原理:可以先创建一个ROLE,并为这个ROLE分配权限,再有认证服务器,然后有认证域,在创建认证域的时候给该域选择一个用来认证用户的认证服务器,同时做ROLE MAPPING,最后建立USER(也可以先建立),这样,USER在登陆的时候选择哪个登陆域就从哪个认证域所在的认证服务器进行认证,从而根据ROLE MAPPING时的POLICY,为该用户分配权限。
1.使用Core 模块的WEB接入访问功能,是针对标准的80端口来应用的,非标准80端口不能正常使用。
2.如果在登陆是需要对认证域进行选择,应该在Sing in / police 下,将多个认证域填加进去,这样在登陆时就可以选择了。
3.在使用RSA ACE server 进行用户信息认证时,应该和RSA厂家来配合实现,要RSA厂家在认证服务器端放开相应权限,使得SSL VPN SA 2000可以和 认证服务器正常建立通信。
4.在添加ACE SERVER认证服务器时,在SERVER name 选项中填入SERVER的IP地址,不能随便填写,如果DNS可以解析,填写名字也是可以的。
5.默认情况下,只允许内网口(internal)进行管理, 如果需要使用外网口(External)来管理设备,要在Administrator Authentication Realm 下激活:enable administrators to sign in on the external port 选项。
6.用户认证通过以后,可以在角色mapping时,条件里用字母+通配符(*),可以实现权限分配。
7.角色匹配时是按照顺序来执行的,一个一个来的,除非勾选了“当匹配了一个角色后停止处理”,那么该用户就只有他到目前为止独自匹配到的规则的权限,匹配是按照先后顺序来执行的。
8.使用WSAM后可能会出现,重启PC后DNS无法解析的问题。卸载WSAM后就恢复正常。
9.使用ACE RSA SERVER 做令牌卡的认证时,当导入sdconf.rec到IVE设备中时,如果一切正常,在导入完成后在ACE SERVER的LOG中应当可以看到SSL VPN 与ACE SERVER同步的log 出现。
10. IVE结合ACE SERVER认证时,2边的设备在时间(时间可以有稍微的差距,只要在secriID改变的间隔内即可)和时区上一定要匹配!
11。更改时区设置后最好rboot设备。
12。sdconf.rec 最好用最新产生的,不要用原来存在的,然后进行修改后导出的。
13。当ACE SERVER和IVE 同步以后,在IVE的note verification file 的选项那里会出现creation time.的具体时间。
14. 当在使用CORE的WEB书签功能时,一个书签下面的应用是非80端口的,是无法在当时的界面使用,必须要单独开一个页面才可以正常使用!目前非80端口的应用是通过SAM 的 ADD SERVER 方式实现的。例如
原会话:
https://x.x.x.x/,DanaInfo=x.x.x.x+
新开的:
http://x.x.x.x能不能不重新开窗口而直接就可以正常使用非80端口的应用。
例如当点击bookmark上的选项时,直接弹出
http://x.x.x.x这个包含非80端口应用 界面。
目前这种情况是通过SAM来解决的,但是目前用户通过BOOKMARK出来的页面内PDF的可以应用,word 的不可以;可能原因是用户的word 调用中含有宏或脚本,这样就是基于C/S的架够了,或者用户调用word 时是从另外的一个SERVER中来调用的,这样使用WEB功能是无法来满足用户目前的需求,只有借助SAM功能。(再单独打开一个页面来访问这些应用)。
添加了一个针对 x.x.x.x 的web rewrite policy ,对该URL下的内容不进行重写。来解决WEB界面下,非标准的WEB应用不能使用的问题。(如WORD),这样,就不走CORE模块,而来走SAM的功能模块了。
