《Array spx-AAA配置手册.doc》由会员分享,可在线阅读,更多相关《Array spx-AAA配置手册.doc(22页珍藏版)》请在三一文库上搜索。
1、 AAA配置手册AAA配置手册1 证书认证配置1.1 客户端证书校验(双因素) 客户端证书校验指的是在用户等登陆SPX时,SPX检查客户端是否安装了数字证书,只有安装了正确的数字证书才允许登陆,同时检查用户的用户名和口令。只有两个条件都满足才能正常登陆,所以称为双因素认证。1.1.1 为SPX申请服务器证书采用证书认证时,首先要为SPX申请一个服务器证书,该证书需要向证书颁发机构申请。首先,向证书颁发机构(CA)提交证书申请。将SPX站点的CSR/Key复制下来,如图所示:其次,打开证书申请页面,依次选择“申请一个证书”“高级证书申请”“使用base64编码的CMC或PKCS #10文件提交一
2、个证书申请,或使用base64编码的PKCS #7文件续订证书申请”。将SPX的CSR/Key粘贴到文本框中,然后提交申请。如图所示:待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”“保存的证书申请”,按照“Base64编码”格式下载证书。如图所示:1.1.2 为SPX导入证书 将下载的证书用“记事本”程序打开,如图所示:将文本中的内容全部复制出来,包括开始标记和结束标记。然后将这段内容导入到SPX的证书中,同时将这个新导入的证书设置为默认证书。如图所示:以上是WebUI方式导入,下面是命令行导入ENSS-CLI(config)$ssl import cert
3、ificate Enter certificate, use . on a single line, without quotes to terminate import-BEGIN CERTIFICATE-MIIDxTCCAq2gAwIBAgIKYU1rpAAAAAAABTANBgkqhkiG9w0BAQUFADASMRAwDgYDVQQDEwdFTlNTIENBMB4XDTA3MDcyNDEwMzcwOVoXDTA4MDcyNDEwNDcwOVowgZcxCzAJBgNVBAYTAmNuMRAwDgYDVQQIEwdiZWlqaW5nMQswCQYDVQQHEwJiajEWMBQGA1UE
4、ChMNYXJyYXluZXR3b3JrczEOMAwGA1UECxMFYXJyYXkxFjAUBgNVBAMTDTE5Mi4xNjguMC4xODkxKTAnBgkqhkiG9w0BCQEWGmFkbWluQGFycmF5bmV0d29ya3MuY29tLmNuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDrZvN0pwAi8Pjs+jQGINwJbYgcBXBiMdxQ828WhUg2SLgcuTF2VukWHGt2fPoLkJGbolE3zNXEDExnmnhkDVLOj98VVx9VPbE2j8cbgAIY1q+nsNFXg1Qyrsxs9SD4s6SX
5、K1P7KnQ9NfASrWLSLT/z4k+IpeKBlrc5q4gghJAofQIDAQABo4IBGTCCARUwHQYDVR0OBBYEFMmG0VnRdi9z/UuMBg6gcZSHCY71MB8GA1UdIwQYMBaAFJt8i+njD2DTDzghzrkrO12CuuQsMFkGA1UdHwRSMFAwTqBMoEqGI2h0dHA6Ly9qaHkvQ2VydEVucm9sbC9FTlNTJTIwQ0EuY3JshiNmaWxlOi8vXFxqaHlcQ2VydEVucm9sbFxFTlNTIENBLmNybDB4BggrBgEFBQcBAQRsMGowMwYIKwYBBQUH
6、MAKGJ2h0dHA6Ly9qaHkvQ2VydEVucm9sbC9qaHlfRU5TUyUyMENBLmNydDAzBggrBgEFBQcwAoYnZmlsZTovL1xcamh5XENlcnRFbnJvbGxcamh5X0VOU1MgQ0EuY3J0MA0GCSqGSIb3DQEBBQUAA4IBAQCoiPB/SLgsCzjXgxzOpAgOWg1cKzzxyArfywCjybdpy8oWOLBvZ4njKHqCkBMUVGSPuQsN5KFm2TgocE8cr5blg8oOuxpbVRAoSi4bd9ysf97/rdNLnYsyIlnptoOqSjk5EKt6X5bmrt1kY/ht
