TSM终端互访控制说明与配置

发布时间:  2012-07-19 浏览次数:  64 下载次数:  6
问题描述
终端互访控制手册描述比较抽象,很多客户包括400HRE都不是很清楚各概念具体意义、配置方式及结论模式。所以本文对终端互访控制各关键项进行解释,方便用服和客户对终端互访加深理解。
告警信息
处理过程
根因
终端互访控制配置与说明 
 
  • 终端互访控制 目的
 
终端互访控制可以达到不同的可信域间的访问控制隔离。
同一可信域间认证与未认证用户间的访问控制隔离。
 
  • 终端互访控制关键字说明
 
  1. 终端互访IP段:
终端互访IP段为需要进行终端互访控制的全部IP段,比如全公司各部门都需要进行终端互访控制,则此处需要填写所有的内网所有的网段。最多允许200个IP段。
 
如:昨天林老师所说汽研院几个部门需要启用终端互访控制,则把需要启用的部门所在全部网段加入终端互访IP段即可,在添加的时候不需要区分哪个部门的IP,只需要统一添加即可。因为此项仅为系统判断是否应启用终端互访控制,而与具体控制无关。
  
  1. 可信域:
可信域是为了标识一个单独的可信任区域,用于区分不同的可信任区域,与终端互访控制IP段没有直接的联系。
      
        如: 财务部门内部可以互访,其他部门不可访问。则新建一个可信域(财务部)将该可信域标识运用于财务部即可。
        如: 信息管理部也可访问财务部,则在信息管理部运用同一可信域标识即可。
 
  1. 例外设备资源:
例外设备资源,以便在可信域中的终端用户访问例外设备资源时,TSM代理不对例外设备资源作终端主机互访控制。即无论终端用户是否通过认证均有权限访问例外设备资源。最多允许100个例外设备资源,可以是单个IP也可以是地址段。
   
  1. 逃生通道:
当TSM 控制器SC失效时,逃生通道打开,终端主机间可以相互访问。即:终端主机检测到无法连接SC,agent放开终端互访控制,各终端主机不通过认证即可相互访问。
 
  • 终端互访效果
   
  1. 各实例模型
  1. 位于同一可信域终端主机A 和 B,例外设备资源C
    1. 未通过认证 B未通过认证    无法互访   可访问C
A 通过认证   B未通过认证   无法互访    可访问C
  1. 通过认证    B通过认证     可以互访    可访问C
  2. 未安装agent  B未安装agent 可以互访    可访问C
  3. 未安装agent  B 通过认证    无法互访    可访问C
  1. 位于不同可信域终端主机A和B,某一可信域中例外设备C
任何情况下A和B均不可互访,只有位于同一可信域的终端可访问C
建议与总结

END