CAMS設(shè)備管理功能技術(shù)白皮書

1、H3C CAMS設(shè)備用戶管理功能技術(shù)白皮書目 錄 HYPERLINK l _bookmark0 介紹4 HYPERLINK l _bookmark0 CAMS設(shè)備管理用戶功能介紹4 HYPERLINK l _bookmark1 典型組網(wǎng)及流程6 HYPERLINK l _bookmark2 功能特點(diǎn)7 HYPERLINK l _bookmark2 總結(jié)和展望7CAMS設(shè)備用戶管理功能技術(shù)白皮書關(guān)鍵詞：CAMS，設(shè)備用戶管理，設(shè)備管理用戶摘 要：隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，網(wǎng)絡(luò)環(huán)境也越來(lái)越復(fù)雜，而不同網(wǎng)絡(luò)設(shè)備管理用戶的身份權(quán)限信息管理則成為網(wǎng)絡(luò)管理中最重要的環(huán)節(jié)之一，CAMS設(shè)備用戶管理功能可以統(tǒng)一管理

2、網(wǎng)絡(luò)中設(shè)備管理用戶的身份、權(quán)限信息，實(shí)現(xiàn)設(shè)備管理用戶和被管理設(shè)備之間一對(duì)一和一對(duì)多的身份、權(quán)限信息設(shè)置?？s略語(yǔ)清單：縮略語(yǔ)英文全名中文解釋CAMSComprehensive Access Management Server綜合訪問(wèn)管理服務(wù)器介紹隨著網(wǎng)絡(luò)規(guī)模的增長(zhǎng)，網(wǎng)絡(luò)環(huán)境也越來(lái)越復(fù)雜，企業(yè)網(wǎng)絡(luò)的骨干架構(gòu)常常會(huì)由許多的服務(wù)器、網(wǎng)絡(luò)設(shè)備所連接，負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)或信息安全的管理者經(jīng)常需要登錄網(wǎng)絡(luò)里的各臺(tái)重要設(shè)備，進(jìn)行例行維護(hù)、故障修復(fù)或安裝最新修補(bǔ)程序等諸多操作。而登錄不同設(shè)備的用戶名和密碼管理則成為網(wǎng)絡(luò)管理中最重要的環(huán)節(jié)之一。目前常見的情形是管理員的用戶名和密碼分散存儲(chǔ)在各個(gè)需要進(jìn)行日常管理的網(wǎng)絡(luò)設(shè)

3、備中，同一用戶在多臺(tái)網(wǎng)絡(luò)設(shè)備中擁有多套身份和密碼，而同一網(wǎng)絡(luò)設(shè)備中又可能保存多套用戶身份、權(quán)限信息。在一個(gè)大型網(wǎng)絡(luò)中，需要管理員遠(yuǎn)程登錄進(jìn)行管理的網(wǎng)絡(luò)設(shè)備往往數(shù)量眾多。如果增加一個(gè)設(shè)備管理員，用戶可能需要在數(shù)十臺(tái)網(wǎng)絡(luò)設(shè)備上都做相應(yīng)的管理員信息配置，同時(shí)用戶的每一個(gè)密碼都可能受到不同規(guī)則的制約，支持不同安全級(jí)別的訪問(wèn)，而且還有不同的期限。顯而易見，這不僅導(dǎo)致網(wǎng)絡(luò)維護(hù)的不便，還容易引起密碼混亂，存在安全隱患。因而針對(duì)上述問(wèn)題，H3C CAMS綜合訪問(wèn)管理服務(wù)器提供設(shè)備用戶管理功能，統(tǒng)一管理網(wǎng)絡(luò)中多臺(tái)設(shè)備的管理用戶信息。CAMS設(shè)備管理用戶功能介紹H3C CAMS（Comprehensive Acc

4、ess Management Server）綜合訪問(wèn)管理服務(wù)器是一個(gè)集事前認(rèn)證、事中監(jiān)控、事后審計(jì)和業(yè)務(wù)管理為一體的多業(yè)務(wù)安全接入管理平臺(tái)。設(shè)備用戶管理功能可以對(duì)設(shè)備管理用戶（CAMS系統(tǒng)提供的對(duì)配合CAMS系統(tǒng)中的各種網(wǎng)絡(luò)設(shè)備完成設(shè)備管理工作的管理員用戶）進(jìn)行管理。這里所說(shuō)的設(shè)備管理用戶不同于CAMS系統(tǒng)維護(hù)的可進(jìn)行接入認(rèn)證的帳號(hào)和卡號(hào)用戶，不能用于提供寬帶網(wǎng)絡(luò)服務(wù)，不提供帳務(wù)管理功能。設(shè)備用戶管理功能可以對(duì)被管理的網(wǎng)絡(luò)設(shè)備設(shè)定可以訪問(wèn)設(shè)備的用戶主機(jī)IP地址范圍（可以隸屬于不同的多個(gè)網(wǎng)段），并對(duì)不同用戶設(shè)置不同的訪問(wèn)服務(wù)類型，訪問(wèn)權(quán)限（ EXEC 權(quán)限級(jí)別）等信息，支持的服務(wù)類型有： Tel

