安全管理(域控制器)安裝手冊

1、安全管理（鑒權(quán)）安裝手冊葉家青 2006-4-20前言第一節(jié) 目的指導(dǎo)部署安全管理系統(tǒng)。第二節(jié) 內(nèi)容本文介紹GP-NMS-SECURITY-V2.0系統(tǒng)的安裝配置過程。在執(zhí)行安裝程序前，請首先安裝以下幾個支撐軟件：Oracle Client 9i（安裝在應(yīng)用服務(wù)器）域控制器（操作系統(tǒng)為2003SERVER）授權(quán)管理器（操作系統(tǒng)為Windows2000SERVER,應(yīng)該和域控制器安裝一起）其中包括：準(zhǔn)備安裝；安裝；配置；測試。第三節(jié) 誰應(yīng)該讀這本書本文針對省級移動網(wǎng)管系統(tǒng)三期和聯(lián)通網(wǎng)管二期的系統(tǒng)安裝，適用于軟件安裝和維護人員。第一章 準(zhǔn)備安裝第一節(jié) 軟硬件要求硬件平臺：兩臺PC服務(wù)器（P4 CP

2、U，256M Mem，50M Hardware） 軟件要求：1、 Windows 2003 Server + IIS 5.0以上；2、 IE 6.0以上；3、 ；第二章 安裝Oracle Client 9i 客戶端第一節(jié) 首先需要注意的地方支持9i（開發(fā)環(huán)境是.1版本）建議安裝該版本。第二節(jié) 安裝正確安裝數(shù)據(jù)庫的客戶端，配置nrmdb的數(shù)據(jù)庫配置。第三節(jié) Oracle l 對于9.2.0以上的版本會出現(xiàn)創(chuàng)建環(huán)境變量不成功的問題，這個問題是因為Web以NetWork Service帳號訪問的，該版本及以上版本對權(quán)限設(shè)置的更細(xì)，所以需要吧NetWork Service 賦給Oracl

3、e客戶端的根目錄，如下圖。l 如果出現(xiàn)OCI.Dll找不到，可能是安裝不完全造成的，在oraibin下邊沒有該文件；需要將該文件拷貝過來或者重新安裝；一般情況安裝完成后需要重新啟動機器。第三章 安全管理用到的表第一節(jié) 用到的表系統(tǒng)自身用到的表：l Taa_sm_acll Taa_sm_config公共表：l objects，l meta_objectsl objects_manul objects_manu_rl Tai_userinfol Tai_appnamel Tca_negrp_definel Type2string第二節(jié) 主要表的唯一標(biāo)識和索引主要表的唯一標(biāo)識：l 表taa_sm_a

4、cl 唯一標(biāo)識：Role_name,object_idl 表taa_sm_config唯一標(biāo)識：Role_name+object_id+ object_id 1+object_id 2+object_typel 表tai_userinfo唯一標(biāo)識：（1）USER_ID（2）ZH_NAME（3）USER_NAME必要索引：下面是要創(chuàng)建的索引：請現(xiàn)場注意檢查：l CREATE UNIQUE INDEX SYS_C0015250 ON NRMDB.TAI_USERINFO(USER_ID)l CREATE UNIQUE INDEX nrmdb.tai_userinfo.username_index

5、ON NRMDB.TAI_USERINFO (USER_NAME)刪除，由程序判斷如果已經(jīng)創(chuàng)建的，需要刪除 第三節(jié) 注意事項l 公用表中必須要有數(shù)據(jù)，而且一定要完善，否則可能會出現(xiàn)一些樹圖展不開的情況！l 安全管理系統(tǒng)用到的表是存儲在資源數(shù)據(jù)庫（nrmdb）中，在nmosdb中是同義詞的方式存儲，請現(xiàn)在確認(rèn)和注意。第四章 安裝域控制器域控制器選擇一個操作系統(tǒng)為Windows 2003的機器。第一節(jié) 安裝步驟一：進入服務(wù)器（windows server 2003系統(tǒng)），打開【管理工具】-【管理您的服務(wù)器】；步驟二：點擊【添加或刪除角色】；步驟三：點擊【下一步】，等待步驟四：選擇域控制器（Acti

