允许/限制IP地址及外部身份验证
最后更新于:
概述
本页面概述了用于保障用户登录安全的高级身份验证和访问控制选项。您可通过Active Directory或RADIUS启用外部身份验证,并使用允许/限制IP地址控制入站流量。这些设置确保仅受信任的用户和设备能够访问产品。
外部身份验证
外部身份验证支持将Active Directory(AD)或RADIUS服务器与本产品集成。
Active Directory
启用Active Directory认证后,AD技术人员可使用其AD凭证登录产品。若禁用此功能,AD技术人员将无法访问产品。
默认情况下此设置处于启用状态。如需禁用,请点击"禁用Active Directory身份验证"按钮。
RADIUS服务器
远程认证拨入用户服务(RADIUS)是行业标准的客户端/服务器认证协议,通过保护网络免受未经授权访问来增强安全性。
第一阶段:将 RADIUS 与 Log360 集成
- 登录RADIUS服务器。
- 导航至clients.conf文件(/etc/raddb/clients.conf)。
- 在clients.conf文件中添加以下代码片段:
- client Log360ServerName
{
ipaddr = xxx.xx.x.xxx
secret = <secretCode>
nastype = other
} - 重启RADIUS服务器。
第二阶段:配置产品控制台支持RADIUS
- 在产品控制台中导航至 RADIUS 服务器身份验证设置。
- 此设置默认处于禁用状态。点击空白复选框启用该功能,以便访问相关配置。
图3:外部认证登录设置中的RADIUS认证 - 填写必填字段:
- RADIUS服务器IP:输入RADIUS服务器的IP地址。
- 认证端口:输入RADIUS认证使用的端口号。
- 协议:从下拉列表中选择RADIUS认证使用的协议。可用协议包括PAP、CHAP、MSCHAP和MSCHAP2。
- RADIUS服务器密钥:提供添加至RADIUS服务器clients.conf文件的安全密钥。
- 自动重试次数:定义初始尝试失败时系统将重试RADIUS认证的次数。
- 完成必要配置后,点击保存。
允许/限制IP地址
通过允许或限制特定IP地址或IP地址段的入站连接,可为系统增添额外安全层。此机制仅允许可信来源建立连接,同时阻断恶意流量,从而形成双重防护。
IP限制可应用于整个产品、产品内的特定URL或API。默认情况下,所有组件均处于受限状态。需手动启用才能允许特定组件的IP访问。
允许特定组件的IP访问:
- 在操作列中点击当前受限图标
,即可允许相应组件的IP地址。 - 执行此操作后,图标将变为
,该组件的配置框随即展开。
图5:登录设置中允许/限制IP地址 - 选择"允许IP"或"限制IP"选项。
- 允许IP选项可指定仅允许访问的IP地址范围。
- 限制IP选项允许您指定仅限访问的IP地址范围。
- 根据需求输入所需IP地址。
- 添加多个IP范围:若需同时允许或限制多个IP地址范围的访问,请点击[
]图标。 - 允许/限制单个IP:若需对单个IP地址进行访问控制,请点击"添加单个IP"。可通过逗号分隔添加多个独立IP地址。
- 添加多个IP范围:若需同时允许或限制多个IP地址范围的访问,请点击[
参考附录:
- 使用 * 作为通配符:单个IP地址可包含通配符,从而限制特定地址类别的所有地址。例如,拒绝访问192.168.2.*将限制该子网内所有地址的访问权限。
- 您也可使用主机名替代IP地址。
- 仅支持对IPv4地址进行允许或限制操作,不支持 IPv6 。
- Log360中无法限制远程集成子组件(RICC)服务器的IP地址
- 不支持对正向代理实施IP限制。
- 在Log360初始配置IP限制或反向代理后,需手动重启子产品。
- 当子产品远程安装且Log360中配置了反向代理时,需在子产品中手动将父产品服务器IP添加为内部代理,随后手动重启子产品。
若您已修改产品或其集成组件的第三方反向代理设置(且正为这些组件启用基于IP的限制),则需:
- 在server.xml文件( 默认路径: <InstallationDirectory>/conf/server.xml):<Valve internalProxies="192\.168\.0\.10|192\.168\.0\.11" trustedProxies="172\.168\.0\.10|176\.168\.0\.11" />
- 根据您的环境编辑internalProxies和trustedProxies的值。
- 在指定 internalProxies 和 trustedProxies 值时输入 IP 地址,并使用竖线 (|) 字符输入多个值。
- 重启服务以使更改生效。
- 集成组件也需重复上述步骤。
若需允许特定产品中的特定IP或URL访问:
勾选"为特定IP启用API/URL访问"复选框进入配置界面:
- 在指定框中输入API/产品URL。
示例URL路径:/Admin.do, /Configuration.do, /Dashboard.
do示例API路径:/RestAPI/WC/Integration, /RestAPI/WC/LogonSettings
注意- 使用*通配符可限制更广泛的 API 或 URL 访问范围。例如,使用/RestAPI/WC/.*可限制所有以/RestAPI/WC/开头的 API 调用。
- API/URL路径必须以/ 开头。例如:/Admin.do 和 /RestAPI/WC/。
- 仅输入API或URL的路径部分。例如,若完整产品URL为https:testserver:8095/Admin.do,则仅输入/Admin.do。
- 仅允许使用字母数字字符(A-Z、a-z、0-9)及以下特殊字符:句点(.)、正斜杠(/)和星号(*)。
- 根据需求输入IP地址。若需允许访问多个IP地址段,请点击[
]图标。 - 最后点击保存以存储设置。操作成功后将显示如下弹窗。
若对产品的第三方反向代理或其集成组件进行任何变更,请执行以下操作:
- 请在server.xml文件(默认路径: <InstallationDirectory>/conf/server.xml):<Valve internalProxies="192\.168\.0\.10|192\.168\.0\.11" trustedProxies="172\.168\.0\.10|176\.168\.0\.11" />
- 根据您的环境编辑internalProxies和trustedProxies的值。
- 在指定 internalProxies 和 trustedProxies 的值时,请输入 IP 地址,并使用竖线 (|) 字符输入多个值。
- 重启 Log360 以使更改生效。
- 集成组件也需重复上述步骤。
- 配置InternalProxies和TrustedProxies的目的是确定哪些IP地址被视为内部或受信任地址。通过配置这些设置,组织可通过控制网络内部IP地址的访问和使用来提升网络安全性。
- 内部代理(InternalProxies)指组织内部网络中受信任的IP地址,通常用于打印机、服务器等内部服务。
- TrustedProxies 是网络外部但仍保持高可信度和可靠性的 IP 地址。这些地址通常关联外部服务,如网站和数据库。
管理IP限制
您还可对该设置进行以下调整:
- 启用/禁用基于IP的限制:通过"操作"列下的图标可启用或禁用基于IP的限制。
图标表示组件已启用基于IP的限制,
图标表示该限制已禁用。 - 编辑基于IP的限制设置:点击
图标进行编辑。相同的配置框将滑入显示,您可在此添加、删除或编辑IP范围及单个IP地址。您还可执行此操作 - 摘要详情:点击"允许/限制IP"列下的链接,可查看被允许或限制访问组件的IP地址。
另请参阅
本文档阐述了通用登录设置与密码策略配置。您还可探索其他登录设置(如双因素认证、外部认证及IP允许/限制规则)以增强登录安全性。深入了解请参阅以下帮助文档: