匹配,证书验证将失败,LTM系统将拒绝
原始客户机请求。
• 如果进行了相应的配置,LTM系统会在接收到来自响应器的证书
撤销状态后,将证书状态标头插入原始客户机请求中。证书状态
标头的名称是SSLClientCertificateStatus。有关此标头的详细信
息,请参阅下面的“先决LTMProfile”。
要实施SSL OCSP认证模块,必须将LTM系统配置为访问远程OCSP服
务器上的数据。为此,必须创建:
• OCSP配置对象
• OCSP Profile
创建这些对象后,必须:
• 将OCSP Profile分配给Real Server。
• 将OCSP iRule分配给Real Server。
单个SSL OCSP Profile可以分配给特定的响应器;多个SSL OCSP
Profile可以分配给同一个响应器。每个响应器都与一个证书授权机构
(CA)关联,多个响应器可以与同一个CA关联。
♦ 注意
LTM系统允许您同时启用CRL选项和OCSP选项。大多数用户需要启用
其中之一,而不是两个同时启用。然而,在极少数希望同时启用两个选
项的情形中,请注意:CRL文件的搜索和指向响应器的连接都必须成功。
否则,LTM系统无法获取状态。
先决LTMProfile
配置SSL OCSP认证模块不仅需要创建OCSP响应器对象和SSL
OCSP Profile,而且还需要创建两个其它的Profile:HTTP和客户机
SSL。
创建客户机SSL Profile时,我们建议您对该Profile进行配置来请求(而
不是要求) 证书。这样会优化LTM 系统使用
SSLClientCertificateStatus标头。请注意,只有预先配置将标头插入
到客户机请求时(通过HTTP Profile或通过iRule),LTM系统才会插入
该标头。
以下几部分描述了如何创建OCSP响应器对象、SSL OCSP配置对象以
及SSL OCSP Profile。
创建OCSP响应器对象
OCSP响应器对象是一种用户创建的对象,它包括一个用于外部OCSP
响应器的URL。您必须为每一个外部OCSP响应器创建单独的OCSP响
应器对象。
随后创建OCSP配置对象时,该配置对象参考了已创建的任何OCSP响
应器对象。
创建OCSP响应器对象时,需要配置一些设置。表8.11显示了组成SSL
OCSP响应器对象的设置和值。有关如何创建该对象的详细流程,请参
阅第8-29页上的“创建OCSP响应器对象的步骤”。
设置 说明 缺省值
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是必需的。 无缺省值
URL 指定用来联系有关响应器的OCSP服务的URL。 无缺省值
Certificate
Authority File
指定包含可信CA证书的文件的名称,这些证书用来检验关
于OCSP响应的签名。
无缺省值
Certificate
Authority Path
指定包含可信CA证书的路径的名称,这些证书用来检验关
于OCSP响应的签名。
无缺省值
Verify Other 当证书没有得到响应时,指定用来搜索OCSP响应签名证书
的文件的名称。
无缺省值
Trust Other 通过检验其它项设置,指示LTM系统信任指定的证书。
Disabled
VA File 指定包含明确可信的响应器证书的文件名。如果已经加载到
响应器的CA库的证书不包含该响应器,那么就需要此参数。
无缺省值
Signer 指定用来签署OCSP请求的证书。特殊含义:
如果指定了证书但未指定密钥,那么就会从与证书的作用一
样的文件中读取私匙。
如果既未指定证书也未指定密钥,那么就不签署该请求。
如果未指定证书但指定了密钥,那么该配置被视为无效。
无缺省值
Signing Key 指定用来签署OCSP请求的密钥。 无缺省值
Sign Other 列出其它证书,添加到OCSP请求中。 无缺省值
Sign Digest 通过签署证书和密钥指定签署该请求的算法。
特殊含义:
如果请求签署无效(也就是,Request Signing Certificate
和Request Signing Key参数为空),那么该参数没有任何
意义。
只有请求签署有效时才需要该参数。
Sha1
Validity Period 指定LTM系统用来指定一个可接受错误范围的秒数。当
OCSP响应器时钟和客户机时钟不同步时(这种情况会导致
证书状态检查失败),使用该设置。该值必须是正数。该参
数是必需的。
300
Status Age 以秒为单位指定一个时间,与notBefore字段进行比较。当
状态响应不包括notAfter字段时使用。
0
Ignore AIA 指示LTM系统忽略包含在证书的AIA字段中的URL,并且始
终使用响应器指定的URL代替。
Disabled
Trust Other 指定证书应该明确可信,无需再进行任何其它检查。 Disabled
Allow
Certificates
允许证书添加到OCSP请求。 Enabled
Verify 让LTM系统检验OCSP响应签名或当前时间值。仅用于调
试。
Enabled
Intern 当搜索签署者的证书时,让LTM系统忽略包含在OCSP响应
中的证书。要使用该设置,必须通过Verify Other或VA File
设置指定签署者的证书。
Enabled
Verify
Signature
让LTM系统检查有关OCSP响应的签名。仅用于测试。 Enabled
Verify
Certificate
让LTM系统检验有关OCSP响应的签名。 Enabled
Certificate
Chain
让LTM系统构建有关OCSP响应的证书链。 Enabled
Check
Certificates
让LTM系统进行其它检查,以查看是否授权签署者的证书来
提供必需的状态信息。仅用于测试。
Enabled
Explicit OCSP 让LTM系统完全信任为签署OCSP响应而授权的OCSP响应
签署者的证书。如果签署者的证书不包含OCSP signing扩
展,那么该设置的规范会导致LTM系统不信任响应。
Enabled
表8.11 OCSP响应器的设置
创建OCSP响应器对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
3. 从Authentication菜单中,选择OCSP Responders。
4. 在屏幕的右上角,点击Create。
5. 对于name设置, 为配置对象输入一个唯一的名称, 例如
my_ocsp_responder。
6. 对于URL设置,输入用于外部响应器的URL。
7. 修改或保留所有其它设置的值。(要配置高级设置,请定位至
Configuration标题,然后选择Advanced)。
8. 点击Finished。
创建SSL OCSP配置对象
SSL OCSP配置对象是一种参考一个或多个OCSP响应器对象的对象。
创建OCSP配置对象时,需要配置各种设置。表8.12列出并介绍了可在
SSL OCSP配置对象中指定的设置。有关如何配置该对象的详细流程,
请参阅下面的“创建SSL OCSP配置对象的步骤”部分。
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是必需的。 无缺省值
Type 指定您希望实施的认证模块的类型。必须将该值设置为SSL
OCSP。
无缺省值
Responders 指定您希望用来检查SSL证书撤销状态的OCSP响应器。 无缺省值
表8.12 SSL OCSP配置对象的设置
创建SSL OCSP配置对象的步骤
1. 在Main选项卡中,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configurations。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置, 为配置对象指定一个唯一的名称, 例如
my_ocsp_config。
6. 对于Type设置,选择SSL OCSP。
7. 对于Responders设置,指定所有响应器对象。
8. 点击Finished。
创建SSL OCSP Profile
创建SSL OCSP配置对象之后,必须创建或配置SSL OCSP Profile。
此操作可以通过修改缺省的ssl_ocsp Profile来进行,也可以通过创建
继承缺省Profile设置的定制Profile来进行。认证Profile的一项重要功能
是参考现有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,也必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定上级Profile(定制Profile或缺
省Profile),该上级Profile包含要新Profile继承的值。
创建OCSP Profile时,需要配置各种设置。表8.13显示了组成SSL