6、ve Directory），點擊下一步；步驟五：選擇新域的域控制器，點擊下一步；步驟六：選擇在新林中的域，點擊下一步步驟七：輸入域名稱（至少有一個點號）；步驟八：指定域名稱；步驟九：指定數(shù)據(jù)庫和日志文件；步驟十：DNS注冊診斷；步驟十一：權(quán)限設(shè)置步驟十二：設(shè)置密碼，密碼與域管理員密碼一致步驟十三：點擊下一步；步驟十四：等待步驟十五：安裝完成。第二節(jié) 提升域功能級別步驟一：打開活動目錄，【管理工具】-【Active Directory 用戶和計算機】；步驟二：選中Active Directory 用戶和計算機點擊鼠標(biāo)右鍵，選擇【提升級別】；步驟三：選擇indows Server 2003，點擊【

7、提升】，提升成功；第三節(jié) 修改密碼策略在修改密碼時一般很難輸入符合密碼策略的密碼，因為根據(jù)window的默認(rèn)域密碼策略很難設(shè)定密碼，所以必須修改密碼策略?？梢酝ㄟ^如下方式修改：步驟一：打開【管理工具】-【域安全策略】；步驟二：選擇【window設(shè)置】-【安全設(shè)置】-【帳戶策略】-【密碼策略】；步驟三：將選項設(shè)定為：n 密碼必須符合復(fù)雜性要求：已啟用；n 密碼長度最小值：8個字符；n 密碼最長使用期限：32；n 密碼最短使用期限：；n 強制密碼歷史：個記住的密碼；n 用可還原的加密來儲存密碼：已禁用；步驟四：【開始】-【運行】運行g(shù)pupdate /force命令，更新策略。如果系統(tǒng)提示找不到g

8、pupdate /force，可在運行中執(zhí)行cmd,把路徑指到gpupdate所在的目錄下(C:WINDOWSsystem32)再執(zhí)行即可注意：密碼最長使用期限設(shè)定為，即表示無期限，如果設(shè)定為“沒有定義”，系統(tǒng)會自動將密碼最短使用期限改為“沒有定義”密碼最短使用期限如果設(shè)定為“沒有定義”，系統(tǒng)會默認(rèn)為，即密碼必須使用超過天才能更改。強制密碼歷史如果設(shè)定為“沒有定義”，系統(tǒng)會默認(rèn)為，即新密碼不能與以前用過的24個密碼中任何一個相同。第四節(jié) 創(chuàng)建網(wǎng)管中心組織單元在默認(rèn)情況下我們的用戶都是存放在這個目錄下，創(chuàng)建完后選中該組織單元的屬性，然后在安全中添加適當(dāng)?shù)挠脩簦ǜ鶕?jù)自己的需要，安全系統(tǒng)以什么用戶訪

9、問該目錄）。其中給authenticated users 全部權(quán)限。注意：安全選項只有在Active Directory用戶和計算機的【查看】功能中選中【高級功能】后才能看到。第五章 安裝授權(quán)管理器一般情況將授權(quán)管理器安裝在域控制器所在機器上，步驟如下。步驟一：【開始】-【運行】鍵入MMC 打開控制臺；步驟二：菜單欄選擇【控制臺】-【刪除添加管理單元】；步驟三：在刪除添加管理單元中點擊【添加】，選擇授權(quán)管理器，點擊【確定】進入授權(quán)管理器界面；步驟四：點擊授權(quán)管理器右鍵-【選項】，選擇開發(fā)人員模式，點擊【確定】；步驟五：點擊授權(quán)管理器右鍵，創(chuàng)建一個新的授權(quán)管理器（可以選擇活動目錄，也可以選擇XM

