8身份认证解决方案目前在U8中用户的身份认证支持四种模式:用户+口令(静态密码),动态密码、CA认证和域身份认证,同一时间,一个用户只能使用一种认证方式,但是不同用户可以根据权限,重要程度交叉使用不同的认证方式。1.设置认证方式在系统管理模块中增加操作员的时候设置认证方式,默认支持用户+口令,用户可以更改以便于支持其余三种模式。图一2.合作伙伴支持的身份认证在U8系统中的使用2.1易安全动态密码1.在U8的应用服务器上,安装“易安全动态密码系统”,根据《U8_动态密码安装配置手册(深圳海月)》进行相关配置。2.在系统管理里设置认证方式为“动态密码”,如图一所示,默认支持的是静态口令。3.配置完成后,在客户端登录产品,密码输入框必须输入由设备动态产生的密码才可,如图二所示:图二备注:两个系统要求用户编码共用,即不论采用哪种认证方式,用户名必须是通过U8的系统管理产生的,易安全动态密码系统支持批量导入U8用户,权限控制必须在系统管理中完成,如果使用动态密码认证,在系统管理增加用户时,可以不考虑密码信息,同时关于密码的安全策略将不起作用。详细介绍见《U8动态密码解决方案(深圳海月)》2.2BJCA的证书使用BJCA支持两种PKI/CA建设模式:企业自建CA和托管CA。企业自建CA就是企业自己创建和维护根证书,自行颁发证书。用户身份只需要企业内部审查即可,用户唯一标识为自定义名称,比如test、demo等。托管CA是企业到BJCA申请证书,BJCA使用PublicTrustCA体系为其颁发证书,用户的身份要经过BJCA严格审查,默认唯一标识为身份证号码或企业组织机构代码。具体使用步骤:1.通过企业自建CA中心或者托管CA中心申请合法的数字证书。2.在U8的客户端安装BJCA的客户端证书管理工具,请参阅《U8_CA安装配置手册(BJCA)》进行相关配置。3.在U8的服务器端安装BJCA的服务器端证书管理工具。在安装BJCA服务器端组件时务必填写正确企业系统名称,名称必须是字母或数字,不能含中文。如图三所示:图三4.配置完成后,在客户端登录产品,密码输入框输入的是在U8系统设置的用户密码,点击确定后,验证U8密码正确后,再次弹出证书PIN码的输入框,如图四所示:图四输入PIN码,确定后,系统自动验证证书的合法性。备注:目前U8系统中的CA认证采用的是传统的用户名(密码)+证书的双重认证,使用CA密码认证同时也要保证系统管理里设置的U8密码也必须正确,安全策略中的密码策略只对U8密码起作用,修改密码也仅修改U8自身的密码。用户...
