初始配置
本章节所有配置,均由租户管理员完成。本章节中的“系统管理员”指的是云管理平台管理员。
租户管理员登录iMaster NCE-Campus
背景信息
租户管理员帐号,可以使用浏览器登录iMaster NCE-Campus,在图形化界面中执行系统管理和运维操作。支持的浏览器包括:
- Google Chrome 57及以上
操作步骤
- 打开浏览器。
- 在地址栏输入https://iMaster NCE-Campus服务器IP地址:端口号,按“Enter”键。
- iMaster NCE-Campus服务器IP地址为“北向管理IP”,在安装iMaster NCE-Campus时指定。
- 端口号为“18008”,登录时端口号必须跟安装时配置的端口号保持一致。
- 登录认证组件和登录iMaster NCE-Campus方法一致。
- 忽略安全证书问题,进入登录界面。
使用浏览器登录iMaster NCE-Campus时,浏览器会通过ER证书对iMaster NCE-Campus进行单向认证。安装iMaster NCE-Campus时已预置华为的ER证书,此证书仅用作临时通信,不作商用。申请的新ER证书更新预置的ER证书,以提高iMaster NCE-Campus的通信安全性。为了避免证书过期导致系统存在安全风险,建议定期更新。更新ER证书之后,则不会出现如下提示信息。
- Chrome:依次单击“高级 > 继续前往...(不安全)”
- Chrome:依次单击“高级 > 继续前往...(不安全)”
- 输入管理员名称和缺省密码,单击“登录”。
- (可选)首次登录时,按提示修改密码并绑定邮箱。非首次登录无此步骤。
- 为了安全起见,建议不要设置浏览器记住密码。
- 如果系统管理员已配置邮箱服务器,且MSP管理员创建租户管理员时未配置邮箱,则租户管理员首次登录时需要绑定邮箱。
- 如果系统管理员未配置邮箱服务器,租户管理员首次登录时无绑定邮箱操作。
租户管理员创建的子管理员帐号首次登录时,无绑定邮箱操作。
- (可选)进行双因素认证,如果已配置手机号码,单击获取验证码并填写,验证通过之后方可登录iMaster NCE-Campus。如果MSP创建租户管理员时选择的帐号/密码认证,则不会有此步骤。
- (可选)签署隐私声明。
MSP管理员创建根管理员时,如果选择了隐私声明,根租户管理员第一次登录iMaster NCE-Campus时,需要签署隐私声明。
如果根租户管理员已签署隐私声明,创建的子租户管理员第一次登录iMaster NCE-Campus时,也需要签署隐私声明。
如果不签署隐私声明,则无法登录。
- (可选)设置设备管理员密码和设备BootROM密码,只有首次登录时才会出现此步骤。
租户新建站点设备上线后,会自动将设备的admin管理员密码和BootROM密码设置为此密码,保证设备的安全性。
如果系统管理员关闭“支持配置设备BootROM密码”功能,租户则无法设置设备BootRom密码,关闭“支持配置设备BootROM密码”操作请参见配置设备BootROM密码策略。
配置帐号及密码策略
背景信息
系统管理员已经设置了帐号策略以及密码策略,租户管理员可以配置两种策略。
操作步骤
- 设置帐号策略。
通过帐号策略,可以合理设置帐号名的长度等与帐号登录相关的策略,提高iMaster NCE-Campus帐号的安全性。iMaster NCE-Campus默认已经设置了帐号策略,可以根据具体情况进行修改。
在主菜单中选择,单击“帐号策略”。
- 设置密码策略。
通过密码策略,可以合理设置iMaster NCE-Campus管理员密码的复杂度,更新周期和字符限制等策略,避免设置的管理员密码过于简单而容易被盗用。iMaster NCE-Campus默认已经设置了密码策略,可以根据具体情况进行修改。
在主菜单中选择,单击“密码策略”。
为提高安全性,建议启用iMaster NCE-Campus提供的所有密码安全策略。
如果需要PCI认证,帐号策略和密码策略请按照如下要求进行调整:
- 启用帐号停用策略,帐号连续未登录(天)设置为90天,如果帐号超过90天未登录,则停用此帐号。
- 帐号锁定策略,限定时间段长度(分钟)设置为30分钟,30分钟以内连续登录5次失败,则锁定此帐号,锁定时长设置为30分钟。
- 密码不能与历史密码重复次数(不能与最近几次历史密码重复)设置为4。
创建角色
当系统默认的用户角色不能满足管理的要求时,需要创建角色。
背景信息
将具备相同操作权限的用户以角色的方式进行管理,帐号只需加入角色便拥有该角色赋予的所有权限。
操作步骤
- 在主菜单中选择,选择“角色”页签。
- 单击“创建”,输入角色名称并选择角色的功能权限。
系统预置如下租户角色。预置角色不可删除或修改。
- Monitor:监控员角色,拥有租户业务和相关配置的查看权限。
Open Api Operator:开放接口操作员角色,拥有开放接口业务和相关配置的使用权限。
- Tenant Administrator:租户管理员角色,操作租户业务和相关配置。
- Operator:操作员角色,管理系统业务运行。
如果是V300R019C00之前版本注册的租户管理员,没有Operator角色。
- CLI Operator:如果为租户配置此角色,则租户具有通过命令行模板导入设备命令权限,详细操作请参见CLI下发配置。
只有WAN网络支持CLI下发配置,将隧道模式切换为EVPN模式,方可查看CLI Operator角色。
角色功能权限树中的各节点名称固定,但是节点顺序在不同的iMaster NCE-Campus版本中存在差异,手册截图仅供参考。
- 建议按照下表进行角色划分并设置对应的角色功能,也可根据需要自行划分角色。
角色类型
角色权限
管理
全局管理人员,拥有全部权限。
监控
全局监控人员,拥有全部监控类权限。
配置
网络配置人员,拥有网络配置、流量策略和安全策略相关配置权限。
维护
运维人员,拥有设备维护、文件及日志管理权限。
- “管理”角色:勾选全部功能。
- “监控”角色:勾选“监控”及下面的全部功能。
- “配置”角色:勾选“设计”、“配置”、“系统”、“准入”、“策略”、“业务一致性”节点下的所有功能。
- “维护”角色:勾选“维护”、“告警”及下面的全部功能。
- “管理”角色:勾选全部功能。
- 单击“确定”。
创建子租户
背景信息
MSP管理员创建的租户管理员具有租户的所有权限,我们称之为根租户。
为了保证系统的安全性,根租户可以创建多个子租户帐号,并通过角色为每个子租户帐号分配不同的权限,即分权。
管理员可以设置用户的最大并发数,取值为0~999,0表示不限制最大并发在线用户数。出于对系统性能的考虑,系统最大并发在线用户数限制为5000。
操作步骤
- 在主菜单中选择。
- 单击“创建”,在“创建用户”页面中填写参数。
为了保证安全,请勿将密码透漏给别人, 并且定期修改密码。
- 手动创建密码。
“密码创建模式”选择“手动创建”。创建帐号时直接配置密码,如果“首次登录修改密码”选择是,帐号首次登录iMaster NCE-Campus时,会提示用户先修改密码,密码修改成功后方可登录。
- 邮箱创建密码。
“密码创建模式”选择“邮箱创建”。完成帐号创建之后,系统会发送一个链接到用户邮箱,登录邮箱,点开链接配置帐号密码。
- 如果选择邮箱创建密码,请提前配置邮箱服务器,否则系统无法发送链接到邮箱,详细配置过程请参见配置邮件服务器。
- 通过邮箱创建密码之后,首次登录时iMaster NCE-Campus无需修改密码。
关键参数
参数说明
帐号
新建管理员的登录帐号。
用户类型
- 本地:本地用户只能从iMaster NCE-Campus界面登录。
- 三方系统接入:三方系统接入用户使用北向api接口“/controller/v2/tokens”登录。说明:
- 当用户类型为“三方系统接入”时,用户只能通过调用接口登录iMaster NCE-Campus。
- 当用户类型为“本地”时,用户只能通过登录页面登录iMaster NCE-Campus。
- 升级场景下,“本地”和“三方系统接入”两种类型的用户均修改为“全部”类型的用户。当用户类型为“全部”时,用户通过调用接口和登录页面均可登录iMaster NCE-Campus。
密码创建模式
密码创建模式可以选择手动创建和邮箱创建。
密码
新建管理员的初始登录密码。
说明:- 该参数仅在“用户类型”选择“本地”时显示。
- “密码创建模式”如果是“邮箱创建”,必须填写有效的邮箱地址,完成帐号创建之后,系统会发送一个链接到用户邮箱,登录邮箱,点开链接配置帐号密码。
- 通过邮箱创建密码,首次登录iMaster NCE-Campus时,用户无需修改密码。
确认密码
首次登录修改密码
首次使用该帐号登录时,是否强制修改密码。
手机
系统管理员邮箱,方便该系统管理员下的MSP能快速联系上本系统管理员。
邮箱
系统管理员电话,方便该系统管理员下的MSP能快速联系上本系统管理员。
角色
从下拉列表中选取角色。
- 手动创建密码。
- 进入选择“管理对象”页面,选择此管理员可以管理的站点,单击“下一步”。
如果选择部分站点进行分域管理,由于此帐号无管理所有资源的权限,使用此帐号登录iMaster NCE-Campus之后,则无法查看以下菜单:
。
- 。
- 。
- 。
- (可选)配置访问控制。
在“访问控制”界面中,单击“创建”,配置可登录的IP地址区间后,单击“下一步”。
- 单击“确定”,创建帐户成功。
后续处理
- 修改帐户信息、重置密码、停用/启用帐户。
- 在主菜单中选择。
- 在“操作”列单击
图标,修改帐号帐息;单击
图标重置密码,单击
图标停用帐户,如果账户已停用,单击
图标启用帐户。
- 删除帐户。
- 在主菜单中选择。
- 选中帐户,单击“删除”。
- 移交工作组管理员帐号权限。
如果工作组管理员更换,可以通过工作组上级管理员将其移交给其他管理员。工作组管理员帐号只能将权限移交给自己创建的管理员帐号,在执行移交之前,请确保工作组管理员已完成新帐号创建。
- 移交工作组管理员权限只能对当前用户所在工作组的一级子工作组用户进行操作,无法对二级及以上的工作组进行操作。
- 工作组管理员权限被移交之后,被移交的工作组管理员如果在线,则会被强制退出,且再无任何权限。
- 在主菜单中选择。单击“用户”页签。
- 单击“选择”按钮,选择管理组,单击“确定”。
选择新帐号,单击“移交”,将此管理组管理员帐号移交给新帐号,移交后新帐号即拥有此管理组的管理员权限。
新帐号必须为旧工作组管理员帐号创建的管理员帐号。
如果
图标移到新帐号后边,则说明移交成功。
- 设置用户组。
用户组用于对接第三方服务使用,例如对接AD FS、Net IQ、LADP服务器和AD服务器。
在主菜单中选择,单击“用户组”页签,单击“创建”,创建用户组。
单击“下一步”,如果关闭“选择所有资源”,选择管理组管理对象。
- 个人设置。
通过个人设置,可提高iMaster NCE-Campus的访问安全性。该功能只对当前用户生效。
- 设置同时在线数。
- 在主菜单中选择。
- 在“基本信息”页面中单击
图标,修改“最大同时在线数”,单击“应用”。缺省值0表示不限制。
- 修改密码。
- 在主菜单中选择。
- 在“基本信息”页面中单击密码后边的
图标,在弹出窗口中设置新密码。
- 调整允许使用当前帐号登录到iMaster NCE-Campus的IP地址区间。
- 在主菜单中选择。
- 在“访问控制”页面中设置IP地址区间(列表为空表示不限制),单击“确定”。
- 设置同时在线数。
- 设置闲置超时时间。
为了防止其他人员在管理员离开时进行非法操作,iMaster NCE-Campus提供管理员闲置超时设置功能。如果管理员在指定时间内不做任何操作,管理员将被自动注销。管理员自动注销后,管理员需重新登录iMaster NCE-Campus。
在主菜单中选择,单击“闲置超时设置”,设置闲置时间,单击“确定”。
- 查看在线用户管理。
在主菜单中选择,单击“在线用户”页签。
- 查看个人隐私声明
- 在主菜单中选择。
- 在“基本信息”页面中,查看用户是否签署隐私声明。
- 如果“隐私声明签署”为“未签署”,表示该用户还未签署隐私声明。
- 如果“隐私声明签署”为“已签署”,表示该用户已签署隐私声明。
- 撤销个人隐私声明如果用户想撤销隐私声明签署,可单击“隐私声明签署”后的“撤销”,在弹出的“警告”提示框中单击“确定”。
撤销隐私声明会注销当前用户的会话,并清除该用户绑定的手机和邮箱,手机和邮箱被清除后,可能会影响用户下次登录或找回密码等功能,请谨慎操作。
图标,修改帐号帐息;单击
图标重置密码,单击
图标停用帐户,如果账户已停用,单击
图标启用帐户。
图标移到新帐号后边,则说明移交成功。
图标,修改
图标,在弹出窗口中设置新密码。
License管理
License模式 |
License可再分配 |
适用场景 |
角色 |
操作指导 |
|---|---|---|---|---|
全局永久License |
不支持再分配 |
本地部署场景 |
系统管理员 |
导入iMaster NCE-Campus和iMaster NCE-CampusInsight的License文件 |
MSP管理员 |
查看License信息 |
|||
租户管理员 |
查看License信息 |
|||
全局订阅License |
不再分配 |
MSP自建云部署场景(MSP管理员不需要统筹管理License) |
系统管理员 |
|
MSP管理员 |
不涉及 |
|||
租户管理员 |
不涉及 |
|||
再分配 |
MSP自建云部署场景(MSP管理员需要统筹管理License) |
系统管理员 |
|
|
MSP管理员 |
分配License给租户管理员 |
|||
租户管理员 |
查看自己的License信息 |
|||
租户订阅License |
不再分配 |
华为公有云部署场景(MSP管理员不需要统筹管理租户License) |
系统管理员 |
创建MSP管理员时,不开启“License拆分”功能 |
MSP管理员 |
从ESDP平台申请激活码 |
|||
租户管理员 |
向MSP购买License激活码,并导入iMaster NCE-Campus和iMaster NCE-CampusInsight的激活码 |
|||
再分配 |
华为公有云部署场景(MSP管理员需要统筹管理租户License) |
系统管理员 |
创建MSP管理员时,开启“License拆分”功能。 |
|
MSP管理员 |
从ESDP平台申请激活码,并导入iMaster NCE-Campus和iMaster NCE-CampusInsight的激活码 |
|||
租户管理员 |
查看自己的License信息 |
查看License信息(全局订阅License+License再分配)
背景信息
对于全局订阅License,如果MSP已经为租户分配好License资源,租户无需进行激活License操作,但可以查看自己的License资源状态和License资源消耗信息。
操作步骤