10、L文件；建議選擇活動目錄），在存儲名稱中在添加”CN=BOCO,”或者其他名稱；步驟六：在BOCO上選擇創(chuàng)建應(yīng)用程序，點擊BOCO右鍵；步驟七：輸入應(yīng)用程序名（系統(tǒng)默認(rèn)是NMS4，建議使用該名字）稱和其他信息，點擊【確定】完成添加應(yīng)用程序；步驟八：設(shè)置安全權(quán)限：設(shè)置權(quán)限，這一項很重要，如果不設(shè)置，系統(tǒng)將無法正常訪問！選中BOCO改授權(quán)管理器，右鍵選擇屬性；將Authenticated Users 用戶添加進來，這個用戶是系統(tǒng)用戶（它允許加入到域的計算機用戶訪問，實際上它相當(dāng)于域中的計算機）；附錄：FAQ問題一：初始化授權(quán)管理器STORE不成功n 授權(quán)路徑是否正確：CN=BOCO,CN=Prog

11、ram Data,DC=boco,DC=com；n 權(quán)限是否配對：將Authenticated Users 用戶添加到授權(quán)管理器BOCO的安全中。問題二：機器不夠用怎么辦建議在WebServer上安裝兩個虛擬機，一臺做域控制器，一臺運行集中鑒權(quán)的程序。windows2000可以用vmware，windows2003可以用virtual server 2003。 問題三：添加用戶時報：“添加用戶失?。阂话阈跃芙^訪問錯誤”n 需要將集中鑒權(quán)的機器加入域，并且以域用戶啟動，該機器；以域用戶訪問授權(quán)網(wǎng)頁。 n 配置文件中的ADUsername配置是否正確，是否將該用戶付給網(wǎng)管中心。問題四：對用戶分配角

12、色時報錯。對用戶分配角色時報：“角色分配失??！向角色添加成員bocoxpz出錯！有可能該成員已經(jīng)在該角色中了，或者是您沒有權(quán)限進行這樣的操作。此工作站和主域間的信任關(guān)系失敗?！眓 需要將集中鑒權(quán)的機器的指到域控制器；n 修改應(yīng)用服務(wù)器的名字重新加入域中；問題五：能夠創(chuàng)建用戶，但修改用戶出錯。能夠創(chuàng)建用戶，但設(shè)定和修改用戶可用性和密碼時報錯：“調(diào)用的目標(biāo)發(fā)生了異常。System.UnauthorizedAccessException: 拒絕訪問。”使Web.config中設(shè)定的ADUsername用戶擁有Domain Admins的權(quán)限。因為ADUsername用戶在程序中是用來創(chuàng)建用戶和設(shè)定用

13、戶密碼的，如果只有Domain Users的權(quán)限則只能創(chuàng)建同級的Domain Users，但不能設(shè)定該用戶的密碼。注意：由于ADUsername用戶的密碼不能更改，所以不要使用administrator用戶。 問題六：密碼復(fù)雜度問題。在修改密碼時報錯：“修改用戶失?。涸谠O(shè)置用戶的可用性或密碼時發(fā)生錯誤！調(diào)用的目標(biāo)發(fā)生了異常。System.Runtime.InteropServices.COMException (0x800708C5): 密碼不滿足密碼策略的要求。檢查最小密碼長度、密碼復(fù)雜性和密碼歷史的要求?！?需要修改域安全策略：window的默認(rèn)域密碼策略很難設(shè)定，可以通過如下方式修改：1

14、）打開“管理工具”->“域安全策略”2）選擇“window設(shè)置”->“安全設(shè)置”->“帳戶策略”->“密碼策略”3）將選項設(shè)定為：密碼必須符合復(fù)雜性要求：已禁用密碼長度最小值：0個字符密碼最長使用期限：0密碼最短使用期限：0強制密碼歷史：0個記住的密碼用可還原的加密來儲存密碼：已禁用運行g(shù)pupdate /force命令注意：n 密碼最長使用期限設(shè)定為0，即表示無期限，如果設(shè)定為“沒有定義”，系統(tǒng)會自動將密碼最短使用期限改為“沒有定義”；n 密碼最短使用期限如果設(shè)定為“沒有定義”，系統(tǒng)會默認(rèn)為，即密碼必須使用超過天才能更改n 強制密碼歷史如果設(shè)定為“沒有定義”，系統(tǒng)會默

