资源描述
中国协同软件市场连续五年占有率第一 1 身份验证插件1.1 安装配置环境要求l 加密狗中包含USB登录狗验证插件使用许可l 客户端操作系统为Windows操作系统,推荐使用Windows XP。l 支持客户端浏览器版本IE6.0、IE7.0、IE8.0l 有USB服务器端登录狗(后面称为狗头)和客户端登录狗(后面称为狗身)1.2 安装配置步骤第一步:在服务器上制作USB客户端登录狗第二步:客户端设定IE的安全性属性第三步:客户端安装USB客户端登录狗插件程序1.3 服务器上制作USB客户端登录狗系统管理员登录到服务器,打开开始菜单致远协创A6/A3协同管理软件SeeyonOA维护工具,在弹出的维护工具登录页面输入系统管理员密码登录1.3.1 设定使用狗的区域以系统管理员的身份进入后,在安全管理菜单中,选择“Usb狗使用的IP区域”,然后插入狗头(专用USB狗存储有单位信息,避免不同单位可以相互制狗。也相当于一把钥匙)。当显示以下信息,表示已经验证通过,可以拔下狗头了。这时进入ip地址管理界面你可以添加,删除不使用usb狗的ip地址区域。区域可以是一个指定的ip地址,也可以是一个大的ip区域,为了简便设定,我们不考虑掩码。例如:192.168.0.1表示一个指定的ip地址可以不使用usb狗就能登录192.168.x.x表示,以192.168.开头的ip地址都不使用usb狗做登录验证。录入说明 第1,4个ip框的值在1254之间,第2,3个ip输入框在0254.输入“x”和“.”自动移动到下一个输入框。按回车直接提交。做完所有操作,点击“关闭”按钮,会通知服务器刷新配置。当屏幕显示服务器更新配置成功!表示服务器已经更新了配置.1.3.2 制作新狗1.3.2.1 制作新狗步骤第一步:打开SeeyonOA维护工具,从安全管理菜单进入到Usb狗管理第二步:点击usb狗管理,经过狗头的验证后,就显示出当前狗的列表管理界面第三步:点击下面的制作新狗按钮,就进入新狗设定界面。1) 狗号是自动生成唯一的2) 狗的类型分为3种【验证狗】这种狗没有与用户信息硬行绑定。即在需要时可以使用他人的验证狗登录!在设定的“Usb狗使用的ip区域”以外,输入正确的用户名和密码,并且插入验证型加密狗才能登录。在设定的“Usb狗使用的ip区域”以内,输入用户名和密码,就能登录。【用户绑定狗】将一个狗与一个用户进行绑定,在需要时不能使用验证狗,也不能使用他的的绑定狗登录!当服务器做狗时设置为必须用狗时,那么无论在设定的ip区域以内外,都必须插入绑定狗,再输入用户名和密码才能登录。当服务器做狗时没有设置为必须用狗时,那么设定的“Usb狗使用的ip区域”以内,可以不使用狗,直接输入正确的用户名和密码就能登录;而在设定的“Usb狗使用的ip区域”以外,就必须插入绑定狗,并且输入正确的用户名和密码才能登录。【无密码登录狗】3) 狗的状态狗分为4种状态未启用、使用中、暂停使用、停用【使用中】只有这个状态,才在系统登录时能够生效。【未启用】用于制作的来备用的狗【停用】用于设定丢失的狗。【暂停使用】临时状态,用于区别停用。4) 狗的绑定方式【必须使用狗】将用户与狗绑定,没使用狗就不能登录。【双重登录】在指定的ip范围内可以直接输入用户名和密码登录,在范围外需要使用指定的狗5) 绑定用户的选择点击用户信息旁边的按钮,就会出现按姓名排序的人员列表,可以通过输入用户名和部门来进行筛选人员。如果设定的是系统管理员,直接点下面的系统管理员,即可。对于要批量制狗,可以点击保持并新建按钮。用户绑定狗和无密码登录狗都必须设定绑定的用户和狗的绑定方式。如果没有设置,在保存时,会弹出提示信息:l 当设定完狗的信息后,点击保存,系统会提示你插入未初始化的狗“请插入未初始化的新狗!”l 如果插入的狗是已经初始化过的,系统会让你确认是否覆盖“此狗已经初始化过,是否重新初始化”l 在制作狗时,系统会判断这只狗是与狗头相匹配,如果不匹配,系统会提示“狗的公司id不一致”,不会执行制狗程序。l 当一切正确时,系统会提示“制作新狗成功!”并返回原来的操作页面1.3.2.2 修改狗的信息对于已经做好的狗,可以选中相应的狗,点击设定狗信息,修改狗的相关资料。注意,修改狗的信息,只是修改服务器的相关信息,并不会做狗,保证了狗是唯一的,在系统中是不能做出2个相同的狗来。1.3.2.3 显示狗的操作日志在列表中选定狗以后,点击显示狗的日志,可以看到狗从新建到现在所有的操作信息。1.3.3 查询Usb狗的狗号由于狗号比较长,我们专门提供了Usb狗号的查询功能。进入狗号显示界面,点击读取狗号系统会提示你插入需要读取的狗“请插入需要读取的狗!”系统读完以后会给出提示“读取狗信息完毕”,点击OK后狗号就会显示出来,如图所示1.4 客户端设定ie的安全性属性1) 将服务器的ip设定为安全站点打开IE的Internat选项,切换至安全页签,选中受信任站点。点击站点按钮,将服务器地址输入进去,点添加按钮并确定2) 设定Acitvex插件的权限回到刚才的安全页,点击自定义级别,将安全站点所涉及的Acitvex选项都启用,确认后,关闭ie重新启动。1.5 客户端安装USB客户端加密狗控件第一步:客户端插入狗身第二步:客户端点击产品登录页面的“辅助程序安装”,弹出如下图页面,选择【USB客户端加密狗控件】。1.6 身份验证狗插件功能身份验证狗的功能主要是采用硬件加密的方式来识别用户身份,避免不安全的登录!