访问控制

1 概述

1.1 版本

1.2 功能简介

通过访问控制，可以限制平台管理员、系统管理员和用户在特定区域内才能访问系统，防止恶意攻击或非法侵入。

2 用户访问限制

2.1 案例

限制IP地址在“144.20.80.1~144.20.80.45”范围内的用户才允许在PC端和移动端登录系统。

2.2 实现方案

以系统管理员（administrator）的身份登录系统，进入“系统选项–》访问控制”界面，如下图：

点击“新建”可配置访问控制的限制条件，如下图：

根据案例要求，需要创建一个用户区间IP限制的访问控制，PC端和移动端均限制，具体配置如下：

• 指定某个固定地址时，其实IP和结束IP需要填写一样的IP地址；
• 访问类型目前只支持“登录”一种类型，后续会做扩充；
• 控制平台用来控制限制登录的客户端，如果只限制了PC端，那么移动端是可以在任何IP区域正常登录的；
• 控制范围目前只能针对系统管理员或全体用户进行限制，后续将扩充指定用户的限制。
  配置完成后，我们先以普通用户“zhangsan”(IP地址为：144.20.80.49）的身份在PC端登录系统，可以看到，由于IP地址不在可访问的IP区间范围内，因此无法登录系统，如下图：
  
  同样地，用户在移动端通过lczApp访问该系统时，如果当前访问设备的IP地址不再允许登录的范围内，也将无法登录，如下图：
  #pic_center

  注：此时仅对用户进行了访问限制，系统管理员是不受限制的，在任何IP区域均可正常登录系统。

3 系统管理员访问限制

3.1 案例

系统管理员只能通过PC端在“144.20.80.121”的IP地址时才可以登录系统。

3.2 实现方案

同“用户访问限制”的配置方式，以系统管理员身份进入“访问控制”菜单，再创建一个系统管理员指定IP限制的访问控制，而且限制只能在PC端访问，具体配置如下：

配置好之后，我们以管理员身份通过PC端进行登录，如果当前设备访问的IP地址非“144.20.80.121”，那么将会被限制登录，如下图：

4 平台管理员访问限制

4.1 案例

平台管理员只能通过PC端在“144.20.80.55”的IP地址时才可以登录系统。

4.2 实现方案

平台管理员的访问限制配置不同于用户和系统管理员的配置，是需要在配置文件“server.config”进行设置的。
平台管理员配置未开放给系统管理员在门户中进行配置，是为了一定程度地降低系统管理员配置错误，导致平台管理员无法登录造成的影响。
下面，根据案例要求进行配置，具体配置内容如下：

<Security>
   <ip_access_list open="true" >   <!-- ip访问控制列表 -->   
      <ip start="144.20.80.55" end="144.20.80.55" />    <!-- start 起始IP，end结束ip -->
  </ip_access_list>
</Security>

将上面的内容放到配置文件的指定位置即可，如下图：

需要增加多条控制规则时，在第一条规则下方以同样的方式增加即可。
配置文件保存之后，需要重启服务才生效，重启后，以平台管理员的身份登录系统，如果当前设备访问的IP地址非”144.20.80.55”，那么同样会被限制登录，如下图：

注：要想撤销对平台管理员的访问限制，在配置文件中将该部分配置删除，重启服务即可。

5 总结

1、系统管理员和用户的访问限制是在门户中进行配置的，而平台管理员的需要在配置文件“server.config”中进行设置；
2、控制范围内的系统管理员或用户只有在起始结束ip段内（包含起始ip、结束ip）才可以登录系统，不设置则默认任意ip段都可以登录系统。
3、系统管理员或用户有多条控制规则时，满足其中一条规则即可登录系统；
4、控制规则仅针对受限制的用户群体有效，不在控制范围内的用户不受限制，均可正常登录;
5、需要撤销某些访问限制时，系统管理员和用户的在“访问控制”中删除对应的规则即可，平台管理员则需要删除配置文件中对应的配置内容；
6、若系统管理员由于访问控制配置错误导致无法登录系统，想要登录系统需要将知识库中“dn_ip_access”表中的对应记录删除，重启服务即可重新登录。