- 在主菜单中选择 ,进入License管理页面。查看License资源状态和License资源消耗信息。
- 单击“过期提醒”,开启“接收到期提醒”功能,配置接收邮件的邮箱,License到期之前会发送到指定邮箱进行提醒。
- 系统管理员必须完成邮箱服务器的配置,方可配置过期提醒,否则过期提醒无法配置成功,详细配置成请参见“配置邮件服务器”。
- 最多可以配置5个邮箱,每个邮箱通过换行分隔。
- License资源项距离到期时间小于30天时,开始发送提醒邮件,每天凌晨2:25发送。
- 如果这里配置了过期提醒,License过期邮件只会发给这里配置的邮箱,不会再单独发邮件到租户管理员邮箱,所以建议将租户管理员的邮箱也在这里进行配置,避免租户管理员无法接收License过期邮件。
查看License信息(租户订阅License+License再分配)
背景信息
对于租户订阅License,如果MSP已经为租户分配好License资源,租户不能自行激活License,只可以查看自己的License资源状态和License资源消耗信息。
前置任务
MSP管理已为租户完成了License分配,详细操作过程请参见“License激活和授权(租户订阅License+License可再分配)”。
操作步骤
- 在主菜单中选择,查看License资源状态和License资源消耗信息。
License激活及授权(租户订阅License+License不再分配)
背景信息
如果系统管理员创建MSP管理员时,未开启“拆分License”功能,租户需要向MSP购买License激活码,由租户自行导入激活码激活License。
- 系统管理员第一次登录iMaster NCE-Campus,License模式设置为“租户订阅”。
- 此任务仅适用于华为公有云部署场景。
- 租户从MSP购买License激活码。
- 编码方式:8806
- 按时间消耗License:到期后,iMaster NCE-Campus停止服务
- 主要表现为:X台*X天
- 举例:订阅的概念类似于包月。客户购买S5700-LI系列8端口的License 10台天,那么1台该型号设备可以使用10天,或者2台该型号设备可以使用5天,以此类推,总的台天数为10。
- 扣减时间:每天凌晨2:00进行扣减和结算。
前提条件
- 已经注册租户帐号
- 登录iMaster NCE-Campus
- 租户向MSP购买设备License激活码。
- 如果需要通过iMaster NCE-Campus导入iMaster NCE-CampusInsight的License的激活码。iMaster NCE-Campus和iMaster NCE-CampusInsight对接时,需要先同步License,详细操作过程请参见对接iMaster NCE-CampusInsight。
操作步骤
- 在主菜单中选择。
- 导入激活码或者授权ID,激活License。激活码或授权ID导入一个即可。
设备第一次注册之后,开始消耗License,设备处于在线状态、离线状态和告警状态,都会消耗License,每天凌晨2点开始扣减,每台设备每天消耗1个单位License。
租户订阅License+License不再分配场景,系统默认带90天的common series资源。
- 单击“导入激活码。”
- 如果有多个激活码,请用“回车键”分开每个激活码。
- 激活码不能超过10条。
- iMaster NCE-Campus和iMaster NCE-CampusInsight对接之后,可以通过iMaster NCE-Campus导入iMaster NCE-CampusInsight的License激活码。
- 单击“导入授权ID”。
- 如果有多个授权ID,请用“回车键”分开每个激活码。
- 授权ID不能超过10条。
- 单击“导入激活码。”
- 查看License状态。
- (可选)单击“统一过期时间”,配置License资源统一过期时间。
common series资源不参与“统一过期时间”计算。
同一租户下,相同类型设备的License在每天结算时,会自动计算“统一过期时间”。
同一租户下,不同类型设备的设备License不会自动计算“统一过期时间”,如果需要统一过期时间,请执行本操作。
点击“统一过期时间”,可以将不同到期时间的资源项统一成同样的到期时间,方便管理。该操作不可逆。
该功能可以用来做资源做整合。举例:有license资源项3种:AR100系列10台天,单价5元/台天,AR1200系列20台天,单价10元/台天,Indoor AP系列20台天,单价20元/台天。iMaster NCE-Campus中存在AR100系列设备5台,AR1200系列设备10台,其他设备没有。可以通过统一到期时间按钮,把资源进行整合:10*5 + 20*10 + 20*20 = 650元,所有设备使用一天的消耗为:5*5 + 10*10 = 125元,650/125 = 5天 剩余25元,那么两种系列的license资源到期时间均统一到5天后。剩余的25元,待下次计算时,加到整合的新资源中。