7、KCVRpZhhJLcWFUrljYQ6h4ELL9pDIwlBtCJUJweBfGs0nWepobRE/Nqo9tNOpgmNGD45Yv3bKaX0t/qIo+Nyg9SQjp68vAs5WTv4NxKfRLduJuaOcEEZJWXlwYB8xm1wSvo4QjklR9z3nvoRJCM7KQhex7QCAA67JecYL/V1WJrNKBpx8bEb9+FpojX/D3bfJ6z3-END CERTIFICATE-.PEM formatCertificate import successful1.1.3 导入CA根证书想要导入的证书生效,还必须将颁发这个证书的CA根证书导入SPX,这样
8、SPX才能确认证书的依赖关系。在导入CA根证书前,首先要将根证书的编码格式转换为“Base64编码”然后再导入SPX。然后在SPX的根证书导入页面将这个证书导入。如图所示:命令行导入ENSS-CLI(config)$ssl import rootca Enter the trusted root CA certificate file in PEM format, use . on a single line, without quotes to terminate import-BEGIN CERTIFICATE-MIIDXDCCAkSgAwIBAgIQKHOO6T3MlbdLEcoqBiB
9、l3zANBgkqhkiG9w0BAQUFADASMRAwDgYDVQQDEwdFTlNTIENBMB4XDTA3MDcyNDAxNTQ1NVoXDTEyMDcyNDAyMDQxN1owEjEQMA4GA1UEAxMHRU5TUyBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALZm+bA1jW8QtNek5QPJUsaxk1sB7F38S402TY6Rg4S/oG2kMQXmHwuxE9Px4CbY1t9zAtrHSRyfPEot0fJRAMEWSyf9pPkA29ahDSpi6G/pLKZ978X9cdq23ohs1F8EE97u5i+8T9j
10、wPA4Q4tOfv2y0h4oNUAiyKJmahcyHGfi0fAu1ccILni/rtG1f5r2BqW0DnqKTagI3xXzpJDDCMODSTcCkPPnVbftWfyJ/6Mk6R3wXihgL/ol1LXB4s46I+jlceBnK+WWdzP5C+S8JstwNAeS0qEp/cpdUwp5JAZVzlrl46my2lmRd9bFta2RZsWDhumTHPFNmswf2aLkCYkCAwEAAaOBrTCBqjALBgNVHQ8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUm3yL6eMPYNMPOCHOuSs7XYK65Cww
11、WQYDVR0fBFIwUDBOoEygSoYjaHR0cDovL2poeS9DZXJ0RW5yb2xsL0VOU1MlMjBDQS5jcmyGI2ZpbGU6Ly9cXGpoeVxDZXJ0RW5yb2xsXEVOU1MgQ0EuY3JsMBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEBBQUAA4IBAQBdWBDvZGX2gHDv8QEub51UtHwMMUrUdv0NgpZxou9uCFMZhtv2V+tq7J9GAF4FeTCEx77vwB7DXWQXjntlBauVYkPFF2D9vuZTpHL0jiKELY7fHcqsRp+hicshjjK3xAo0
12、RDSy4dSzwBekhJ5YJY3wJgd6NAmAX7dRwntjl9rlNBViQTs/Rfs8cdH5QAZDm07S9t2ZUXcvhcKRf620Ijj9Bb/DPhid5xOj2f3Qpi8vnr/eswNhgRKQT+4l/9jcldWQtplqtvGgtMAVWjwn8oH0Up51lnYOYzinWkFfSc5c24peUM/4qWtO31iUVtJW+/gnuViQO09tCQAV6piWV6P-END CERTIFICATE-.importing. please wait.Root CA certificate import successful导入证书后启用SSLE
13、NSS-CLI(config)$ssl settings clientauthENSS-CLI(config)$ssl start1.1.4 设置SPX证书认证选项在SPX配置页面打开“Enable Client Authentication”选项,如图所示:此时,证书和口令双因素认证在SPX上已经配置完成了。此时访问SPX会出现“选择数字证书”的提示框,因为没有证书,所以不能访问。想要正常访问,就需要客户端也申请相应的浏览器证书(必须是为SPX颁发服务器证书的CA),这个证书要与SPX的证书想对应,应该在同一个CA上申请。1.1.5 申请客户端证书浏览器证书的申请与服务器证书申请类似,在证书
