更新时间:2023-05-22
管理员账号用来设置能够通过控制台来管理设备的登录用户和管理员角色管理。设备出厂默认的管理员的账号密码为:admin/admin。在导航菜单页面中的[系统管理/统配置/管理员账户],进入管理员账户编辑页面,进行新增、编辑、删除、启用和禁用操作。
9.4.2.1.本地管理员账号
步骤1.创建管理员账户。在[系统管理/系统配置/管理员账号],点新增后,跳转到管理员账户的编辑窗口,填写管理员账户的用户名和描述信息。管理员角色即为该用户选择第一步描述的管理员角色,设备内置四个角色:administrator、系统管理员、安全管理员、审计管理员。
步骤2.登录安全设置中的设置登录控制台的密码。
步骤3.Dkey是日志中心查询功能时必须使用Dkey。点击<生成Dkey>设置DKAY的登录密码。
步骤4.限制登录配置用于限制管理员登录控制台的IP地址。可以设置单个IP也可以设置IP段,一行一条设置最多可以设置32行。
步骤5.对创建的账户设置[组织权限设置],用于设置控制台用户管理用户组的权限,用户组可以选择,点击<选择>,列出设备中的组织结构,选择可以管理的组即可。
步骤6.超级管理员administrator角色不能配置“组织权限设置”的,默认是所有权限。
步骤7.设置页面权限,定义管理员是否有各个模块可查看或者是可编辑的权限。
超级管理员administrator角色是不能配置“页面权限设置”的,默认是所有权限;
内置的系统管理员、安全管理员、审计管理员角色也各自有默认的页面权限,可以依据实际需求进行增删权限。
步骤8.完成配置后,点击<提交>,完成了新增一个本地密码管理员账号的配置。
9.4.2.2.账号密码认证+USB-key认证
管理员账号增加双因素认证,默认功能不开启。想要使用在对应管理员账号[认证策略]进行选择,用到USB-key。
步骤1.准备SIG设备一台,红色USB-Key一个。
步骤2.管理员日常使用Windows7/8/10/服务器电脑一台。
步骤3.win7电脑打开IE浏览器(win8以上电脑以管理员身份运行打开IE浏览器)。
步骤4.使用超级管理员admin或系统管理员登录设备控制台。
步骤5.进入[系统管理/系统配置/管理员账号]认证策略选择“账号密码认证+USB-key认证”。
步骤6.绑定U-key点击“去生成UEB-Key”。
步骤7.如果使用不是Windows电脑或IE浏览器会报错。
步骤8.根据提示“生成USB-Key前需要先配置内置根证书,是否现在前往进行配置”,点击<关闭>。
步骤9.这里配置的是 “谁颁发(根证书)给(管理员账号)”,未配置过的新设备才会提示。
步骤10.点击<立即配置>,完成信息填写,点击<提交>。
步骤11.检查下前面的配置,点击<证书管理>查看内置根证书的配置或进行修改。
步骤12.也可以在[设置/证书管理],查看整改管理的信息和修改配置。
步骤13.点击查看,可查看证书的详细内容。
步骤14. 点击<修改配置>,可以根据需求进行修改。
步骤15.服务重启后,回到[管理员账号]配置页面,继续生成USB-Key。
步骤16.电脑插入key。
步骤17.回到管理员账号配置页面,继续生成USB-Key。
步骤18.可以勾选“记住该次配置,以后默认使用”,没有下载过驱动的,可在这个页面下载驱动(两个安装文件)。
步骤19.Dkey Import3.0.exe的安装教程。
步骤20.ePass3000GM.exe安装教程。
步骤21.分别运行安装,完成后返回控制台(熟练的情况可以先完成驱动的安装)。
步骤22.安装完成后,点击<重新检测>。
步骤23.自定义输入PIN码后,提交烧录key。完成烧录成功,可以看懂绑定U-key。
步骤24.管理员账号列表看到认证策略变成“账号密码认证+USB-Key认证”。
步骤25.登录账号在控制台页面,输入双因子认证的账号。 提示:需要插入USB-Key登录。插入key以后,弹出PIN码框。完成登录,直接拔掉key:有弹框提示,并会注销SIG控制台登录。
9.4.2.3.账号密码认证+邮件验证