OCSP Profile的设置和值。有关创建OCSP Profile的详细流程,请参阅
第8-31页上的“修改缺省SSL OCSP Profile的步骤”,或参阅第8-32
页上的“创建定制SSL OCSP Profile的步骤”。
设置 说明 缺省值
Name 为Profile指定一个唯一的名称。此设置是必需的。无缺省值
Type 指定您希望实施的认证模块的类型。必须将该值
设置为OCSP。
无缺省值
Parent Profile 指定希望从继承值的Profile。 ssl_ocsp
Mode 指定启用还是禁用该Profile。可能的设置包括
Auto、Enabled和Disabled。
Enabled
Configuration 指定现有OCSP配置对象的名称。此设置是必需
的。
无缺省值
Rule 指定现有认证iRule的名称。如果不指定iRule,
LTM系统将使用相应的缺省iRule。
auth_ssl_ocsp
Idle Timeout 以秒为单位,指定认证请求的空闲持续时间。您
可以使用缺省值,指定一个不同的值,还可以选
择Indefinite。
300
表8.13 SSL OCSP Profile的设置
修改缺省SSL OCSP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击ssl_ocsp。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ocsp,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ocsp,请选择已创建的现有
iRule的名称。
8. 点击Finished。
创建定制SSL OCSP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profile屏幕。
5. 对于Name设置,为Profile指定一个唯一的名称。
6. 对于Type设置,选择SSL OCSP。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile ssl_ocsp用于上级Profile,请将设置
保留为原状。
• 如果要将定制Profile用于上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,点击屏幕右侧的Custom框,然后选择Enabled
或Auto。
9. 对于Configuration设置,点击屏幕右侧的Custom框,然后从列
表中选择一个配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ocsp,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ocsp,请选择已创建的现有
iRule的名称。
11. 点击Finished。
创建SSL OCSP响应器对象、SSL OCSP配置对象和SSL OCSP Profile
之后,必须执行以下操作:
• 通过配置Real Server的Authentication Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rule设置,将缺省auth_ssl_ocsp iRule
分配到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
• 实施LDAP认证模块
• 实施RADIUS认证模块
• 实施TACACS+认证模块
• 实施SSL客户机证书LDAP认证模块
• 实施SSL OCSP认证模块
简介
BIG-IP®本地流量管理(LTM)系统的重要特性是能够支持可插拔认证
模块(PAM)技术。PAM技术使您能够从许多不同的认证和授权方案
中进行选择,以便对网络流量进行认证或授权。
PAM技术的目标是将应用(如LTM系统)从其底层认证技术中分离出
来。这意味着您可以采用您希望LTM系统使用的特定认证/授权技术,
对进入BIG-IP系统的应用流量进行认证。
为此,LTM系统提供了多种称为认证模块的认证方案。这些认证模块使
您能够使用远程系统对通过LTM系统的应用请求进行认证或授权。
要实施认证模块,可以使用Configuration工具来访问该工具的Local
Traffic部分的Profile屏幕。通过这些屏幕,可以配置需要实施的认证模
块的设置。
LTM认证模块
可以为远程认证实施的LTM模块包括:
• 小型目录访问协议(LDAP)
LTM 系统可以使用存储在远程LDAP 服务器或Microsoft®
Windows Active Directory服务器上的数据对网络流量进行认证
或授权。客户机证书基于基本的HTTP认证(用户名和密码)。
• 远程认证拨入用户服务(RADIUS)
LTM系统可以使用存储在远程RADIUS服务器上的数据对网络流
量进行认证。客户机证书基于基本的HTTP认证(用户名和密码)。
• TACACS+
LTM系统可以使用存储在远程TACACS+服务器上的数据对网络
流量进行认证。客户机证书基于基本的HTTP认证(用户名和密
码)。
• SSL客户机证书LDAP
LTM系统可以使用存储在远程LDAP服务器上的数据对网络流量
进行授权。客户机证书基于SSL证书以及定义的用户群和角色。
• 在线证书状态协议(OCSP)
LTM系统可以使用存储在远程OCSP服务器上的数据检查客户机
证书的撤销状态。客户机证书基于SSL证书。
实施认证模块
使用LTM系统,可以实施前一部分列出的任何可用的认证模块。实施认
证模块需要创建或配置以下对象:
• RADIUS服务器或SSL OCSP响应器对象
该对象只对RADIUS和SSL OCSP认证模块是必需的。服务器对
象和响应器对象由关于远程RADIUS服务器或OCSP响应器的设
置组成。
• 配置对象
这是通过一组可配置的设置控制认证模块的配置对象。配置对象
设置的实例包括Host、Service Port和Search Time Limit等。
• 认证Profile
认证Profile是一种对象,它指定:您希望实施的认证模块的类型、
上级Profile和配置对象(参见上一个步骤)。您既可以使用LTM
系统为每种认证模块提供的缺省Profile,也可以创建定制Profile。
有关Profile的背景信息,请参阅第5章“了解Profile”。
• 认证iRule
对于您希望实施的任何一种PAM模块,LTM系统都提供了必须与
您的Profile和Real Server关联的相应缺省认证iRule。认证iRule
是一种基于TCL的脚本,它根据相应Profile和配置对象的设置执
行认证/授权行为。
在大多数情况下,您可以使用缺省的iRule,而不是创建定制的iRule。
当需要实施多个相同类型的认证模块(如多个LDAP认证模块,每一个
都有不同的配置对象和Profile设置)时,必需创建定制的iRules™。有
关创建定制iRules的详细信息,请参阅第13章“编写iRules”。
实施认证模块的过程很简单。例如,要实施LDAP认证模块(这种模块
通过用户名和密码认证,使用远程LDAP服务器对客户机流量进行认
证),需要执行以下工作。请注意,该实例创建了一个定制Profile,并
使用LTM系统提供的缺省iRule。
实施认证模块的步骤
1. 创建名为my_ldap_config的认证配置对象。有关创建LDAP认证
配置对象的详细信息,请参阅第8-4页上的“创建LDAP配置对象”。
2. 创建名为my_ldap_profile的定制认证Profile,在该Profile中将认
证模块类型指定为LDAP,指定上级Profile(缺省LDAP Profile
或您创建的另一个定制Profile ) , 并参考配置对象
my_ldap_config。有关创建LDAP Profile的详细信息,请参阅第
8-6页上的“创建LDAP Profile”。
3. 配置Real Server,以参考定制Profilemy_ldap_profile和缺省认
证iRule auth_ldap。有关如何配置Real Server设置的详细信息,
请参阅第2章“配置Real Server”。
实施LDAP认证模块
LDAP认证模块是一种对通过LTM系统的客户机连接进行认证或授权
的机制。当认证或授权数据存储在远程LDAP服务器或Microsoft®
Windows“活动目录”服务器上,并且希望客户机证书基于基本的HTTP
认证(也就是用户名和密码)时,该模块非常有用。
要实施LDAP认证模块,必须配置LTM系统来访问远程LDAP服务器上
的数据。为此,必须创建:
• LDAP配置对象
• LDAP Profile
创建这些对象后,必须:
• 将LDAP Profile分配到Real Server。
• 将LDAP iRule分配到Real Server。
创建LDAP配置对象
创建LDAP配置对象时,需要配置各种设置。表8.1显示了为LDAP配置
