安全管理(域控制器)安装手册

亿阳信通股份有限公司安全管理（鉴权）安装手册第1页安全管理（鉴权）安装手册叶家青2006-4-20前言第一节目的指导部署安全管理系统。第二节内容本文介绍GP-NMS-SECURITY-V2.0系统的安装配置过程。在执行安装程序前，请首先安装以下几个支撑软件：OracleClient9i（安装在应用服务器）域控制器（操作系统为2003SERVER）授权管理器（操作系统为Windows2000SERVER,应该和域控制器安装一起）其中包括：准备安装；安装；配置；测试。第三节谁应该读这本书本文针对省级移动网管系统三期和联通网管二期的系统安装，适用于软件安装和维护人员。第一章准备安装第一节软硬件要求硬件平台：两台PC服务器（P4CPU，256MMem，50MHardware）软件要求：1、Windows2003Server+IIS5.0以上；亿阳信通股份有限公司安全管理（鉴权）安装手册第2页2、IE6.0以上；3、Oracleclient9.0；第二章安装OracleClient9i客户端第一节首先需要注意的地方支持9i（开发环境是9.0.1.1.1版本）建议安装该版本。第二节安装正确安装数据库的客户端，配置nrmdb的数据库配置。第三节Oracle9.2.0以上的版本的说明对于9.2.0以上的版本会出现创建环境变量不成功的问题，这个问题是因为Web以NetWorkService帐号访问的，该版本及以上版本对权限设置的更细，所以需要吧NetWorkService赋给Oracle客户端的根目录，如下图。如果出现OCI.Dll找不到，可能是安装不完全造成的，在orai\bin下边没有该文件；需要将该文件拷贝过来或者重新安装；一般情况安装完成后需要重新启动机器。亿阳信通股份有限公司安全管理（鉴权）安装手册第3页第三章安全管理用到的表第一节用到的表系统自身用到的表：Taa_sm_aclTaa_sm_config公共表：objects，meta_objectsobjects_manuobjects_manu_rTai_userinfoTai_appname亿阳信通股份有限公司安全管理（鉴权）安装手册第4页Tca_negrp_defineType2string第二节主要表的唯一标识和索引主要表的唯一标识：表taa_sm_acl唯一标识：Role_name,object_id表taa_sm_config唯一标识：Role_name+object_id+object_id1+object_id2+object_type表tai_userinfo唯一标识：（1）USER_ID（2）ZH_NAME（3）USER_NAME必要索引：下面是要创建的索引：请现场注意检查：CREATEUNIQUEINDEXSYS_C0015250ONNRMDB.TAI_USERINFO(USER_ID)CREATEUNIQUEINDEXnrmdb.tai_userinfo.username_indexONNRMDB.TAI_USERINFO(USER_NAME)第三节注意事项公用表中必须要有数据，而且一定要完善，否则可能会出现一些树图展不开的情况！安全管理系统用到的表是存储在资源数据库（nrmdb）中，在nmosdb中是同义词的方式存储，请现在确认和注意。第四章安装域控制器域控制器选择一个操作系统为Windows2003的机器。第一节安装步骤一：进入服务器（windowsserver2003系统），打开【管理工具】-【管理您的服务器】；亿阳信通股份有限公司安全管理（鉴权）安装手册第5页步骤二：点击【添加或删除角色】；步骤三：点击【下一步】，等待……亿阳信通股份有限公司安全管理（鉴权）安装手册第6页步骤四：选择域控制器（ActiveDirectory），点击下一步；亿阳信通股份有限公司安全管理（鉴权）安装手册第7页亿阳信通股份有限公司安全管理（鉴权）安装手册第8页步骤五：选择新域的域控制器，点击下一步；步骤六：选择在新林中的域，点击下一步亿阳信通股份有限公司安全管理（鉴权）安装手册第9页步骤七：输入域名称（至少有一个点号）；步骤八：指定域名称；亿阳信通股份有限公司安全管理（鉴权）安装手册第10页步骤九：指定数据库和日志文件；步骤十：DNS注册诊断；亿阳信通股份有限公司安全管理（鉴权）安装手册第11页步骤十一：权限设置步骤十二：设置密码，密码与域管理员密码一致亿阳信通股份有限公司安全管理（鉴权）安装手册第12页步骤十三：点击下一步；亿阳信通股份有限公司安全管理（鉴权）安装手册第13页步骤十四：等待．．．．．．亿阳信通股份有限公司安全管理（鉴权）安装手册第14页步骤十五：安装完成。亿阳信通股份有限公司安全管理（鉴权）安装手册第15页第二节提升域功能级别步骤一：打开活动目录，【管理工具】-【ActiveDirectory用户和计算机】；亿阳信通股份有限公司安全管理（鉴权）安装手册第16页步骤二：选中ActiveDirectory用户和计算机点击鼠标右键，选择【提升级别】；亿阳信通股份有限公司安全管理（鉴权）安装手册第17页步骤三：选择ＷindowsServer2003，点击【提升】，提升成功；第三节修改密码策略在修改密码时一般很难输入符合密码策略的密码，因为根据window的默认域密码策亿阳信通股份有限公司安全管理（鉴权）安装手册第18页略很难设定密码，所以必须修改密码策略。可以通过如下方式修改：步骤一：打开【管理工具】-【域安全策略】；步骤二：选择【window设置】-【安全设置】-【帐户策略】-【密码策略】；步骤三：将选项设定为：密码必须符合复杂性要求：已启用；密码长度最小值：8个字符；密码最长使用期限：32；密码最短使用期限：０；强制密码历史：０个记住的密码；用可还原的加密来储存密码：已禁用；步骤四：【开始】-【运行】运行gpupdate/force命令，更新策略。