这个功能可以使资源分配更灵活,将欠费的资源通过资源整合变成正常使用状态。
- 单击“过期提醒”,开启“接收到期提醒”功能,配置接收邮件的邮箱,License到期之前会发送到指定邮箱进行提醒。
- 系统管理员必须完成邮箱服务器的配置,方可配置过期提醒,否则过期提醒无法配置成功,详细配置成请参见“配置邮件服务器”。
- 最多可以配置5个邮箱,每个邮箱通过换行分隔。
- License资源项距离到期时间小于30天时,开始发送提醒邮件,每天凌晨2:25发送。
- 如果这里配置了过期提醒,License过期邮件只会发给这里配置的邮箱,不会再单独发邮件到租户管理员邮箱,所以建议将租户管理员的邮箱也在这里进行配置,避免租户管理员无法接收License过期邮件。
- 查看License资源每日消耗情况。
- 查看License激活码/授权ID导入记录,单击
图标,查看License激活码/授权ID的详细信息。
Licene加载成功之后,可以查看软件ID,用于进行SnS计费鉴权。
图标,查看License激活码/授权ID的详细信息。
配置隧道模式
配置租户网络构建使用的隧道模式。隧道模式为EVPN时,所有功能都可用;当隧道模式设置为IPSecVPN时,全局配置、零开局配置、Overlay网络、策略等功能不可用,不支持的功能在菜单选项中会自动屏蔽,实际以可操作的菜单为准。
站点间VPN功能仅在隧道模式设置为IPSecVPN时才可用。
操作步骤
- 选择。
- 选择隧道模式,“EVPN”或者“IPSecVPN”。
- 单击“应用”,完成配置。
补充任务集
配置短信服务器
背景信息
如果需要使用短信认证业务,则需要配置短信服务。iMaster NCE-Campus在如下场景下,有发送短信的诉求:
- 系统管理员、MSP管理员和租户管理员登录iMaster NCE-Campus时,进行双因子认证。
- 终端用户使用手机号进行认证接入网络时,通过短信认证码进行登录。
- 访客使用手机号接入,可以通过短信发通知管理员由访客接入网络,访客认证通过之后,可以通过短信通知访客认证结果。
- 短信平台:由第三方提供的短信服务平台信息,具体格式和内容以第三方短信服务器的接口文档为准。
缺省情况下,系统已预置如下短信服务器对接参数。
- 企信通(fungo):http://qxt.fungo.cn/Recv_center,北京移动时空短信平台。
- twilio:https://api.twilio.com:8443/2010-04-01/Accounts/{USERNAME}/Messages.json,如需使用,请到www.twilio.com申请短信服务。
- 短信服务器:配置iMaster NCE-Campus和第三方短信平台进行对接参数,iMaster NCE-Campus和短信平台对接成功之后,可以实现发送短信功能。
如果系统管理员已配置短信服务器,并且开启了“租户集成”,则租户管理员可以直接使用系统管理员配置的短信服务器,否则户无法使用系统管理员配置的短信服务器,此时需要租户管理员自己配置短信服务器,系统管理员配置短信服务器的操作请参见配置短信服务器。
如果用户不想使用系统管理员创建的短信服务器,也可以自己配置短信服务器。
前置任务
如果租户管理员自己创建短信服务器,需要联系系统管理员配置短信平台信息,只有系统管理员可以配置短信平台信息。
操作步骤
- 导入短信服务器证书。
- 联系短信服务器提供商获取证书文件。
- 使用系统管理员帐号登录iMaster NCE-Campus,选择。
- 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“CampusBaseServiceServerConfigMoudle”。
- 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书文件上传,单击“提交”,将短信服务器证书上传到iMaster NCE-Campus。
- 在主菜单中选择 ,单击“短信服务器”页签。
- 选择短信平台,填写相关信息。
HTTP为不安全协议,建议使用HTTPS协议。
- 短信服务类型选择“HTTP SMS Service”,短信平台选择fungo。
- 短信服务类型选择“HTTP SMS Service”,短信平台选择twilio。
- 短信服务类型选择“SMPP SMS Service”,选择创建的短信平台。
- 短信服务类型选择“HTTP SMS Service”,短信平台选择fungo。
- 单击“测试”,以验证短信发送功能的有效性。
- 测试成功,则弹出“测试成功”对话框,同时手机收到测试短信。
- 测试失败,则弹出“测试失败”对话框。
- 如果返回对话框中有错误码,请查看短信服务商产品文档,判断错误原因,并获取解决方案。
- 如果返回对话框中无错误码,请检查短信模板中的URL是否正确,确认短信服务器是否可达。
- 测试成功后,单击“保存”。