管理员账号增加双因素认证,默认功能不开启。想要使用在对应管理员账号[认证策略]进行选择(注意:admin账号不建议启用该功能)。
步骤1.管理员账户中新增管理员账户,填写用户名和描述。
步骤2.在登录安全设置中[认证策略]选择“账号密码认证+邮件验证”,填写接收验证码的邮箱地址。
步骤3.配置邮件告警:[系统管理/系统配置/高级配置/通知设置],邮件通知服务器需要保障是可以成功发送邮件的,否则将影响控制台的登录。
步骤4.完成配置后,登录设备控制台,没有配置[邮件验证]的账号,正常登录控制台。
步骤5.有配置[邮件验证]的账号,出现验证码框。
步骤6.输入邮箱收到验证码。
步骤7.完成认证,登录控制台。
9.4.2.4.角色管理
角色管理是用来创建管理员角色。设备默认提供四个内置角色:administrator、系统管理员、安全管理员、审计管理员。内置的角色都具备默认的[组织权限设置]和[页面权限设置],administrator超级管理员是所有权限。
管理员角色列表中,其排列顺序决定了权限级别的高低顺序。在管辖范围相同的情况下高角色级别的管理员可以修改低角色级别管理员创建的策略,并且自己创建的策略优先于低级别管理员的策略。定义角色时,除超级管理员权限外,都需要定义[组织权限设置]和[页面权限设置] 。
:
1.不同角色优先级别不一样,从上到下,越往下新增角色优先级越低。
2.低优先级角色的管理员不能对优高优先级的管理员的对象进行删除和修改操作。
9.4.2.5.三权分立
设备提供三种系统管理员、安全管理员、审计管理员三个内置的管理员角色。每个管理员负责不同的职责,实现三权分立。
系统管理员:负责对软件环境日常运行的管理和维护,以及对系统的备份和操作系统恢复(部署、网络配置、备份等等)。
审计管理员:拥有对系统日志、管理员操作日志进行查看、导出的权限。
安全管理员:负责业务配置、应用管理、授权管理等操作(业务配置、策略配置等)。
9.4.2.6.注意事项&排错
- 如果在生成USB-KEY过程中出现问题,一般按照系统提示都能解决问题,请检查以下几点:
• 生成USB-KEY仅支持IE浏览器,win8以上电脑需要使用管理员权限运行IE浏览器,请检查是否使用管理员权限打开了IE浏览器。
• 生成USB-KEY需要浏览器控件支持,请在 USB-KEY信息操作界面检测是否已安装控件,安装控件后,需要重启浏览器生效。
- 生成USB-KEY需要USB-KEY驱动支持,请检查是否已经安装并启动了USB-KEY驱动,即插拔USB-KEY系统托盘是否会有提示。USB-KEY驱动程序名为:USBKey管理工具(certreg MFC Application)。
- 操作USB-KEY时,PC只能插入一个USB-KEY,如果有插入多个KEY请拔出21q98oiukjmn 多余的KEY。如果是使用需要USB-KEY认证登录的管理员在操作USB-KEY生成,在生成USB-KEY操作时,是允许临时拔出当前管理员的KEY的,只保留需要烧写的USB-KEY即可。
- USB-KEY认证用户登录失败。
USB-KEY登录功能对PC系统和浏览器的兼容性有要求,请先检查当前的系统和浏览器是否支持。以下是已经保证支持的主流场景,其他场景不能保证。
- 如果出现UKEY认证失败:
• 请检查USB-KEY是否正确且已经插入。
• 请检查USB-KEY的证书是否已经过期,设备时间和PC时间是否差距过大。
• 如果刚使用浏览器登录了其他USB-KEY用户,或者该USB-KEY是刚生成后立即使用的,请尝试清除浏览器SSL缓存或直接重启浏览器后再重新登录。
- USB-KEY登录仅支持一个Key,请不要在PC上插入多余的USB-KEY。
- USB-KEY驱动卸载。
安装了驱动的电脑,进入到C:/Program Files (x86)/Sangfor/SSL/USBKeyMonitor路径,双击执行Uninstaller.exe 可以同时卸载两个驱动。卸载需要重启电脑。
如果在控制面板-应用-卸载应用进行卸载会出现卸载不干净的问题,可以手动到安装路径(C:/Program Files (x86)/Sangfor/SSL/USBKeyMonitor路径)清理没卸载干净的文件。