5、net 、遠(yuǎn)程登錄（RLogin）、TCP透?jìng)鳎═CP Clear）、SSH以及FTP。另外提供設(shè)備管理用戶的密碼批量修改功能，通過(guò)設(shè)備管理用戶開戶時(shí)登記的Email地址將隨機(jī)生成的密碼批量發(fā)送到用戶的郵箱（需要在郵件配置中開啟設(shè)備管理用戶發(fā)送密碼功能，并進(jìn)行密碼發(fā)送郵箱的相關(guān)配置），實(shí)現(xiàn)對(duì)多用戶密碼的統(tǒng)一管理。實(shí)現(xiàn)設(shè)備用戶管理功能，只需在CAMS配置管理平臺(tái)進(jìn)行簡(jiǎn)單配置即可，相關(guān)配置頁(yè)面如下：圖1CAMS設(shè)備用戶管理頁(yè)面圖2 CAMS設(shè)備用戶管理配置頁(yè)面圖3 CAMS設(shè)備管理用戶發(fā)送密碼配置典型組網(wǎng)及流程在網(wǎng)絡(luò)中需要部署CAMS服務(wù)器，并保證被管理的網(wǎng)絡(luò)設(shè)備與CAMS服務(wù)器路由可達(dá)。典型組網(wǎng)

6、圖如下：圖3 CAMS設(shè)備用戶管理功能組網(wǎng)圖下面以Telnet為例說(shuō)明設(shè)備用戶管理功能的工作流程：用戶Telnet遠(yuǎn)程登錄需要進(jìn)行管理的網(wǎng)絡(luò)設(shè)備。設(shè)備將用戶輸入的用戶名，密碼等身份認(rèn)證信息轉(zhuǎn)發(fā)到CAMS服務(wù)器。CAMS完成對(duì)用戶的身份認(rèn)證，并確認(rèn)以下信息：令用戶的IP地址是否在允許訪問(wèn)設(shè)備的IP地址段中。令通過(guò)身份認(rèn)證，進(jìn)入步驟4，否則進(jìn)入步驟6。通過(guò)身份認(rèn)證，CAMS下發(fā)用戶的服務(wù)類型為Telnet，及在設(shè)備用戶管理界面設(shè)定的EXEC權(quán)限級(jí)別。設(shè)備判斷用戶的登錄方式與下發(fā)的服務(wù)類型（Telnet）一致，則允許用戶正常登錄設(shè)備，并以CAMS下發(fā)的EXEC權(quán)限級(jí)別進(jìn)行相應(yīng)管理操作。身份認(rèn)證失敗或

7、用戶的登錄方式（如為FTP）與下發(fā)的服務(wù)類型（Telnet）不一致，用戶無(wú)法登錄設(shè)備。功能特點(diǎn)通過(guò)CAMS設(shè)備管理用戶功能可實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境中設(shè)備管理員身份、權(quán)限等信息的統(tǒng)一管理，提高網(wǎng)絡(luò)的可維護(hù)性和安全性，其特點(diǎn)如下：用戶信息統(tǒng)一管理：利用CAMS強(qiáng)大的身份認(rèn)證對(duì)設(shè)備管理用戶信息（用戶名，密碼，設(shè)備服務(wù)類型和訪問(wèn)權(quán)限等）進(jìn)行統(tǒng)一認(rèn)證管理，提高網(wǎng)絡(luò)的可維護(hù)性。用戶信息批量設(shè)置：可實(shí)現(xiàn)特定用戶訪問(wèn)多臺(tái)網(wǎng)絡(luò)設(shè)備（可以隸屬于多個(gè)不同網(wǎng)段）的用戶名，密碼，服務(wù)類型和訪問(wèn)權(quán)限的批量設(shè)置。多用戶密碼批量更新：通過(guò)批量發(fā)送郵件的方式實(shí)現(xiàn)對(duì)多用戶密碼的批量更新，方便對(duì)多用戶密碼統(tǒng)一管理?？偨Y(jié)和展望綜上所述，針對(duì)