对象配置的设置和值。请注意,此表按照您在“新建认证配置”屏幕中
看到的类别对设置进行分组。有关如何创建该对象的详细流程,请参阅
第8-6页上的“创建LDAP配置对象的步骤”。
设置说明 缺省值
常规属性
Name 为配置对象指定一个唯一的名
称。此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为LDAP
无缺省值
配置
Remote LDAP Tree 指定搜索库识别名 无缺省值
Hosts 列出LTM系统用来获取认证数
据的LDAP服务器的地址
无缺省值
Service Port 指定用于LDAP服务的端口号 389 (non-SSL)
636 (SSL-enabled)
LDAP Version 指定LDAP应用的版本号 3
Bind DN 指定要与其进行绑定的账户的
识别名,以便执行搜索。这个搜
索账户是用来进行搜索的只读
账户。管理账户可以用作搜索账
户。如果未指定管理识别名,那
么就不进行绑定。只有当站点不
允许匿名搜索时,该设置才是必
需的。
如果远程服务器是Microsoft®
Windows“活动目录”服务器,
那么必须以电子邮件地址的形
式显示识别名。
无缺省值
Bind Password 指定在LDAP服务器上创建的搜
索账户的密码。如果使用bind识
别名,那么该设置是必需的。
无缺省值
Confirm Bind Password 确认bind识别名的密码。该设置
是可选的。
无缺省值
Search Time Limit 指定搜索的时限。 30
Bind Time Limit 指定绑定时限。 30
Filter 指定过滤器。该设置用于授权客
户机流量。
无缺省值
Login Attribute 指定登录属性。通常,该设置的
值是uid ; 但如果服务器是
Microsoft Windows“活动目录”
服务器,那么该值必须是账户名
SAMACCOUNTNAME(不区分
大小写)。
无缺省值
Group DN 指定群识别名。该设置用于授权
客户机流量。
无缺省值
Group Member Attribute 指定群成员属性。该设置用于授无缺省值
设置说明 缺省值
权客户机流量。
SSL 允许的值包括: Enabled 、
Disabled和Start TLS。请注意,
当启用时,LTM系统将服务端口
号从389改为636。
Disabled
Check SSL Peer 当启用时,检查SSL对等体。 Disabled
SSL CA Certificate 指定SSL CA证书的名称。允许
的值包括:None、Default和
Specify Full Path。
None
SSL Client Key 指定SSL客户机密钥的名称。允
许的值包括:None、Default和
Specify Full Path。
None
SSL Client Certificate 指定SSL客户机证书的名称。允
许的值包括:None、Default和
Specify Full Path。
None
SSL Ciphers 指定SSL密码 无缺省值
Ignore Unknown User 当启用时,让LTM系统忽略未知
用户。
Disabled
Warning Logging 启用或禁用警告消息。 Enabled
Debug Logging 启用或禁用LOG_DEBUG级别
的调试信息。正常情况下不建议
使用。
Disabled
表8.1 LDAP配置对象的设置
创建LDAP配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configurations。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置, 为配置对象输入一个唯一的名称, 例如
my_ldap_config。
6. 对于Type设置,选择LDAP。
屏幕将扩展,显示若干设置。
7. 修改或保留所有显示的设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建LDAP Profile+
创建LDAP配置对象之后,必须创建或配置LDAP Profile。此操作可以
通过修改缺省的LDAP Profile来进行,也可以通过创建继承缺省Profile
设置的定制Profile来进行。认证Profile的一项重要功能是参考已创建的
现有配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,也必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建LDAP Profile时,需要配置一些设置。表8.2显示了组成LDAP
Profile的设置和值。有关创建LDAP Profile的详细流程,请参阅第8-7
页上的“修改缺省LDAP Profile的步骤”,或参阅第8-7页上的“创建
定制LDAP Profile的步骤”。
设置说明 缺省值
Name 为Profile指定一个唯一的名称。
此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为
LDAP。
无缺省值
Parent Profile 指定希望从中继承值的Profile。ldap
Mode 指定是启用还是禁用Profile。可
能的设置包括Auto、Enabled
和Disabled。
Enabled
Configuration 指定一个现有的LDAP配置对
象。此设置是必需的。
无缺省值
Rule 指定现有认证iRule的名称。如
果不指定iRule,LTM系统将使
用相应的缺省iRule。
auth_ldap
Idle Timeout 以秒为单位,指定认证或授权请
求在超时前的空闲持续时间。您
可以使用缺省值,指定一个不同
的值,还可以选择Indefinite。
300
表8.2 LDAP Profile的设置
修改缺省LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击ldap。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择值None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ldap,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ldap,请选择已创建的现有
iRule的名称。
8. 点击Finished。
创建定制LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profiles屏幕。
5. 对于Name 设置, 为Profile 输入一个唯一的名称, 例如
my_ldap_profile。
6. 对于Type设置,选择LDAP。
屏幕将扩展,显示其它设置。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile ldap用于上级Profile,请将设置保留为
原状。
• 如果要将定制Profile用于上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,选择Enabled或Auto。
9. 对于Configuration设置,从列表中选择配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ldap,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ldap,请选择已创建的现有
iRule的名称。
11. 点击Finished。
创建LDAP配置对象和LDAP Profile后,必须执行以下操作:
• 通过配置Real Server的Authentication Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rule设置,将缺省auth_ldap iRule分配
到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
实施RADIUS认证模块
RADIUS认证模块是一种认证通过LTM系统进行客户机连接的机制。认
证数据存储在远程RADIUS服务器时使用该模块。在这种情况下,客户
机证书基于基本的HTTP认证(也就是,用户名和口令)。
为实施RADIUS认证模块,必须配置LTM系统来访问远程RADIUS服务
器的数据。为此,必须创建:
• 一个或多个高级RADIUS服务器对象
• RADIUS配置对象
• RADIUSProfile
创建这些对象后,必须:
• 将RADIUSProfile分配到Real Server。
• 将RADIUS iRule分配到Real Server。
创建RADIUS服务器对象