15、認(rèn)為，即新密碼不能與以前用過的24個密碼中任何一個相同。問題七：如果想讓用戶可以通過自己的帳號加入到域，如何保證域控制器的安全性？如果想讓用戶可以通過自己的帳號加入到域，必須要使該用戶屬于Domain Admins組（這樣就保護了administrator用戶的密碼）。但集中鑒權(quán)程序默認(rèn)是將用戶加入Domain Users組，所以必須使將Domain Users加入到Domain Admins組才能讓用戶自己將機器加入到域中。域控制器的安全性就會受到威脅，可以通過如下兩個方法避免：1) 設(shè)定允許終端服務(wù)登錄的用戶名n 打開“管理工具”->“域控制器安全策略”n 選擇“window設(shè)置”-

16、>“安全設(shè)置”->“本地策略”->“用戶權(quán)限分配”將“通過終端服務(wù)允許登錄”設(shè)定為Administrator 2) 去掉windows默認(rèn)共享。問題八：域安全策略和域控制器安全策略有什么不同？顧名思義，域安全策略是針對整個域，而域控制器安全策略只是針對域控制器這臺機器的，對我們用戶起作用的是域安全策略。問題九：TAI_USERINFO表說明。為什么使用了2003集中鑒權(quán)方式后，還要在數(shù)據(jù)庫的tai_userinfo表中有一條相同用戶名的記錄？是程序設(shè)計的不徹底造成的。1) 即使設(shè)定的是通過2003集中鑒權(quán)方式，由于AD中沒有保存user_id，NMSecurity4.dll需

17、要在數(shù)據(jù)庫中讀取user_id供程序使用。2) 上層的ava程序（NMClient, SCClient）沒有使用NMSecurity4.dll組件，只能使用數(shù)據(jù)庫的方式來鑒權(quán)。問題十：如何在集中鑒權(quán)中創(chuàng)建用戶和設(shè)定密碼都失效時使用安全管理？1) 可以在域控制器中直接創(chuàng)建用戶和設(shè)定密碼2) 向nrmdb中插入記錄：insert into tai_userinfo (user_id, user_name, password)values(2011, 'bocosradmin', 'sradmin');3) 在集中鑒權(quán)中對該用戶授權(quán) 4) 在集中配置和性能報表的web

18、.config都需要這樣配置。 問題十一：為何在使用了2003鑒權(quán)后，應(yīng)用程序都不能顯示地區(qū)？需要在角色授權(quán)中對角色賦予地區(qū)級的控制：在樹圖類型中選擇“對象”，在左邊的樹圖上選擇“應(yīng)用&網(wǎng)元類型”，“應(yīng)用&地理類型”中選擇地區(qū)即可。問題十二：Oracle數(shù)據(jù)庫問題。Oracle 數(shù)據(jù)庫可能會出現(xiàn)“Could not create an environment:OCIEnvCreate return -1”和“”1) 找不到oci.dll是因為在安裝的Oracle客戶端的時候不正確，bin目錄下并沒有該文件，需要重新安裝客戶端，有時候從別的地方拷貝過來也可以。如果還不行，將net

19、work service帳號加到orc9i訪問權(quán)限，然后重新啟動。2) 不能創(chuàng)建環(huán)境變量返回-1是因為Oracle.1往后版本增加了安全性，集中鑒權(quán)程序是用Network Service訪問的，需要將該帳號賦予訪問Ora9i的權(quán)限。如果這樣還不行則建議安裝.1版本，這個版本是開發(fā)版本，沒有問題的；因為Oracle9.2版本也支持低版本的客戶端，所以完全沒有問題的。問題十三：鑒權(quán)時發(fā)生錯誤初始化授權(quán)管理器store時發(fā)生錯誤1) 授權(quán)路徑不正確2) 沒有將Authorization Users 賦予為BOCO訪問權(quán)限。問題十四：怎樣融合Portal系統(tǒng)大多數(shù)省份都沒有上該系統(tǒng)，如果上了該系統(tǒng)需要啟用配置項SystemTag，并且需要在host中添加.12 eomsws 項；這個項指向portal的Web service。問題十五：手動注銷日志組件若要部署前請手動注銷日志組建（authoriz