APM实现本地认证.ppt

* APM实现本地认证 配置前的准备工作 Provisioning 激活WA 与APM，WOM 建议配置NTP/DNS server AAA服务器 APM本身不支持本地用户数据库，因此，用户认证必须依赖外部的AAA服务器。 注：该文就是要教大家如何快速启用APM而不使用外部认证服务器。 注：该方法不建议在大规模的用户访问需求下使用，否则会对用户名密码管理非常不便。 创建APM本地认证库 APM本地认证库将借用Local Traffic??????iRules?:?Data Group List 其中String为用户名，Value的值为密码。 密码使用md5加密，因此，定义密码需要请访问如下站点：/md5-generator.php创建密码 该data group将在irules使用。 创建irules，实现本地认证 iRules请见该页的注释页 创建用于本地认证的VS 该Standard mode VS请使用路由不可达的IP地址 将在APM的VPE中调用 [root@apm01:Active] ssl.key # b virtual HTTPLocalAuth listvirtual HTTPLocalAuth {? ?snat automap? ?destination :http -该地址将作为APM中的AAA服务器地址? ?ip protocol tcp? ?rules HTTPLocalAuth -该irules就是上面所用于认证的irules.? ?profiles {? ?? ?http {}? ?? ?tcp {}? ?}} 使用Wizard配置APM 使用该方式实现初级配置 Network Access Setup Wizard for Remote access 建立一个完整的Network access VPN通道访问后台应用 Step 1-定义policy name Policy name定义之后，所有与之相关的配置都将已该name做为前缀。 Step 2:选择认证类型-HTTP Step 3:选择认证类型-HTTP相关配置 该地址就是之前建立的用于本地认证的VS地址 Step 4:定义lease pool Lease pool就是定义分配给远程用户的IP地址。请根据实际情况进行修改。 Step 5: Network Access 定义通过IE连接后的情况。是否启用压缩，定义哪些流量不经过APM等。 使用client端软件的连接情况，在connectivity profile中定义 Step 6: DNS Hosts Step 7: Virtual server 定义VPN 连接的IP地址。同时定义了一个http的VS，并启用了重定向功能。 Step 8/9: review and finished wizard Wizard总结 基于以上的配置，一个简单的SSL VPN环境就搭建好了。 所调用的访问策略可以在Access Profile中找到建立的access policy，点击查看VPE的细节： 总结 通过该配置，F5放置在LTM中默认的APM 10个免费用户就可以让用户随意使用了。 比如： 通过该功能，实现管理员远程管理后台服务器，便于运维。 History: 1. 3.23创建文档 * * rule test_irule { when RULE_INIT { #Set this to 1 for logging and 0 for no logging set static::debug 1 } when HTTP_REQUEST { #Grab username and password from authorization header and compare if { [HTTP::username] eq or [HTTP::password] eq } { if { $static::debug == 1 } { log local0. No username and password in Authorization header or Auth header missing. } HTTP::respond \ 401 content htmltitleAuthorization Failure/titlebodyError:Authentication Failure /body/html \ WWW-Authenticate Basic realm=\local.loc\ } els