01

目  录

1 概述

2 安装

2.1 支持的Linux操作系统

2.2 使用root用户安装Linux iNode

2.3 使用普通用户安装Linux iNode

3 使用Linux iNode进行认证

3.1.1 打开Linux iNode配置界面

3.1.2 配置802.1X认证连接

3.1.3 接入认证

4 卸载

5 常见问题

5.1 在Linux RedHat ES 6 x86_64系统中无法正常安装Linux iNode

5.1.1 原因分析

5.1.2 解决办法

5.2 在凝思磐石Linux系统中无法正常安装Linux iNode

5.2.1 原因分析

5.2.2 解决办法

Linux版本的iNode智能客户端（以下简称Linux iNode）是一款多功能接入软件，可以和以太网交换机、路由器等设备共同组网，再配合iMC EIA/EAD，实现对接入用户的身份认证和安全检查。

·     iMC：iMC（Intelligent Management Center，智能管理中心）是H3C推出的一款基于B/S架构的综合网络管理产品。iMC以网络管理为核心，重点关注网络中的各种资源、用户以及网络业务，目的是为网络管理员提供资源、用户和网络业务相融合的网络管理解决方案，实现对网络的端到端管理。

·     EIA：EIA（Endpoint Intelligent Access，终端智能接入）可为企业提供统一的网络接入策略，实现企业网络（有线、无线和VPN网络）的统一接入管理，并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制，满足企业多种网络接入、多种终端接入的统一运维管理需求，确保终端安全策略在整个网络无缝地执行。

·     EAD：EAD（Endpoint Adminssion Defense，终端准入控制）从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。

Linux iNode客户端支持的认证协议包括：

·     802.1X协议：802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要用于解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议，在局域网接入设备的端口级，对所接入的用户设备通过认证来控制对网络资源的访问。

·     Portal协议：Portal认证通过Web页面接受用户输入的用户名和密码，对用户进行身份认证，以达到对用户访问进行控制的目的。

·     SSL VPN协议：SSL VPN是以SSL（Secure Sockets Layer，安全套接字层）为基础的VPN（Virtual Private Network，虚拟专用网络）技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。

本文主要介绍Linux iNode的安装、简单使用和卸载。

如果系统中已存在旧版本的iNode客户端，则需要将旧版本的客户端卸载，再进行新版本的客户端安装。

Linux iNode支持在主流的Linux操作系统中安装，比较常用的Linux操作系统包括：

·     Red Hat Enterprise Linux ES 6.1（64位）

·     Red Hat Enterprise Linux ES 7.0（64位）

·     Ubuntu 9.0.4（32位）

·     Ubuntu 11.10（32位）

·     Ubuntu 12.04（32位）

·     Ubuntu 12.10（32位）

·     Ubuntu 14.10（64位）

·     Fedora 9.0（32位）

·     Fedora 20（64位）

·     CentOS 7.0（64位）

·     凝思磐石4.2.35（32位）

·     凝思磐石6.0.3（32位）

·     凝思磐石6.0.3（64位）

本节将以Red Hat Enterprise Linux Server 7.0为例，说明使用root用户及命令行操作安装Linux iNode的步骤。Ubuntu和Fedora的安装过程类似，不同之处将在本节中进行特别说明。

(1)     以root身份登录操作系统。

Ubuntu没有root用户，请使用具有管理员权限的用户登录。

(2)     将Linux iNode安装文件复制到安装目录。本例中使用命令cp iNodeClient_Linux.tar.gz /home/iNode/将Linux iNode安装文件复制到目录“/home/iNode/”下，如图2-1所示。

如果目录“/home/iNode/”不存在，则需先进行创建。

图2-1 复制安装文件

(3)     解压Linux iNode安装文件。进入安装文件所在目录，使用命令tar -zxvf iNodeClient_Linux.tar.gz解压安装文件，如图2-2所示。