创建RADIUS服务器对象时,需要配置一些设置。表8.3显示了组成缺
省RADIUS服务器对象的设置和值。有关创建服务器对象的详细流程,
请参阅第8-10页上的“创建RADIUS服务器对象的步骤”。
设置说明 缺省值
Name 为RADIUS服务器对象指定一个
唯一的名称, 例如
my_radius_object。此设置是
必需的。
无缺省值
Host 指定RADIUS服务器的主机名称
或IP地址。此设置是必需的。
无缺省值
Service Port 指定RADIUS认证流量的端口。1812
Secret 设置用于加密或解密从服务器
发送或接收的数据包的密钥。此
无缺省值
设置说明 缺省值
设置是必需的。
Confirm Secret 确认为密钥设置提供的密钥。此
设置是必需的。
无缺省值
Timeout 指定超时值 3
表8.3 RADIUS服务器定义的设置
创建RADIUS服务器对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择RADIUS Servers。
此操作将显示RADIUS Server List屏幕。
4. 在屏幕的右上角,点击Create。
5. 对于Name设置,为RADIUS服务器对象输入一个唯一的名称,例
如my_radius_server。
6. 对于Server设置,为远程RADIUS服务器输入一个主机名或IP地
址。
7. 对于Secret和Confirm Secret设置,输入RADIUS密钥。
8. 保留或修改所有其它设置。
9. 点击Finished。
10. 对于冗余RADIUS服务器,重复这些步骤以创建其它服务器对象。
创建RADIUS配置对象
创建RADIUS配置对象时,需要配置各种设置。表8.5显示了组成
RADIUS配置对象的设置和值。请注意,此表按照您在“新建认证配置”
屏幕中看到的类别对设置进行分组。有关如何创建该配置对象的详细流
程,请参阅第8-11页上的“创建RADIUS配置对象的步骤”。
设置说明 缺省值
Name 为配置对象指定一个唯一的名
称。此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为
RADIUS。
无缺省值
RADIUS Servers 列出LTM用来获取认证数据的
RADUIS服务器的IP地址。
请注意,对于列出的每一个服务
器,必须创建相应的RADIUS服
务器定义。RADIUS服务器定义
指定服务器名称、端口号、
RADIUS密钥和超时值。有关详
细信息,请参阅表8.3。
无缺省值
Client ID 通过字符串栏发送NAS标识符
RADIUS 属性。如果不指定
Client ID设置的值,就使用PAM
服务类型代替。通过指定空客户
机ID,可以禁用该特性。
无缺省值
Debug Logging 启用LOG_DEBUG 级别的
SYSLOG调试信息。正常情况下
我们不建议使用该选项。
Disable
Accounting Bug 禁止确认账户管理的响应矢量。
该选项应该仅适用于较早的服
Disable
设置说明 缺省值
务器。
Retries 指定在认证失败前LTM系统允
许的认证重试次数。
3
表8.4 RADIUS配置对象的设置
创建RADIUS配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configuration。
4. 在屏幕的右上角,点击Create。
此操作将显示New Confugurations屏幕。
5. 对于Name设置, 为配置对象指定一个唯一的名称, 例如
my_radius_config。
6. 对于Type设置,选择RADIUS。
屏幕将扩展,显示若干设置。
7. 修改或保留所有显示的设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建RADIUS Profile
创建RADIUS配置对象之后,必须创建或配置RADIUSProfile。此操作
可以通过修改缺省的radius Profile来进行,也可以通过创建继承缺省
Profile设置的定制Profile来进行。认证Profile的一项重要功能是参考现
有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,也必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建RADIUSProfile 时, 需要配置各种设置。表8.5 显示了组成
RADIUSProfile的设置和值。有关创建RADIUSProfile的详细流程,请
参阅第8-12页上的“修改缺省RADIUSProfile的步骤”,或参阅第8-13
页上的“创建定制RADIUSProfile的步骤”。
设置说明 缺省值
Name 为Profile指定一个唯一的名称。
此设置是必需的。
无缺省值
Type 指定您希望实施的认证模块的
类型。必须将该值设置为
RADIUS。
无缺省值
Parent Profile 指定希望从中继承值的Profile。radius
Mode 指定启用还是禁用Profile。可能
的设置包括Auto、Enabled和
Disabled
Enabled
Configuration 指定一个现有的RADIUS配置
对象。
无缺省值
Rule 指定现有认证规则的名称。如果
不指定iRule,LTM系统将使用
auth_radius
设置说明 缺省值
相应的缺省iRule。
Timeout 以秒为单位,指定认证或授权请
求在超时前的空闲持续时间。您
可以使用缺省值,指定一个不同
的值,还可以选择Indefinite。
300
表8.5 RADIUS Profile设置
修改缺省RADIUSProfile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击radius。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_radius,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_radius,请选择已创建的现有
iRule的名称。
8. 点击Finished。
创建定制RADIUSProfile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profiles屏幕。
5. 在Name设置中,为RADIUSProfile输入一个唯一的名称,例如
my_radius_profile。
6. 在Type设置中,选择RADIUS。
屏幕将扩展,显示其它设置。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile radius用于上级Profile,请将设置保留
为原状。
• 如果要将定制Profile用于上级Profile,请从列表中选择定制
Profile的名称。
8. 在Mode设置中,选择Enabled或Auto。
9. 在Configuration设置中,从列表中选择配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_radius,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_radius,请选择已创建的现有
iRule的名称。
11. 点击Finished。
创建RADIUS服务器对象、RADIUS配置对象和RADIUSProfile后,必
须执行以下操作:
• 通过配置Real Server的Autentication Profile设置,将Profile分
配到Real Server。
• 通过配置Real Server的Rule设置,将缺省auth_radius iRule分
配到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
实施TACACS+认证模块
TACACS+认证模块是用来对通过LTM系统的客户机连接进行认证的
机制。当认证数据存储在远程TACACS+服务器上时使用该模块。在这
种情况下,客户机证书基于基本的HTTP认证(也就是用户名和密码)。
要实施TACACS+认证模块,必须配置LTM系统来访问远程TACACS+
服务器上的数据。为此,必须创建:
• TACACS+配置对象
• TACACS+ Profile
创建这些对象后,必须:
• 将TACACS+ Profile分配到Real Server。
• 将TACACS+ iRule分配到Real Server。
创建TACACS+配置对象
创建TACACS+配置对象时,需要配置各种设置。表8.6显示了组成缺省
TACACS+配置对象的设置和值。请注意,此表按照您在“新建认证设
置”屏幕中看到的类别对设置进行分组。有关如何创建该对象的详细流