如果系统提示找不到gpupdate/force，可在运行中执行cmd,把路径指到gpupdate所在的目录下(C:\WINDOWS\system32)再执行即可注意：密码最长使用期限设定为０，即表示无期限，如果设定为“没有定义”，系统会自动将密码最短使用期限改为“没有定义”密码最短使用期限如果设定为“没有定义”，系统会默认为１，即密码必须使用超过１天才能更改。强制密码历史如果设定为“没有定义”，系统会默认为２４，即新密码不能与以前用过的24个密码中任何一个相同。亿阳信通股份有限公司安全管理（鉴权）安装手册第19页第四节创建网管中心组织单元在默认情况下我们的用户都是存放在这个目录下，创建完后选中该组织单元的属性，然后在安全中添加适当的用户（根据自己的需要，安全系统以什么用户访问该目录）。其中给authenticatedusers全部权限。注意：安全选项只有在ActiveDirectory用户和计算机的【查看】功能中选中【高级功能】后才能看到。亿阳信通股份有限公司安全管理（鉴权）安装手册第20页第五章安装授权管理器一般情况将授权管理器安装在域控制器所在机器上，步骤如下。步骤一：【开始】-【运行】键入MMC打开控制台；亿阳信通股份有限公司安全管理（鉴权）安装手册第21页步骤二：菜单栏选择【控制台】-【删除\添加管理单元】；步骤三：在删除\添加管理单元中点击【添加】，选择授权管理器，点击【确定】进入授权管理器界面；亿阳信通股份有限公司安全管理（鉴权）安装手册第22页亿阳信通股份有限公司安全管理（鉴权）安装手册第23页亿阳信通股份有限公司安全管理（鉴权）安装手册第24页步骤四：点击授权管理器右键-【选项】，选择开发人员模式，点击【确定】；步骤五：点击授权管理器右键，创建一个新的授权管理器（可以选择活动目录，也可以选择XML文件；建议选择活动目录），在存储名称中在添加”CN=BOCO,”或者其他名称；步骤六：在BOCO上选择创建应用程序，点击BOCO右键；亿阳信通股份有限公司安全管理（鉴权）安装手册第25页步骤七：输入应用程序名（系统默认是NMS4，建议使用该名字）称和其他信息，点击【确定】完成添加应用程序；步骤八：设置安全权限：设置权限，这一项很重要，如果不设置，系统将无法正常访问！选中BOCO改授权管理器，右键选择属性；将AuthenticatedUsers用户添加进来，这个用户是系统用户（它允许加入到域的计算机用户访问，实际上它相当于域中的计算机）；亿阳信通股份有限公司安全管理（鉴权）安装手册第26页亿阳信通股份有限公司安全管理（鉴权）安装手册第27页附录：FAQ问题一：初始化授权管理器STORE不成功授权路径是否正确：CN=BOCO,CN=ProgramData,DC=boco,DC=com；权限是否配对：将AuthenticatedUsers用户添加到授权管理器BOCO的安全中。问题二：机器不够用怎么办建议在WebServer上安装两个虚拟机，一台做域控制器，一台运行集中鉴权的程序。windows2000可以用vmware，windows2003可以用virtualserver2003。问题三：添加用户时报：“添加用户失败：一般性拒绝访问错误”需要将集中鉴权的机器加入域，并且以域用户启动，该机器；以域用户访问授权网页。配置文件中的ADUsername配置是否正确，是否将该用户付给网管中心。亿阳信通股份有限公司安全管理（鉴权）安装手册第28页问题四：对用户分配角色时报错。对用户分配角色时报：“角色分配失败！向角色添加成员boco\xpz出错！有可能该成员已经在该角色中了，或者是您没有权限进行这样的操作。此工作站和主域间的信任关系失败。”需要将集中鉴权的机器的ＤＮＳ指到域控制器；修改应用服务器的名字重新加入域中；问题五：能够创建用户，但修改用户出错。能够创建用户，但设定和修改用户可用性和密码时报错：“调用的目标发生了异常。System.UnauthorizedAccessException:拒绝访问。”使Web.config中设定的ADUsername用户拥有DomainAdmins的权限。因为ADUsername用户在程序中是用来创建用户和设定用户密码的，如果只有DomainUsers的权限则只能创建同级的DomainUsers，但不能设定该用户的密码。注意：由于ADUsername用户的密码不能更改，所以不要使用administrator用户。问题六：密码复杂度问题。在修改密码时报错：“修改用户失败：在设置用户的可用性或密码时发生错误！调用的目标发生了异常。System.Runtime.InteropServices.COMException(0x800708C5):密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。”需要修改域安全策略：window的默认域密码策略很难设定，可以通过如下方式修改：1）打开“管理工具”-“域安全策略”2）选择“window设置”-“安全设置”-“帐户策略”-“密码策略”3）将选项设定为：密码必须符合复杂性要求：已禁用密码长度最小值：0个字符密码最长使用期限：0密码最短使用期限：0强制密码历史：0个记住的密码用可还原的加密来储存密码：已禁用运行gpupdate/force命令注意：密码最长使用期限设定为0，即表示无期限，如果设定为“没有定义”，系统会自动将密码最短使用期限改为“没有定义”；密码最短使用期限如果设定为“没有定义”，系统会默认为１，即密码必须使用超过１天才能更改强制密码历史如果设定为“没有定义”，系统会默认为２４，即新密码不能与以前亿阳信通股份有限公司安全管理（鉴权）安装手册第29页用过的24个密码中任何一个相同。问题七：如果想让用户可以通过自己的帐号加入到域，如何保证域控制器的安全性？如果想让用户可以通过自己的帐号加入到域，必须要使该用户属于DomainAdmins组（这样就保护了administrator用户的密码）。但集中鉴权程序默认是将用户加入DomainU