图2-2 解压安装文件

解压后的安装文件将存放在“/home/iNode/iNodeClient/”目录中。请勿修改目录的名称。

(4)     安装Linux iNode。进入iNodeClient目录，运行命令./install.sh安装Linux iNode，如图2-3所示。

Ubuntu的安装命令为“sudo ./install.sh”。

图2-3 安装Linux iNode

运行命令之前请保证root用户对install.sh具有的可执行权限。可以使用命令chmod 755 install.sh来修改可执行权限，如图2-4所示。

图2-4 修改可执行权限

(5)     确认Linux iNode的安装情况。安装Linux iNode后，运行命令ps -e | grep A查看服务AuthenMngService是否启用，如图2-5所示。如果启用，则表示Linux iNode安装成功。

图2-5 服务启用成功

(6)     至此，Linux iNode安装完成。

·     安装完成后，无需重启Linux操作系统，也不需要启动任何服务即可运行iNode客户端。

·     对于Deb格式的Linux iNode管理中心安装包，直接双击安装包运行即可，无需通过命令行操作。

本节将以Red Hat Enterprise Linux Server 7.0为例，说明使用普通用户安装Linux iNode的步骤。Ubuntu和Fedora的安装过程类似，不同之处将在本节中进行特别说明。

普通用户与root用户安装步骤差异较小，本章节对安装过程图片不进行重复展示，请参见2.2  使用root用户安装Linux iNode。

(1)     以普通用户身份登录操作系统。

(2)     将Linux iNode安装文件复制到安装目录。本例中使用命令cp iNodeClient_Linux.tar.gz /home/iNode/将Linux iNode安装文件复制到目录“/home/iNode/”下。

如果目录“/home/iNode/”不存在，则需先进行创建。

(3)     解压Linux iNode安装文件。进入安装文件所在目录，使用命令tar -zxvf iNodeClient_Linux.tar.gz解压安装文件。

解压后的安装文件将存放在“/home/iNode/iNodeClient/”目录中。请勿修改目录的名称。

(4)     使用su - root命令切换到root权限。

(5)     安装Linux iNode。进入iNodeClient目录，运行命令./install.sh安装Linux iNode。

Ubuntu的安装命令为“sudo ./install.sh”。

运行命令之前必须保证root用户对install.sh具有的可执行权限。可以使用命令chmod 755 install.sh来修改可执行权限。

(6)     确认Linux iNode的安装情况。安装Linux iNode后，运行命令ps -e | grep A查看服务 AuthenMngService是否启用。如果启用，则表示Linux iNode安装成功。

(7)     安装完成后，在运行iNode之前，请使用exit命令退出root权限。

本章节将以802.1X认证为例介绍使用iNode客户端认证的过程。

·     如果使用root用户登录并安装iNode客户端，则请使用root用户运行和使用iNode。

·     如果使用普通用户登录并安装iNode客户端，则请使用普通用户运行和使用iNode。

(1)     进入Linux iNode安装目录，本例中为“/home/iNode/iNodeClient/”，如图3-1所示。

图3-1 Linux iNode安装目录

(2)     双击iNode Client，打开Linux iNode配置界面，如图3-2所示。

图3-2 Linux iNode配置界面

(3)     单击图3-2左上角的“”图标，弹出“新建连接”对话框，如图3-3所示。对话框中显示了iNode客户端支持的认证协议，包括802.1X协议、Portal协议和SSL VPN协议。

图3-3 新建连接窗口

(1)     选择图3-3中的802.1X协议，单击按钮，进入认证连接配置窗口，如图3-4所示，参数说明如表3-1所示。

图3-4 认证连接配置窗口

表3-1 认证连接参数说明

参数

说明

连接名

新建连接的名称。

用户名

用户的名称。

密码

用户的密码。

RSA动态密钥

启用RSA认证时进行输入，本例不配置。

上传客户端版本号

EIA提供了检查客户端版本号的功能，此功能可以保证网络中都使用较新版本的iNode客户端。iNode客户端配合EIA实现检查客户端版本号功能时，必须勾选“上传客户端版本号”。