程,请参阅第8-15页上的“创建TACACS+配置对象的步骤”。
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是
必需的。
无缺省值
Type 指定要实施的认证模块的类型。必须将此值
设置为TACACS+。
无缺省值
Servers 指定TACACS+服务器的主机名称或IP地
址。此设置是必需的。
无缺省值
Secret 设置用于加密和解密发送到或接收自服务
器的数据包的密钥。此设置是必需的。
无缺省值
Confirm Secret 确认为Secret设置提供的密钥。此设置是必
需的。
无缺省值
Encryption 启用或禁用TACACS+数据包的加密。建议
在正常情况下使用。
Enabled
Service Name 指定TACACS+服务器的接听设备,例如
PPP。
无缺省值
Protocol Name 指定TACACS+服务器的接听设备,例如
lcp。
无缺省值
Authentication 指定认证选项。可能的值包括Authenticate
to first server和Authenticate to each
server until success。
Authenticate to first server
Accounting
Information
如果定义了多个TACACS+服务器并启用
了PAM会话账户,那么将账户的开始和结
束数据包发送到第一个可用的服务器或发
送到所有服务器。可能的值包括Send to
first available serve 和Send to all
servers。
Send to first available server
设置 说明 缺省值
Debug Logging 启用LOG_DEBUG级别的SYSLOG调试信
息。不建议在正常情况下使用。
Disable
表8.6 TACACS+配置对象的设置
创建TACACS+配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configurations。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置, 为配置对象指定一个唯一的名称, 例如
my_tacacs_config。
6. 对于Type设置,选择TACACS+。
屏幕将扩展,显示若干设置。
7. 修改或保留所有显示的设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建TACACS+ Profile
创建TACACS+配置对象之后,必须创建或配置TACACS+ Profile。此
操作可以通过修改缺省的tacacs+ Profile来进行,也可以通过创建继
承缺省Profile设置的定制Profile来进行。认证Profile的一项重要功能是
参考现有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,仍必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建TACACS+ Profile 时, 将配置各种设置。表8.7 显示了组成
TACACS+ Profile的设置和值。有关创建TACACS+ Profile的详细流程,
请参阅第8-16页上的“修改缺省TACACS+ Profile的步骤”,或参阅第
8-17页上的“创建定制TACACS+ Profile的步骤”。
设置 说明 缺省值
Name 为Profile指定一个唯一的名称。此设置是必需的。 无缺省值
Type 指定要实施的认证模块的类型。必须将此值设置为
TACACS+。
无缺省值
Parent Profile 指定希望从中继承值的Profile。 tacacs+
Mode 指定是启用还是禁用Profile。可能的设置包括Auto、
Enabled和Disabled。
Enabled
Configuration 指定一个现有的TACACS+配置对象。 无缺省值
Rule 指定现有认证规则的名称。如果不指定iRule,LTM系
统将使用相应的缺省iRule。
auth_tacacs+
Idle Timeout 以秒为单位,指定认证或授权请求在超时前的空闲持续
时间。您可以使用缺省值,指定一个不同的值,还可以
选择Indefinite。
300
表8.7 TACACS+ Profile的设置
修改缺省TACACS+ Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击tacacs+。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_tacacs,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_tacacs,请选择已创建的现
有iRule的名称。
8. 点击Finished。
创建定制TACACS+ Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profile屏幕。
5. 对于Name设置,为Profile指定一个唯一的名称。
6. 对于Type设置,选择TACACS+。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile tacacs用作上级Profile,请将设置保留
为原状。
• 如果要将定制Profile用作上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,选择Enabled或Auto。
9. 对于Configuration设置,从列表中选择配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_tacacs,请将设置保留为原
状。
• 如果不想使用缺省iRule auth_tacacs,请选择已创建的现
有iRule的名称。
11. 点击Finished。
创建TACACS+配置对象和TACACS+ Profile后,必须执行以下操作:
• 通过配置Real Server的Authentication Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rules设置,将缺省的auth_tacacs iRule
分配到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
实施SSL客户机证书LDAP认证模块
SSL客户机证书LDAP认证模块是用来对通过LTM系统的客户机连接进
行认证或授权的机制。在此情形中,客户机认证信息基于SSL证书认证
信息,而不是基于用户名和密码;LDAP客户机授权不仅基于SSL证书,
而且基于您定义的用户群和角色。
♦ 重要信息
实施SSL客户机证书LDAP认证模块之前,必须配置并实施Client SSL
Profile。在该Profile中,Mode配置设置的值必须设置为Auto或
Enabled。
了解SSL客户机证书授权
使用SSL客户机证书LDAP授权,LTM系统可以基于可信CA签发的签名
客户机证书对客户机进行授权。然后,要进一步增强系统对客户机请求
进行授权的能力,您还可以指定群和角色。使授权基于证书以及群和角
色进行,这提供了控制客户机对系统资源的访问时所需的灵活性。
能够实施SSL客户机证书LDAP模块之前,必须了解两种不同类型的认
证信息,LTM系统使用它们来对使用远程LDAP服务器上数据的应用流
量进行授权。这两类认证信息是:
• SSL证书
• 群和角色
使用SSL证书进行LDAP授权
对客户机进行授权的过程中,LTM系统必须搜索LDAP数据库。使用基
于证书的授权时,系统可以三种方式搜索LDAP数据库:
• 用户
很多LDAP服务器环境已将证书集成到存储在LDAP数据库中的
用户信息中。在LDAP服务器环境中,配置授权的方法之一是将系
统配置为比较入站证书和存储在LDAP数据库中且与客户机请求
关联的用户证书。如果在用户的LDAP Profile中找到证书,则授
予用户访问权限并批准请求。
• 证书映射
如果创建用于将证书映射到LDAP数据库中的用户的对象和类,那
么可以将系统配置为在映射中搜索证书以及从该映射中检索用
户。然后,系统将进行检查,确保LDAP数据库中的用户是有效的
用户。
• 证书
如果证书未存储在LDAP数据库中,那么可以将系统配置为从作为
入站客户机请求的一部分而出示的证书中提取用户名。然后,系
统将检查LDAP数据库中是否存在用户条目。对于自己担当证书授
权机构的公司,此方案是一个不错的选择。通过该方案公司可以
确定证书是否经过验证,然后对用户进行授权。
不论执行何种类型的基于证书的授权,该过程都将产生表8.8中所示的
结果。
搜索的结果 授权状态
无匹配记录 授权失败
一个匹配记录 授权成功,且服从群和角色的限制