14、申请页面上依次选择“申请一个证书”“Web浏览器证书”。在出现的页面上填好相应的注册信息然后提交。等待CA颁发了这个证书后,再次打开证书申请页面,依次选择“查看挂起的证书申请的状态”“Web浏览器证书”“安装此证书”。 安装完成后会在客户端的证书下面看到这个证书,证书的主题就是申请证书时填写的内容。 此时,安装了证书的客户端就可以正常访问SPX了。首先,会出现“选择数字证书“提示框。选择刚申请的证书,证书正确后会出现SPX登陆界面。输入用户名和密码完成登陆。1.2 客户端证书认证客户端证书认证指的是客户端只要安装了数字证书即可登陆,不再需要用户名和口令。这种认证方式同样需要为SPX和Web浏览
15、器申请证书,证书的申请、导入和安装与1.1所述相同,这里就不再重复了,不同的地方在于SPX的设置。1.2.1 设置SPX认证方式在SPX的AAA配置页面中,将认证方法设置为“Cert-Anonymous“。1.2.2 SPX关闭AAA将SPX的AAA关闭,在关闭AAA之前,首先要关闭站点的“Session Reuse“功能将上图中的勾去掉即可。其次,将站点的“AAA“关闭,去掉勾即可。此时,客户端证书认证已经配置完成,接下来就是为客户端申请Web浏览器证书,方法与1.1中所述相同,申请好证书后就可以访问了。1.3 客户端证书字段校验 客户端证书字段校验是指当用户登陆SPX时,SPX不只判断客户
16、端有无证书,而且针对证书的某个字段进行校验,只有通过校验的用户才能登陆。与1.2相比,这种认证方法更加安全。 同样,这用认证方式也需要为SPX和Web浏览器申请证书,证书的申请、导入和安装与1.1所述相同。1.3.1 设置证书校验字段在SPX的AAA配置页面中,配置证书认证选项,设置校验字段。选项下面列出了可以校验的字段,选择其中一个作为校验字段,这里以为例,这个字段是指校验证书中的“姓名“字段。Validate Method Using的两个选项分别为LocalDB和LDAP,意思是用户建立在LocalDB还是LDAP,用户建立在哪里这里就选择哪个选项,与下面的建立用户对应。1.3.2设置S
17、PX认证方式在SPX的AAA配置页面中,将认证方法设置为“Cert-Challenge“。1.3.3 建立用户 在LocalDB或者LDAP中建立相应字段的用户名和口令,用户名就是所校验字段的值。 我们校验的字段是“”,这个字段的值为“sxg”。所以,应该建立一个用户名为sxg的用户。 此时,客户端证书字段校验就配置完成了,用户登陆时首先会让用户选择数字证书,证书正确后会出现登陆页面,在这个字段中只需要输入密码。这个密码就是所校验字段的口令(在本例中就是sxg这个用户的口令)输入正确后完成登陆。 对于用户来讲,他并不知道SPX检验的是哪个字段,只知道管理员给他的字段校验密码,因此更加安全。2
18、LDAP认证配置2.1 LDAP简介 LDAP的英文全称是Lightweight Directory Access Protocol,一般简称为LDAP,它是一种轻量目录访问协议,但是一般人们都说:“把数据存在LDAP中”或者“从LDAP数据库中取出数据”,把LDAP理解成了一种数据库。实际上LDAP并不是数据库而是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议,或者说“通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据”。 我们暂且将LDAP访问数据库这种方式称为LDAP数据库。2.2 LDAP认证配置 LDAP既可以做认证又可以做授权,这里我们先讲述LDAP做认证的配
19、置。2.2.1 LDAP认证服务器配置 SPX支持与LDAP服务器结合实现认证,这需要在SPX的AAA配置选项下进行设置。需要指定LDAP服务器的地址、端口等信息才能实现认证。LDAP认证配置需要以下几项参数:Server IP:LDAP服务器的IP地址Server Port:LDAP提供认证服务的端口User Name:具有查询该服务器的用户名 用户名的格式为用户在LDAP服务器中的DN,包括这个用户的BaseDN。User Password:用户的口令Base:目录数据库开始查询的节点 用户从该节点(可以理解为路径下)开始查询。Timeout:查询超时时间Use SSL/TLS:SPX与L
20、DAP服务器通信是否加密配置完LDAP认证服务器后还需要配置一下搜索关联选项,就是说用户在SPX登陆页面输入的用户名与LDAP数据库中的用户通过什么条件进行关联,查询的时候将用户输入SPX的“用户名”与LDAP中的哪个字段比对。一般情况下LDAP中以“uid”作为用户的标识;SPX中用户输入的用户名用标识,所以,将这uid=作为关联条件。LDAP服务器认证有两种方式:其一,只要在LDAP服务器上查到了相应的记录就认为用户是合法的;其二,用户不仅可以在LDAP服务器上查到相应记录,而且必须以查询到的用户名和密码登录一次LDAP服务器,可以成功登录的用户才认为是合法的。在SPX与LDAP结合认证的