参数说明
参数名称 |
说明 |
|---|---|
短信平台 |
选择短信模板,系统管理员配置短信服务器模板,以此指定短信网关。 缺省情况下,系统已预置如下短信服务器对接参数。
如果使用其他运营商提供的短信服务,可以新建短信模板。 |
帐号 |
申请短信业务时所获取的帐号。 |
Token |
申请短信业务时所获取的密码。 说明:
为确保系统和用户安全,建议第三方提供的密码也需要满足复杂度要求。 |
短信签名 |
发送短信时的签名。 |
发送号码 |
twilio模板支持此选项。从短信服务商获取的号码,用于校验短信发送号码是否正确。 |
租户继承 |
开启“租户继承”,如果MSP和租户未配置短信服务器,则使用系统管理员配置的短信服务器,如果关闭“租户继承”,MSP和租户则无法使用系统管理员配置的短信服务器。 |
测试号码 |
发送测试短信的号码,可以选择填写任意可使用的手机号码。 |
测试短信内容 |
进行短信测试时所发送的内容。 |
参数名称 |
说明 |
|---|---|
短信平台 |
选择短信模板,系统管理员配置短信服务器模板,以此指定短信网关。 |
服务器标识 |
申请短信业务时所获取的服务器标识。 |
密码 |
申请短信业务时所获取的密码。 |
源号码 |
从短信服务商获取的号码,用于校验短信发送号码是否正确。 |
租户继承 |
开启“租户继承”,如果MSP和租户未配置短信服务器,则使用系统管理员配置的短信服务器,如果关闭“租户继承”,MSP和租户则无法使用系统管理员配置的短信服务器。 |
测试号码 |
发送测试短信的号码,可以选择填写任意可使用的手机号码。 |
测试短信内容 |
进行短信测试时所发送的内容。 |
配置Syslog服务器
导入Syslog服务器信任证书
背景信息
该证书用于iMaster NCE-Campus作为客户端与远端Syslog服务器之间进行安全通信时,Syslog服务器提供的身份认证。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,选择“NorthboundCommunicationService-Syslog”。
- 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书,单击“提交”,将Syslog服务器证书上传到iMaster NCE-Campus。
为了提高系统安全性和防止证书过期,建议用户定期(例如:3个月)更新证书。
配置Syslog
背景信息
用户需要使用Syslog服务器(网管系统的Syslog服务模块)接收并管理日志和告警,需要提前在Syslog服务器和iMaster NCE-Campus侧进行相关配置。
iMaster NCE-Campus自身可提供日志和告警的显示查询导出功能,同时也支持以Syslog报文的方式将日志和告警信息上报Syslog服务器或网管的Syslog服务模块。由Syslog服务器来统一管理日志和告警信息。iMaster NCE-Campus上报日志和告警到Syslog服务器的方式有两种:UDP上报方式(不安全)和TLS上报方式(安全),用户根据实际需要选择。
上报的日志类型包括运行日志、操作日志、安全日志,上报的告警包括集群告警、设备失联告警等。用户可以定制选择通过Syslog上报的告警信息。
前提条件
- 已导入Syslog服务器信任证书。
- (可选)如果Syslog服务器要求认证客户端身份,还需将iMaster NCE-Campus任意节点的如下证书文件导入Syslog服务器的信任域。
名称
路径
client.keystore
/etc/puppet/modules/opendaylight/files/ssl/syslog/client
clientTrust.keystore
操作步骤
- 在主菜单中选择,单击“Syslog配置”页签。
- 在“Syslog配置”页面单击“创建”,按照规划填写对接参数。
- 单击页面底部“测试”。
只有启用TLS需要测试,否则无“测试”按钮,请直接单击“应用”。
- 如果界面提示“测试成功”,表示syslog配置成功,单击“确认”。
- 如果界面提示“测试失败”,表示参数配置有误或证书有误,请分别检查北向应用和iMaster NCE-Campus侧配置的参数值以及导入的证书,修改后再次测试。
参数说明
参数名称 |
参数说明 |
|---|---|
IP地址 |
Syslog服务器的IP地址,在Syslog服务器的主服务器上查看。 |
端口 |
主服务器的Syslog.conf配置文件中查看字段Source内,udp(ip()port()),或者tcp(ip()port()),port内的数字就是用来接收日志的端口号。 |
启用上报 |
启用Syslog服务配置,方可配置日志服务器的IP地址/域名和端口。 |
启用TLS |
若Syslog服务器侧配置TLS上报方式,则开启TLS加密功能,若Syslog服务器侧配置UDP上报方式,则不启用TLS加密功能。 启用TLS前,请确保日志收集服务器支持TLS。 |