两个或多个匹配记录 授权失败,原因是数据库条目无效
表8.8 搜索结果和相应的授权状态
使用群和角色进行LDAP授权
除了启用基于证书的授权,还可以基于群和角色来配置授权。
• 群
因为LDAP服务器中已经建立了群的概念和结构,所以LTM系统可
以在其授权特性中包括群。要使群能够用于授权,必须指明基础
和范围,系统将按照这些条件在LDAP数据库中搜索群。此外,还
必须指定群名称和成员名称的设置值。完成这些任务后,系统便
可在有效群的列表中进行搜索,直至找到当前用户是其成员的群。
• 角色
与群不同,角色是直接与用户关联的设置。LTM系统执行的任何
基于角色的授权都依赖内建有角色概念的LDAP数据库。为了确定
是否应授予用户对资源的访问权限,LTM系统在分配给该用户的
角色中进行搜索,并尝试将该角色与管理员定义的有效角色进行
匹配。
要实施SSL客户机证书LDAP授权,必须将LTM系统配置为访问远程
LDAP服务器上的数据。为此,必须创建:
• SSL客户机证书LDAP配置对象
• SSL客户机证书LDAP Profile
创建这些对象后,必须:
• 将SSL客户机证书LDAP Profile分配给Real Server。
• 将SSL客户机证书LDAP iRule分配给Real Server。
创建SSL客户机证书LDAP配置对象
SSL客户机证书LDAP配置对象由一组数据和指令组成。相应的外部
LDAP服务器在处理来自LTM系统的授权请求时,需要这组数据和指
令。
创建SSL客户机证书LDAP配置对象时,您将配置各种设置。表8.9列出
并介绍了可在此配置对象中指定的设置。请注意,此表按照您在“新建
认证配置”屏幕中看到的类别对设置进行分组。有关如何配置此对象的
详细流程,请参阅第8-22页上的“创建SSL客户机证书LDAP配置对象
的步骤”。
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是必需的。无缺省值
Type 指定要实施的认证模块的类型。必须将此值设置为
SSL Client Certificate LDAP。
无缺省值
Hosts 列出LTM系统将用来获取授权数据的LDAP服务器的
IP地址,包括端口号。
无缺省值
Search Type
指定系统搜索LDAP数据库时,所使用的基于证书的
授权方法(第8-18页上的“使用SSL证书进行LDAP
授权” 中进行了介绍) 。可能的值包括User 、
Certificate Map和Certificate。
User
User Base DN
指定User和Certificate这两种搜索类型使用的子树
的搜索基础。典型的搜索基础是:
ou=people,dc=company,dc=com。有关详细信息,
请参阅Search Type设置。
无缺省值
设置 说明 缺省值
User Key
指定LDAP数据库中,指定用户ID的属性的名称。此
设置供User搜索类型使用。用户密钥值的典型实例是
uid。有关详细信息,请参阅Search Type设置。
无缺省值
Cache Size 指定允许SSL会话缓存使用的最大容量。将此值设置
为0表示不允许SSL会话缓存。
20000
Cache Timeout 以秒为单位,指定可协商的SSL会话ID的可用寿命。
如果超过此时间,客户机必须协商新会话。
300
Secure 指示LTM系统在系统和LDAP服务器之间使用安全通
信(即SSL/TLS)。
Disabled
Admin DN
指定要与其进行绑定的账户的识别名,以便执行搜索。
这个搜索帐户是用来进行搜索的只读帐户。Admin账
户可以用作搜索账户。如果未指定管理DN,将不尝试
绑定。仅当站点不允许匿名搜索时才需要此设置。
无缺省值
Admin Password 为LDAP服务器上创建的搜索账户指定密码。 无缺省值
Confirm Admin
Password
确认为LDAP服务器上创建的搜索账户指定的密码。 无缺省值
Group Base DN
指定群搜索使用的子树的搜索基础。仅当指定了有效
群时才使用此参数。典型的搜索基础类似于:
ou=people,dc=company,dc=com。
无缺省值
Group Key 指明LDAP数据库中,指定群子树中的群名称的属性
的名称。
无缺省值
Group Member Key
指明LDAP数据库中,指定群成员(DN)的属性的名
称。
无缺省值
Valid Groups
指定用户要获得授权,就必须属于其中的群的列表。
此选项可以指定多次。要获得授权,客户机仅需是字
符串中指定的某个群的成员。
无缺省值
Role Key
指明LDAP数据库中,指定用户授权角色的属性的名
称。仅当使用有效角色(如下一条中所述)时才使用
此密钥。
无缺省值
Valid Roles
指定角色列表。要获得授权,用户必须分配为这些角
色之一。此列表中的有效角色以空格进行分隔。此选
项可以指定多次。要获得授权,客户机仅需是字符串
中指定的某个角色的成员。
无缺省值
表8.9 SSL客户机证书LDAP配置对象的设置
创建SSL客户机证书LDAP配置对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configuration。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置,为配置对象指定一个唯一的名称。
6. 对于Type设置,选择SSL Client Certificate LDAP。
7. 修改或保留所有其它设置的值。
(要配置高级设置,请定位至Configuration标题,然后选择
Advanced。)
8. 点击Finished。
创建SSL客户机证书LDAP授权Profile
创建SSL客户机证书LDAP配置对象之后,必须创建或配置相应的
Profile。此操作可以通过修改缺省的ssl_cc_LDAP Profile来进行,也
可以通过创建继承缺省Profile设置的定制Profile来进行。认证Profile的
一项重要功能是参考现有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,仍必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定符合以下条件的上级Profile
(定制Profile或缺省Profile):即该上级Profile包含希望新Profile继承
的值。
创建SSL客户机证书LDAP Profile时,您将配置各种设置。表8.10显示
了组成SSL客户机证书LDAP Profile的设置和值。有关创建此类Profile
的详细流程,请参阅第8-23页上的“修改缺省SSL客户机证书LDAP
Profile的步骤”,或参阅第8-24页上的“创建定制SSL客户机证书LDAP
Profile的步骤”。
设置 说明 缺省值
Name 为Profile指定一个唯一的名称。此设置是必需的。 无缺省值
Type 指定要实施的认证模块的类型。必须将此值设置为
LDAP(SSL Client Certificate)。
无缺省值
Parent Profile 指定希望从中继承值的Profile。 ssl_cc_ldap
Mode 指定是启用还是禁用Profile。可能的设置包括Auto、
Enabled和disabled。
Enabled
Configuration 指定现有的SSL客户机证书LDAP配置对象。 无缺省值
Rule 指定现有认证iRule的名称。如果不指定iRule,LTM
系统将使用相应的缺省iRule。
auth_ssl_cc_ldap
Idle Timeout 以秒为单位,指定授权请求在超时前的空闲持续时
间。您可以使用缺省值,指定一个不同的值,还可以
选择Indefinite。
300
表8.10 SSL客户机证书LDAP Profile的设置
修改缺省SSL客户机证书LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击ssl_cc_ldap。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ssl_cc_ldap,请将设置保留
为原状。
• 如果不想使用缺省iRule auth_ssl_cc_ldap,请选择已创建
的现有iRule的名称。
8. 点击Finished。
创建定制SSL客户机证书LDAP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profile屏幕。
5. 对于Name设置,为Profile指定一个唯一的名称。
6. 对于Type设置,选择SSL客户机证书LDAP。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profilessl_cc_ldap用作上级Profile,请将设
置保留为原状。