以下是与身份验证狗相关的可登录系统的情况做狗时是否选中必须用狗客户端IP地址是否位于“设定的Usb狗使用的IP区域内”是否需要插入狗身是否需要输入用户名和密码是否可使用他人的验证狗验证狗无此选项是是是是验证狗无此选项否否是不需要用户绑定狗否是是是否用户绑定狗否否否是不需要用户绑定狗是是是是否用户绑定狗是否是是否无密码狗否是是否否无密码狗否否否是不需要无密码狗是是是否否无密码狗是否是否否1.6.1 验证狗功能l 这种狗没有与用户信息硬行绑定。即在需要时可以使用他人的验证狗登录!l 在设定的“Usb狗使用的ip区域”以外,输入正确的用户名和密码,并且插入验证型加密狗才能登录。l 在设定的“Usb狗使用的ip区域”以内,输入用户名和密码,就能登录。1.6.2 用户绑定狗l 将一个狗与一个用户进行绑定,在需要时不能使用验证狗,也不能使用他的的绑定狗登录!l 当服务器做狗时设置为必须用狗时,那么无论在设定的ip区域以内外,都必须插入绑定狗,再输入用户名和密码才能登录。l 当服务器做狗时没有设置为必须用狗时,那么设定的“Usb狗使用的ip区域”以内,可以不使用狗,直接输入正确的用户名和密码就能登录;而在设定的“Usb狗使用的ip区域”以外,就必须插入绑定狗,并且输入正确的用户名和密码才能登录。1.6.3 无密码登录狗:与用户绑定狗一样,但是无需输入用户名和密码。2 安全传输插件安全插件是一个独立的安装包,在加密狗中包含对应的插件使用许可的条件下,需要单独安装配置后才可使用。配置好后的WEB系统就成为了安全的Web系统,所有的Web系统的应用被HTTPS协议有效地保护起来,从而解决了用户与Web系统之间的基于数字证书的身份认证和信息加密传输的问题。2.1 安装配置环境要求l 加密狗包含“HTTPS安全插件”使用许可l 独立的安全插件安装包ssl目录中包含Ca.crt等三个证书文件l 客户端操作系统为Windows操作系统,推荐使用Windows XP。l 支持客户端浏览器版本IE6.0、IE7.0、IE8.0l 协同软件的安全服务器建议分离部署。图-安装程序文件:2.2 安装配置步骤2.2.1 安装插件服务器端程序第一步:将商务提供的ca.crt文件,拷贝到安装程序下的ssl目录下(安装程序中预置的ca.crt文件是无效的,必须由致远公司商务提供,如未提供,请联系商务)第二步:运行setupSEC.exe文件安装安全插件,按照指导操作!第三步:运行instCA.cmd文件安装配置证书以及JRE,如果已安装则取消安装结束后,桌面上会生成运行程序图标,系统服务中会包含名称为“Apache2”的服务第四步:启动HTTPS代理,在Service中启动第五步:双击桌面上的 OA安全插件 图标启动访问日志模块,启动后如果有访问请求,显示为:第六步:配置协同软件系统2.2.2 配置Apache1) 检查安全服务器端口是否被占用,修改转发端口号打开配置文件c:apache2confworkers.properties修改worker.worker1.port=8951可能涉及的端口包括:TCP 80、TCP 443、TCP8951、TCP8899,如果有端口冲突,请卸载或调整相关应用程序。2) 协同软件服务器IP配置打开配置文件c:apache2confworkers.properties修改worker.worker1.host=协同软件服务器的IP地址,如果在同一台服务器上,可不做修改,就使用默认配置127.0.0.13) 更多配置打开配置文件c:apache2confwall.conf,根据注释内容在必要时做对应参数调整2.2.3 配置证书将ca.crt文件放到“安装目录tomcatwebappsyyoassl”下供客户端下载2.2.4 常见问题1) Apache服务不能正常启动可能原因:80,443端口被占用检查方法:在DOS窗口下,运行netstat a检查,看端口是否已经在使用2) 双击安全插件 图标,不能正常运行 可能原因1:JRE没有正常安装检查方法:在DOS窗口下,运行java检查,看能否运行3) 通过安全服务器不能访问到协同系统可能原因1:访问地址不正确,在客户端应该使用: https:/dns/yyoa/index.jsp,dns为安全服务器的dns或ip http:/dns/yyoa/index.jsp,dns为安全服务器的dns或ip可能原因2:检查配置文件c:apache2conf workers.properties worker.worker1.host=127.0.0.1 /host应该填写协同软件服务器的IP2.2.5 安装插件客户端程序第一步:客户端访问协同服务,通过登录首页的“辅助程序安装”下载和安装证书.如图:第二步:设置可信任站点,通过以下地址访问(注:如果本地网络没有配置dns,客户端需要在”C:WINNTsystem32driversetchosts”中配置服务器IP对应域名.)使用https:/IP/yyoa/index.jsp 访问.(注:通过https访问会比http访问慢些,主要原因是传输数据需要加密.)2.3 安全传输插件功能设定有访问限制的ip,在IE客户端访问协同软件,不做登录,多次刷新,系统将看到以下提示生成的日志路径规则:正常登陆日志路径C:OAlogs年月日登陆用户名未登陆访问日志路径C:OAlogs年月日limited图-访问日志文件用友股份有限公司河南分公司
展开阅读全文