Syslog协议 |
选择上报Syslog的协议,可选RFC5424和RFC3164 |
上报日志类型 |
选择需要上报的日志类型。 |
上报日志内容
日志类型 |
参数 |
说明 |
|---|---|---|
安全日志 |
operatorTime |
上报日志的时间 |
account |
上报日志的帐号 |
|
clientIP |
上报日志的源IP地址 |
|
tenant |
产生日志的租户名称 |
|
tenantID |
产生日志的租户ID |
|
operation |
产生日志信息的操作 |
|
operatorObj |
操作对象 |
|
operatorResult |
操作结果 |
|
level |
日志级别 |
|
detail |
日志详情 |
|
type |
日志类型。 |
|
操作日志 |
operatorTime |
上报日志的时间 |
account |
上报日志的帐号 |
|
clientIP |
上报日志的源IP地址 |
|
tenant |
产生日志的租户名称 |
|
tenantID |
产生日志的租户ID |
|
operation |
产生日志信息的操作 |
|
operatorObj |
操作对象 |
|
operatorResult |
操作结果 |
|
level |
日志级别 |
|
detail |
日志详情 |
|
type |
日志类型 |
|
设备上下线日志 |
tenantId |
产生日志的租户ID |
deviceOnlineTime |
设备上线时间 |
|
mac |
上报日志的设备MAC地址 |
|
result |
操作结果 |
|
deviceGroupName |
设备所在站点名称 |
|
esn |
设备ESN |
|
deviceName |
设备名称 |
|
deviceIp |
设备日志 |
|
failureReason |
设备上线失败原因 |
|
deviceGroupId |
设备所在站点ID |
|
Portal上下线日志 |
tenantId |
租户ID |
authLogType |
日志类型 |
|
deviceGroupId |
设备所在站点ID |
|
authResult |
终端认证结果 |
|
authTime |
终端认证时间 |
|
onlineTime |
终端上线时间 |
|
account |
用户帐号名称 |
|
userGroup |
用户组名称 |
|
accountType |
用户类型
|
|
terminalIP |
认证终端IP |
|
terminalMac |
认证终端MAC |
|
authType |
认证类型
|
|
deviceIP |
设备IP |
|
deviceMac |
认证点设备MAC |
|
deviceGroup |
认证点设备所在站点名称 |
|
authServerIP |
认证服务器IP |
|
accessSSID |
终端接入SSID |
|
offlineTime |
终端离线时间 |
|
offlineReason |
认证失败原因 |
|
authRule |
认证规则 |
|
accessPolicy |
授权规则 |
|
terminalGroupId |
终端组ID |
|
deviceFicationName |
终端设备类型名称 |
|
deviceVendorName |
终端设备厂商名称 |
|
deviceModelName |
终端设备型号 |
|
osFicationName |
终端设备操作系统名称 |
|
osVendorName |
终端设备操作系统厂商名称 |
|
osModelName |
终端设备操作系统型号 |
|
userGroupId |
用户组ID |
|
bsId |
用户组BSID |
|
RADIUS上下线日志 |
tenantId |
租户ID |
authLogType |
日志类型 |
|
deviceGroupId |
设备所在站点ID |
|
authResult |
终端认证结果 |
|
authTime |
终端认证时间 |
|
onlineTime |
终端上线时间 |
|
account |
用户帐号名称 |
|
userGroup |
用户组名称 |
|
accountType |
用户类型
|
|
terminalIP |
认证终端IP |
|
terminalMac |
认证终端MAC |
|
authType |
认证类型
|
|
deviceIP |
设备IP |
|
deviceMac |
认证点设备MAC |
|
deviceGroup |
认证点设备所在站点名称 |
|
authServerIP |
认证服务器IP |
|
accessSSID |
终端接入SSID |
|
offlineTime |
终端离线时间 |
|
offlineReason |
认证失败原因 |
|
authRule |
认证规则 |
|