• 如果要将定制Profile用作上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,点击屏幕右侧的“定制”框,然后选择Enabled
或Auto。
9. 对于Configuration设置,点击屏幕右侧的Custom框,然后从列
表中选择一个配置对象。
10. 对于Rule设置,点击屏幕右侧的“定制”框,然后指定一个认证
iRule:
• 如果希望使用缺省iRule auth_ssl_cc_ldap,请将设置保留
为原状。
• 如果不想使用缺省iRule auth_ssl_cc_ldap,请选择已创建
的现有iRule的名称。
11. 点击Finished。
创建SSL客户机证书LDAP配置对象和SSL客户机证书LDAP Profile之
后,必须执行以下操作:
• 通过配置Real Server的Authentication、 Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rule设置,将缺省的auth_ssl_cc_ldap
iRule分配到Real Server。
实施SSL OCSP认证模块
SSL OCSP认证模块是用来对通过LTM系统的客户机连接进行认证的
机制。更确切地说,SSL OCSP认证模块检查SSL证书的撤销状态,这
是对该证书进行认证的一部分。
在线证书状态协议(OCSP)是一种第三方软件应用和业界标准协议,
它提供了使用公匙技术时的证书撤销列表(CRL)的替代方案。CRL
是已撤销的客户机证书的列表,服务器系统可以在验证客户机证书的流
程中检查该列表。
希望使用OCSP代替CRL作为检查SSL证书撤销状态的机制时,便可实
施SSL OCSP认证模块。
LTM系统既支持CRL协议,也支持OCSP协议。如果希望使用CRL代替
OCSP,请配置SSL Profile。有关CRL的详细信息,请参阅第7章“管
理SSL流量”。
有关OCSP的详细信息,请参阅 http://www.ietf.org上的RFC 2560。
了解OCSP
与使用CRL相比,使用OCSP来检查客户机证书的撤销状态有着截然不
同的优势。以下各小节介绍了CRL和OCSP之间的差异,以及OCSP的
工作方式。
CRL的局限性
随客户机证书一起出示时,LTM系统有时需要在接受证书,然后将连接
转发至目标服务器之前,评估该证书的撤销状态。评估撤销状态的标准
方法是CRL,CRL存储在配置中的各台计算机上的独立CRL文件中。尽
管CRL被视为检查SSL证书撤销状态的标准方法,但CRL仅以固定的时
间间隔更新,这将导致检查状态时,CRL中的信息已过时的风险。
此外,必须在每台计算机上存储独立的CRL文件也会导致其它一些局限
性:
• 所有CRL文件都必须保持同步。
• 在每台计算机上存储独立的CRL文件会引起安全性方面的风险。
• 无法从一个中心位置管理多个CRL文件。
OCSP的优势
OCSP确保LTM系统在证书验证流程中,始终能够获得实时撤销状态。
OCSP基于客户机/服务器模型。在此模型中,客户机系统请求证书的
撤销状态,服务器系统发送响应。因此,实施SSL OCSP认证模块时,
LTM系统充当OCSP客户机,称为OCSP响应器的外部系统充当OCSP
服务器。所以,OCSP响应器是根据请求将证书撤销状态发送到LTM系
统的外部服务器。
OCSP的工作方式
通常,接收到来自客户机应用的SSL证书后,LTM系统(充当OCSP客
户机)向OCSP响应器请求证书撤销状态,然后阻止连接,直至接收到
来从该响应器的状态。如果来自响应器的状态显示证书已撤销,LTM
系统将拒绝证书和连接。如果来自响应器的状态显示证书仍有效,LTM
将继续其正常证书验证流程,对客户机应用进行认证。
更确切地说,应用客户机发送用于认证的证书时,LTM系统将按照以下
流程进行操作:
• 首先,LTM系统检查证书的签发者是否列在可信CA文件中。
• 如果证书列在其中,LTM系统接下去将检查证书是否已撤销。没
有OCSP时,如果LTM系统上配置了CRL选项,LTM系统将通过
读取证书撤销列表(CRL)来检查撤销状态。但有OCSP时,LTM
系统将绕过CRL,准备将撤销状态请求发送到相应的OCSP响应
器。
• 然后,LTM系统检查原始客户机证书的Issuer字段中指定的CA,
并据此选择OCSP响应器。
• 下一步,LTM系统尝试将该CA与SSL OCSP Profile中列出的CA
进行匹配。
• 如果存在匹配, LTM 系统将检查客户机证书的
AuthorityInfoAccesLDAPProfile字段(如果该字段存在)中的
目标URL,并使用该URL将证书撤销状态请求发送到OCSP响应
器。
• 如果在SSL OCSP Profile中启用了Ignore AIA参数,LTM系统将
转为使用相匹配的SSL OCSP Profile的url参数中指定的URL,发
送证书撤销状态请求。
• 如果不存在匹配,LTM系统将检查系统中定义的另一个SSL
OCSP Profile 的calist设置。如果检查了所有的SSL OCSP
Profile,没有找到任何匹配,证书验证将失败,LTM系统将拒绝
原始客户机请求。
• 如果进行了相应的配置,LTM系统会在接收到来自响应器的证书
撤销状态后,将证书状态标头插入原始客户机请求中。证书状态
标头的名称是SSLClientCertificateStatus。有关此标头的详细信
息,请参阅下面的“先决LTMProfile”。
要实施SSL OCSP认证模块,必须将LTM系统配置为访问远程OCSP服
务器上的数据。为此,必须创建:
• OCSP配置对象
• OCSP Profile
创建这些对象后,必须:
• 将OCSP Profile分配给Real Server。
• 将OCSP iRule分配给Real Server。
单个SSL OCSP Profile可以分配给特定的响应器;多个SSL OCSP
Profile可以分配给同一个响应器。每个响应器都与一个证书授权机构
(CA)关联,多个响应器可以与同一个CA关联。
♦ 注意
LTM系统允许您同时启用CRL选项和OCSP选项。大多数用户需要启用
其中之一,而不是两个同时启用。然而,在极少数希望同时启用两个选
项的情形中,请注意:CRL文件的搜索和指向响应器的连接都必须成功。
否则,LTM系统无法获取状态。
先决LTMProfile
配置SSL OCSP认证模块不仅需要创建OCSP响应器对象和SSL
OCSP Profile,而且还需要创建两个其它的Profile:HTTP和客户机
SSL。
创建客户机SSL Profile时,我们建议您对该Profile进行配置来请求(而
不是要求) 证书。这样会优化LTM 系统使用
SSLClientCertificateStatus标头。请注意,只有预先配置将标头插入
到客户机请求时(通过HTTP Profile或通过iRule),LTM系统才会插入
该标头。
以下几部分描述了如何创建OCSP响应器对象、SSL OCSP配置对象以
及SSL OCSP Profile。
创建OCSP响应器对象
OCSP响应器对象是一种用户创建的对象,它包括一个用于外部OCSP
响应器的URL。您必须为每一个外部OCSP响应器创建单独的OCSP响
应器对象。
随后创建OCSP配置对象时,该配置对象参考了已创建的任何OCSP响
应器对象。
创建OCSP响应器对象时,需要配置一些设置。表8.11显示了组成SSL
OCSP响应器对象的设置和值。有关如何创建该对象的详细流程,请参
阅第8-29页上的“创建OCSP响应器对象的步骤”。
设置 说明 缺省值
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是必需的。 无缺省值
URL 指定用来联系有关响应器的OCSP服务的URL。 无缺省值
Certificate
Authority File
指定包含可信CA证书的文件的名称,这些证书用来检验关
于OCSP响应的签名。
无缺省值
Certificate
Authority Path
指定包含可信CA证书的路径的名称,这些证书用来检验关
于OCSP响应的签名。
无缺省值
Verify Other 当证书没有得到响应时,指定用来搜索OCSP响应签名证书
的文件的名称。
无缺省值
Trust Other 通过检验其它项设置,指示LTM系统信任指定的证书。
Disabled
VA File 指定包含明确可信的响应器证书的文件名。如果已经加载到
响应器的CA库的证书不包含该响应器,那么就需要此参数。
无缺省值
Signer 指定用来签署OCSP请求的证书。特殊含义:
如果指定了证书但未指定密钥,那么就会从与证书的作用一
样的文件中读取私匙。
如果既未指定证书也未指定密钥,那么就不签署该请求。
如果未指定证书但指定了密钥,那么该配置被视为无效。
无缺省值
Signing Key 指定用来签署OCSP请求的密钥。 无缺省值
Sign Other 列出其它证书,添加到OCSP请求中。 无缺省值