21、过程中,针对LDAP的认证方式不同,SPX的配置也有所不同。不同之处在于,如果LDAP采用第二种方式,SPX必须设置“Authenticate with Bind”这个选项,绑定方式有静态和动态两种,分别如下:动态绑定: 静态绑定: 静态绑定需要指定DN前缀和DN后缀,格式如上图所示。“前缀”“用户名”“后缀”共同构成了用户的DN。2.2.2 设置SPX认证方式在SPX的AAA配置页面中,将认证方法设置为“LDAP“,授权暂留为空。此时,SPX通过LDAP认证配置完成。2.3 组映射授权配置上面已经说过,LDAP既可以做认证也可以做授权,但是一般的用法是通过LDAP认证,组映射授权。首先,要确
22、定LDAP分组依据属性,也就是说LDAP是依据什么分的组(比如说按部门分组或者按职位分组),然后把这个分组依据(部门或职位)对应成LDAP中相应的字段作为LDAP的分组依据属性。一般情况下使用memberOf这个属性作为分组依据属性,不同情况下这个分组依据属性是不同的,具体按实际情况而定。其次,在LocalDB中建立分组(个数与LDAP中组的个数对应),将本地组(LocalDB中的组)和外部组(LDAP上的组)对应起来。另外,在LocalDB中建立一个默认组,作用就是将不属于LDAP上任何组的用户全部对应到这个组中。经过以上的配置就可以将LDAP上的组对应成LocalDB上的组,然后再通过为本
23、地组授权实现用户的权限设定。2.4 LDAP授权配置 采用LDAP做授权需要扩充LDAP的schema,然后配置需要授权用户的ACL属性赋予相应的权限。我们以OpenLDAP为例叙述过程,一般需要在slapd.conf中加入include文件: include d:/openldap/etc/schema/core.schema include d:/openldap/etc/schema/inetorgperson.schema include d:/openldap/etc/schema/array.schema 然后在相应目录下放置array.shema文件,内容如下: #Array e
24、xtended schema ,added by wuyuepeng # ArrayNetworks Schema # case senstive url prefix ie * attributetype ( 1.3.6.1.4.1.7564.1000.1 NAME accepturl DESC accept url exprerssion SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # accepted source network addresses # of the form network/mask eg 10.2.0.0/255.255.0.0 a
25、ttributetype ( 1.3.6.1.4.1.7564.1000.2 NAME sourcenet DESC Source Network ip/mask SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # case senstive network pool name attributetype ( 1.3.6.1.4.1.7564.1000.3 NAME netpool DESC network pools for L3 VPN SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) #Array User inhearts fr
26、om inetOrgPer objectclass ( 1.3.6.1.4.1.7564.1000 NAME ArrayUser DESC Array Appliance Network User SUP top AUXILIARY MAY ( accepturl $ sourcenet ) ) # Borrow the accepturl and sourcenet from ArrayUser objectclass ( 1.3.6.1.4.1.7564.1001 NAME ArrayGroup DESC Array Appliance Network Group SUP top AUXI
27、LIARY MAY ( accepturl $ sourcenet $ netpool ) ) 然后在用户的相应属性增加相应的权限即可: 如: 在accepturl属性赋值为一个ACL:0 http:10.1.175.7/exchange AND SP-Demo DENY 3 Active Directory认证授权服务配置 3.1 Active Directory简介Active Directory简称AD。存储关于网络上对象的信息并使这些信息可以用于用户和网络管理员的目录服务。Active Directory 允许网络用户通过单个登录过程访问网络上任意位置允许访问的资源。该技术可以用来确保
28、只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提自下针对相关资源实施访问调用。Active Directory 用户和计算机:设计为执行日常 Active Directory 管理任务的管理工具。这些任务包括创建、删除、修改、移动和设置存储在目录中的对象的权限。这些对象包括组织单位、用户、联系人、组、计算机、打印机和共享的文件对象。 Active Directory 数据模型:从 LDAP 数据模型演化而来的模型。该目录用来保存对象,这些对象代表了由属性描述的各种端口的实体。在架构中定义了可以存储在目录中的对象和对象的类。对于对象的每个类,架构都定义了该类的实例所必须拥有的属性,并
29、且该类可以是其的父类(该类可能有的附加属性)。3.2 Active Directory认证配置由于AD是LDAP的扩展,它的底层也是一个LDAP。所以,如果AD只是作为认证服务器,在SPX配置上可以通过AD的配置方法来配,也可以通过LDAP的配置方法来配。但如果AD也要做授权服务器,进行user-to-mapping组映射,在SPX配置上只能通过LDAP的配置方法来配,也就是把AD服务器看作LDAP服务器来配。在配置AD认证前,先要向AD服务器管理员询问以下几点AD服务器的情况:1. AD服务器的端口(默认TCP/UDP 389)2. 用户所在域的域名(表现为Mail Domain,如)。Si
30、te Configuration-AAA-Authentication-Active Directory如上图所示空白处填入:Server IP:AD服务器的IP地址Server Port:AD服务器的通信端口(默认为TCP/UDP 389)Mail Domain:用户所在域的域名(填写形式为:、等等)CLI:aaa method ad authorization method aaa ad host 最多可以配置三个AD认证服务器。3.3 Active Directory授权配置 配置AD做授权服务器,进行user-to-mapping组映射,在SPX配置上只能通过LDAP的配置方法来配,也
31、就是把AD服务器看作LDAP服务器来配。详细配置见LDAP授权服务配置。4 RADIUS 认证授权服务配置4.1 RADIUS简介Array SPX 可以很好的与通用的RADIUS服务器结合起来对用户进行身份认证。 RADIUS是一种C/S结构的协议,SPX与RADIUS服务器之间的通信是经过加密来传输的,双方使用共享密钥,这个密钥不经过网络传播。SPX和RADIUS服务器通过UDP协议进行通信,一般情况下,RADIUS服务器的UDP 1812端口或UDP 1645负责认证,当然用户也可能使用别的UDP端口。RADIUS的工作原理:用户接入NAS (Net Access Server,SPX这
32、时充当NAS),NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始。4.2 RADIUS认证配置在配置RADIUS认证前,先要向R
33、ADIUS服务器管理员询问以下几点RADIUS服务器的情况:3. RADIUS服务器的认证端口(默认UDP 1812)4. RADIUS服务器的通信密钥。先要在RADIUS服务器上添加一个客户端SPX(SPX作为认证客户端代理登陆SSL VPN的用户向RADIUS服务器进行身份认证),SPX与RADIUS服务器之间的通信需要设定好一个“通信密钥”。Site Configuration-AAA-Authentication-RADIUS上图所示的空白处依次填入:Server IP:RADIUS服务器的IP地址Server Port:RADIUS服务器的认证端口Secret Password:SP