上传IP地址

iNode客户端配合EIA实现以下功能时，必须勾选“上传IPv4地址”：

·     使用用户帐号与PC IP地址绑定功能；对在线用户进行审计和跟踪时，可能需要知道在线用户的IP地址。

·     对用户的上网明细进行分析和审计时，可能需要知道在线用户的IP地址。

使用广播下线

通常情况下，802.1X认证下线时使用组播报文。如果用户和接入设备之间连接了其他网络设备，且这些网络设备配置为丢弃组播报文，则使用组播报文无法正常下线。iNode客户端支持使用广播报文进行802.1X认证下线。

运行后自动认证

操作系统启动后，iNode客户端会自动启动。iNode客户端运行后，启用了“运行后自动认证”的802.1X认证连接会自动进行认证。

连接断开后自动更新IP地址

表示用户下线后，用户PC会自动更新IP。例如用户下线后属于guest VLAN，在线时属于access VLAN，则用户下线后会自动将IP更新为属于guest VLAN的IP，即用户可以访问guest VLAN中的资源。

网络恢复后自动重连

勾选后，iNode客户端会周期性探测网络状况，一旦发现网络恢复，就会立即发起新的802.1X认证。

自动重连次数

iNode客户端进行自动重连时的次数，最少3次，最多不限。

自动重连间隔

iNode客户端进行自动重连的时间间隔，最少5分钟，最多5小时。

报文类型

iNode客户端支持使用单播、组播报文来进行802.1X认证交互。

·     如果PC有多块网卡或虚网卡，图3-4中的(1)必须选择用于接入认证的网卡。

·     参数的配置与网络环境密切相关，请遵循网络管理员的建议进行配置。

(2)     配置完成后，单击按钮完成新建连接操作。

(1)     选中刚刚新建的连接，单击[连接]菜单项，发起认证，如图3-5所示。

图3-5 发起认证

(2)     认证成功后，用户即可接入网络，如图3-6所示。

图3-6 认证成功

卸载Linux iNode必须使用root用户登录。

在Linux iNode安装目录下（本例中为“/home/iNode/iNodeclient/”）运行命令./uninstall.sh即可卸载Linux iNode，如图4-1所示。

图4-1 卸载Linux iNode

在Ubuntu中卸载Linux iNode必须使用具有管理员权限的用户登录。Ubuntu的卸载命令为“sudo ./uninstall.sh”。

由于运行Linux iNode需要32位库支持，如果系统中没有安装32位库就会导致无法安装iNode，安装32位库后即可解决。

Linux RedHat ES6 x86_64系统安装盘中通常都含有32位库。在/home/iNode/iNodeClient/libs下存放了脚本文件lib32_install.sh，其中/home/iNode/iNodeClient为iNode的安装路径。将脚本文件lib32_install.sh复制到Linux系统中，并执行如下命令：

chmod +x lib32_install.sh

./lib32_install.sh /media/RHEL_6.2 x86_64 Disc 1

其中/media/RHEL_6.2 x86_64 Disc 1为系统安装盘路径。

在凝思磐石Linux系统中安装iNode前，需要先安装32位库或者gtk库。

·     凝思磐石4.0解决办法

a.     将/libs/rocky/unpack_lib32.sh复制到凝思磐石系统的根目录下。

b.     将/Rocky/install_lib_32复制到凝思磐石系统的根目录下。

c.     Shell终端中运行sh /unpack_lib32.sh，解压32位lib库。

·     凝思磐石6.0解决办法

a.     将\pool\main\i\ia32-libs-gtk\ia32-libs-gtk_20120102_amd64.deb复制到凝思磐石系统根目录下。

b.     Shell终端中输入su root，回车后输入root密码切换到root用户。

c.     进入凝思磐石系统根目录，运行dpkg -i ia32-libs-gtk_20120102_amd64.deb，完成gtk库安装。