Sign Digest 通过签署证书和密钥指定签署该请求的算法。
特殊含义:
如果请求签署无效(也就是,Request Signing Certificate
和Request Signing Key参数为空),那么该参数没有任何
意义。
只有请求签署有效时才需要该参数。
Sha1
Validity Period 指定LTM系统用来指定一个可接受错误范围的秒数。当
OCSP响应器时钟和客户机时钟不同步时(这种情况会导致
证书状态检查失败),使用该设置。该值必须是正数。该参
数是必需的。
300
Status Age 以秒为单位指定一个时间,与notBefore字段进行比较。当
状态响应不包括notAfter字段时使用。
0
Ignore AIA 指示LTM系统忽略包含在证书的AIA字段中的URL,并且始
终使用响应器指定的URL代替。
Disabled
Trust Other 指定证书应该明确可信,无需再进行任何其它检查。 Disabled
Allow
Certificates
允许证书添加到OCSP请求。 Enabled
Verify 让LTM系统检验OCSP响应签名或当前时间值。仅用于调
试。
Enabled
Intern 当搜索签署者的证书时,让LTM系统忽略包含在OCSP响应
中的证书。要使用该设置,必须通过Verify Other或VA File
设置指定签署者的证书。
Enabled
Verify
Signature
让LTM系统检查有关OCSP响应的签名。仅用于测试。 Enabled
Verify
Certificate
让LTM系统检验有关OCSP响应的签名。 Enabled
Certificate
Chain
让LTM系统构建有关OCSP响应的证书链。 Enabled
Check
Certificates
让LTM系统进行其它检查,以查看是否授权签署者的证书来
提供必需的状态信息。仅用于测试。
Enabled
Explicit OCSP 让LTM系统完全信任为签署OCSP响应而授权的OCSP响应
签署者的证书。如果签署者的证书不包含OCSP signing扩
展,那么该设置的规范会导致LTM系统不信任响应。
Enabled
表8.11 OCSP响应器的设置
创建OCSP响应器对象的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
3. 从Authentication菜单中,选择OCSP Responders。
4. 在屏幕的右上角,点击Create。
5. 对于name设置, 为配置对象输入一个唯一的名称, 例如
my_ocsp_responder。
6. 对于URL设置,输入用于外部响应器的URL。
7. 修改或保留所有其它设置的值。(要配置高级设置,请定位至
Configuration标题,然后选择Advanced)。
8. 点击Finished。
创建SSL OCSP配置对象
SSL OCSP配置对象是一种参考一个或多个OCSP响应器对象的对象。
创建OCSP配置对象时,需要配置各种设置。表8.12列出并介绍了可在
SSL OCSP配置对象中指定的设置。有关如何配置该对象的详细流程,
请参阅下面的“创建SSL OCSP配置对象的步骤”部分。
设置 说明 缺省值
Name 为配置对象指定一个唯一的名称。此设置是必需的。 无缺省值
Type 指定您希望实施的认证模块的类型。必须将该值设置为SSL
OCSP。
无缺省值
Responders 指定您希望用来检查SSL证书撤销状态的OCSP响应器。 无缺省值
表8.12 SSL OCSP配置对象的设置
创建SSL OCSP配置对象的步骤
1. 在Main选项卡中,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Configurations。
4. 在屏幕的右上角,点击Create。
此操作将显示New Configuration屏幕。
5. 对于Name设置, 为配置对象指定一个唯一的名称, 例如
my_ocsp_config。
6. 对于Type设置,选择SSL OCSP。
7. 对于Responders设置,指定所有响应器对象。
8. 点击Finished。
创建SSL OCSP Profile
创建SSL OCSP配置对象之后,必须创建或配置SSL OCSP Profile。
此操作可以通过修改缺省的ssl_ocsp Profile来进行,也可以通过创建
继承缺省Profile设置的定制Profile来进行。认证Profile的一项重要功能
是参考现有的配置对象。
在大多数情况下,缺省Profile应能满足您的需求。但是,即使您使用缺
省Profile,也必须对其进行修改,指定您创建的相应配置对象。
如果选择创建定制Profile,那么必须指定上级Profile(定制Profile或缺
省Profile),该上级Profile包含要新Profile继承的值。
创建OCSP Profile时,需要配置各种设置。表8.13显示了组成SSL
OCSP Profile的设置和值。有关创建OCSP Profile的详细流程,请参阅
第8-31页上的“修改缺省SSL OCSP Profile的步骤”,或参阅第8-32
页上的“创建定制SSL OCSP Profile的步骤”。
设置 说明 缺省值
Name 为Profile指定一个唯一的名称。此设置是必需的。无缺省值
Type 指定您希望实施的认证模块的类型。必须将该值
设置为OCSP。
无缺省值
Parent Profile 指定希望从继承值的Profile。 ssl_ocsp
Mode 指定启用还是禁用该Profile。可能的设置包括
Auto、Enabled和Disabled。
Enabled
Configuration 指定现有OCSP配置对象的名称。此设置是必需
的。
无缺省值
Rule 指定现有认证iRule的名称。如果不指定iRule,
LTM系统将使用相应的缺省iRule。
auth_ssl_ocsp
Idle Timeout 以秒为单位,指定认证请求的空闲持续时间。您
可以使用缺省值,指定一个不同的值,还可以选
择Indefinite。
300
表8.13 SSL OCSP Profile的设置
修改缺省SSL OCSP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
此操作将显示缺省认证Profile的列表。
4. 在Name栏中,点击ssl_ocsp。
5. 对于Mode设置,选择Enabled或Auto。
6. 对于Configuration设置,从列表中选择配置对象。请注意,不允
许选择设置None。
7. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ocsp,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ocsp,请选择已创建的现有
iRule的名称。
8. 点击Finished。
创建定制SSL OCSP Profile的步骤
1. 在Main选项卡上,展开Local Traffic。
2. 点击Profiles。
将打开Profiles屏幕。
3. 从Authentication菜单中,选择Profiles。
4. 在屏幕的右上角,点击Create。
此操作将显示New Profile屏幕。
5. 对于Name设置,为Profile指定一个唯一的名称。
6. 对于Type设置,选择SSL OCSP。
7. 对于Parent Profile设置,执行以下操作:
• 如果要将缺省Profile ssl_ocsp用于上级Profile,请将设置
保留为原状。
• 如果要将定制Profile用于上级Profile,请从列表中选择定制
Profile的名称。
8. 对于Mode设置,点击屏幕右侧的Custom框,然后选择Enabled
或Auto。
9. 对于Configuration设置,点击屏幕右侧的Custom框,然后从列
表中选择一个配置对象。
10. 对于Rule设置,指定认证iRule:
• 如果希望使用缺省iRule auth_ocsp,请将设置保留为原状。
• 如果不想使用缺省iRule auth_ocsp,请选择已创建的现有
iRule的名称。
11. 点击Finished。
创建SSL OCSP响应器对象、SSL OCSP配置对象和SSL OCSP Profile
之后,必须执行以下操作:
• 通过配置Real Server的Authentication Profile设置,将Profile
分配到Real Server。
• 通过配置Real Server的Rule设置,将缺省auth_ssl_ocsp iRule
分配到Real Server。
有关如何配置Real Server设置的信息,请参阅第2章“配置Real
Server”。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