34、X与RADIUS的通信密钥,Timeout:超时设定Retries:超时后,重试次数CLI:aaa method radius authorization methodaaa radius host 最多可以设定三个RADIUS服务器做认证服务故障冗余。如果设定了认证服务故障冗余,当SPX在设定的重试次数内没有收到当前服务器的响应,SPX就会向下一个RADIUS服务器请求身份认证。如果在当前服务器没有找到登陆用户的合法登陆信息,SPX就返回用户登陆出错信息,不再向下一个RADIUS服务器请求身份认证。如果所有的RADIUS服务器都没有响应,SPX就会选择下一个配置的认证方法进行身份认证(例如,
35、在RADIUS认证方法后面,还配置了LocalDB认证方法,这时就会选择LocalDB认证方法进行身份认证)。这对最终用户来说是透明的。RADIUS服务器管理员必须及时同步更新所有配置的冗余RADIUS服务器的用户信息。 4.3 RADIUS 授权配置如果您使用RADIUS做认证,缺省是采用RADIUS服务器作授权,即将ACL作为RADIUS服务器用户的相应属性来进行授权,这时需要扩充RADIUS的Dictionary。如果您的认证服务器和RADIUS授权服务器不是一台机器,那您需要单独配置RADIUS授权服务器。 配置RADIUS授权服务器跟配置RADIUS认证服务器基本相同。在相应空白处填
36、入RADIUS的IP地址、认证端口、通信密钥、超时时间、重试次数。详细见RADIUS认证服务配置。CLI:aaa method radius authorization methodaaa radius authorize host 然后就是扩充RADIUS服务器的Dictionary,将ACL的属性定义加进去,进而配置用户的相应属性进行ACL授权。扩充的Dictionary文件内容如下:# #Array Networks #http:/ # borrowed from snmpd, may lead to trouble later VENDOR Array-Networks 7564 #
37、Array Netorks Extensions ATTRIBUTE Accept-Acls 1 string Array-Networks ATTRIBUTE SourceNets 2 string Array-Networks ATTRIBUTE memberUid 3 integer Array-Networks ATTRIBUTE memberGid 4 string Array-Networks ATTRIBUTE NetPool 5 string Array-Networks 然后在用户的相应属性增加相应的权限即可: 如某用户的相应属性: Foo Auth-Type = Local
38、, Password = “foobar” Accept-Acls = 0 http:*/ AND all PERMIT, SourceNets = “10.2.0.0/255.255.0.0” uidNumber = 2063, gidNumber = 1000 1020 2300Group Mapping 授权方式有的用户用RADIUS认证,但他们又不想修改这些服务器,加上Array的授权属性。这时我们可以抓取这些服务器的组信息放到LocalDB上,将这些认证服务器的组映射到LocalDB的相应组进行授权。首先要找到RADIUS哪个属性是他的组属性,然后当这个属性等于某个值时映射到Loca
39、lDB特定组上。例如,我们常用的是RADIUS协议的25号属性Class。CLI:aaa radius group (指代表组的属性)aaa localdb group default (若组映射不成功,这个用户所属的缺省组) aaa map group (当某用户的值为External Group时,我们将他映射到localdb Local Group 组进行授权)假设,在授权RADIUS服务器上有一个组设定为财务组(组名为Group-finance),记录的是财务人员的身份信息,该组的25号属性的值是“finance”。对应的,在SPX上的LocalDB,我们建一个组“Local-finance”。Group-finance相当于外部组External Group,Local-finance相当于内部组Local Group。如上图,在进行组映射时,“External Group Name”处我们填的不是外部组名“Group-finance”,而是外部组的组属性的值“finance”(25号属性值)。相应的在下图的“RADIUS Attribute ID”处填25。若上述组映射不成功,我们也可以设定一个缺省组(Default组),让其登陆进来并映射到Default组,否则SPX向用户返回登陆错误信息,禁止其登陆。组映射完后,我们需要利用ACL来对相关组的访问权限进行控制。
链接地址:https://www.31doc.com/p-10063227.html