authorRule |
授权规则 |
|
terminalGroupId |
终端组ID |
|
deviceFicationName |
终端设备类型名称 |
|
deviceVendorName |
终端设备厂商名称 |
|
deviceModelName |
终端设备型号 |
|
osFicationName |
终端设备操作系统名称 |
|
osVendorName |
终端设备操作系统厂商名称 |
|
osModelName |
终端设备操作系统型号 |
|
userGroupId |
用户组ID |
|
bsId |
用户组BSID |
|
HWTACACS日志 |
tenantId |
租户ID |
userName |
认证用户名 |
|
userGroup |
认证用户组 |
|
authenRule |
认证规则 |
|
authorRule |
授权规则 |
|
terminalIP |
认证终端IP |
|
clientIp |
认证客户端IP |
|
serverIp |
认证服务端IP |
|
userEevent |
认证时间(上/下线) |
|
authenResult |
认证结果(成功/失败) |
|
errorCode |
认证失败原因 |
|
authorResult |
授权结果(允许/禁止) |
|
cmdSet |
授权命令集 |
|
cmdType |
命令类型(授权命令/计费命令) |
|
cmdToAuthor |
授权命令名 |
|
cmdParamToAuthor |
授权命令参数 |
|
accountCmd |
计费命令 |
|
userType |
用户类型(LOCAL/AD-LDAP) |
|
authenType |
认证类型(ASCII/PAP) |
|
origAuthenAttr |
认证报文 |
|
origAuthorAttr |
授权报文 |
|
origAccountAttr |
计费报文 |
|
shellAuthorAttr |
Shell授权参数 |
|
userGroupId |
用户组ID |
|
bsId |
用户组BSID |
启用DNS对接
背景信息
介绍iMaster NCE-Campus和SafeDNS合作,对终端用户访问的域名实现URL过滤的能力。
前置任务
对接DNS前,需要在SafeDNS网站(https://www.safedns.com)完成对接的各项参数,步骤如下:
- 注册帐号。
- 添加子帐号,每个租户对应一个子帐号,实现SafeDNS的多租户能力。
- 设置URL的过滤规则。
注意需要获取以下几个信息:
- DNS IP-Address:SafeDNS系统能获取,目前是195.46.39.39和195.46.39.40。
- API Path:SafeDNS对接用的API地址,https://www.safedns.com/provider_api。
- User Name:对接SafeDNS的子帐号,用户自行设置。
- Public Key:API鉴权用的公钥,一个SafeDNS帐号对应一个,由SafeDNS的管理员提供。
操作步骤
- 在主菜单中选择,单击“DNS对接参数”页签。
- 根据实际对接情况,填写各项参数,单击“保存”。
设置用户双因素认证手机号和短信认证功能
双因素身份认证是一个安全性检验的过程,用户在登录帐户之前必须提供双重身份证明。既能提高安全性,又能阻止在线攻击,因为即便密码被盗或泄露,2FA仍能够确保攻击者无法访问帐户。此外,登录通知也可以警告用户,有人试图对其帐户进行未经授权的访问。iMaster NCE-Campus支持的双因素身份认证是在使用用户名密码认证登录的基础上加上短信认证。
背景信息
- 设置手机号码:用户在登录iMaster NCE-Campus后,可以绑定手机号码。用户输入手机号码后,iMaster NCE-Campus会先检验手机号码格式是否符合要求(1到20位,全数字),再检查该手机号码是否允许帐号绑定,只有未绑定的手机号码才允许帐号绑定。如果该手机号码满足如上两个要求,则用户可申请验证码。手机号码设置后支持修改。
- 开启登录时短信验证:用户在设置手机号码后,可以选择开启登录时短信验证,可完成登录时双因素身份认证。开启登录时短信验证的前提是已经设置手机号码。
用户单击获取短信验证码后,可能由于网络信号或手机原因,短信未接收到,用户可在一分钟后重新获取验证码。一个验证码的有效时间为五分钟。如果用户在验证码失效前申请下一个验证码,连续申请超过5个且均未验证成功,该功能将锁定十分钟。
前提条件
系统管理员已正确配置短信服务器,详细配置过程参见配置短信服务器。
操作步骤
- 在主菜单中选择。
- 单击“手机”后边的
图标。在弹出窗口中,按界面提示完成手机验证,将当前帐号绑定到该手机号码。
- 单击“登录时短信验证”的“修改”按钮。在弹出窗口中开启“登录时短信验证”功能,并完成短信验证码验证。
图标。在弹出窗口中,按界面提示完成手机验证,将当前帐号绑定到该手机号码。
