【SU/SA客户端】SU客户端完整性保障失效

1、故障现象
SAM部署了客户端完整性保障，发现不生效，接入端依旧可以使用破解客户端认证。

2、故障可能原因
SAM管理端配置错误
SAM服务器相应目录未上传supplicant.ini文件与防破解文件
使用的客户端SU软件及相对应的防破解文件错误
防破解配置文件编写错误
当前最新SAM、SU版本不支持的破解模式

3、故障处理流程

4、故障处理步骤
步骤1 检查SAM服务器端是否开启客户端完整性保障功能
本步骤主要目的是判断SAM管理端中查看故障用户所对应的用户模板是否开启了防破解功能，具体操作如下：
    1. 打开SAM管理界面，进入用户管理，查询出现问题的用户，如下图所示：查询到123该用户

   2. 双击该用户，进入用户查看页面，确认该用户所属的用户模板及使用的套餐，如下图所示：用户模板为“学生记账收费模板”套餐为1元每天

 3. 进入用户管理->用户模板管理页面，查看故障用户对应的模板，如下图所示：
 

      4. 确认故障用户所使用的套餐对应的接入控制，如下图所示：123用户对应的接入控制为”收费服务”

   5. 进入接入控制管理，查看“收费服务”接入控制，如下图所示：

    6. 进入“收费服务”，查看“用户行为控制”，检查“禁止使用破解锐捷客户端”是否开启，勾选为开启，不勾选为不开启，如下图所示：

本步骤重点关注故障用户对应的接入控制是否已打开“禁止使用破解锐捷客户端”功能，如通过以上排查，故障未解决，进入下一步骤排查

步骤2 SAM安装目录的conf目录下是否有supplicant.ini文件和防破解文件
本步骤主要目的是判断是否将正确的supplicant.ini文件和防破解文件上传到SAM安装目录的conf目录下，具体操作如下：
    1. 客户端完整性保障除了在SAM服务端开启功能外，还需要在SAM安装目录的conf目录下放置supplicant.ini文件和客户端防破解文件，检查在SAM服务器目录下是否有以下文件，如下图所示：
 

步骤3 检查使用的SU客户端版本及防破解文件是否正确
本步骤与步骤4需要同步进行
步骤3主要目的是判断故障用户使用的SU客户端版本与服务器所对应的防破解文件是否一致，防破解文件是否已放到正确的位置（定制的SU客户端安装包和防破解文件仅适用于同一个应用场景，不同应用场景需要重新进行定制），具体操作如下：
    1. 如步骤2中看到的防破解文件为例：
 

该防破解文件供包括两个版本，其中04530000的一组为4.81（P1）版本32位客户端对应的防破解文件，04530500的一组为4.81（P1）版本64位客户端对应的防破解文件。
    2. 确认故障用户使用的SU客户端版本号与SAM服务器上的防破解文件对应的SU版本号是否一致：
本操作主要是要确认故障用户使用的SU版本与防破解文件是否是同一版本，可采用重新定制化客户端程序生成安装包和防破解文件进行测试
1）以以上为例，按照16进制版本号换算得出原始版本号，方法如下（仅适用于判断版本）：
04530000解析为：04（主版本号4）53（解析为83）00（操作系统类型，00表示windows 32位，01表示linux，02表示MAC，03表示windows 64位）00（客户端类型，00表示SuA，02表示SU for GSN，03表示SA）
因此翻译过来该版本为SU for windows 4.83（内部业务版本号），对应到正式版本号为4.81（P1）
判断完防破解文件对应的版本号后，核对故障用户使用SU版本号是否与SAM服务器端使用的防破解文件对应的版本号一致。如不一致，则为版本不对应问题，如一致，则使用下一种方式进行测试排查。
以上版本识别方式仅适用于掌握16进制换算的工程师，非必需知识
2）通过重新定制化客户端软件得到客户端安装程序及防破解文件（可用于测试故障是否重现）
以下为最新版本SU 4.81 P1版本的定制及测试过程，供参考：
------>1、打开客户端管理程序，在“客户端定制”功能页下找到“RG_SU_For_Windows界面”，如下图所示：

------>2、根据客户现场应用对各项功能进行调整后，点击“制作安装包”，完成后，可使用“查看安装包”功能查看定制好的安装包，使用“查看防破解文件”查看定制好的安装包对应的防破解文件，如下图所示：

------>3、在确认supplicant.ini文件正确的基础上（如何判断见步骤4），替换SAM服务器SAM安装目录conf目录下的客户端防破解文件，在故障用户端重新安装步骤2定制好的客户端，确认故障是否重现。
 

步骤4 检查supplicant.ini文件编写是否正确（需要与步骤3同步进行）
本步骤主要目的是判断SAM服务器端SAM安装目录conf目录下的supplicant.ini文件是否编写正确，具体操作如下：
    1. 在确保了步骤3使用的定制化SU客户端版本及相对应的防破解文件正确性后，还需要编写supplicant.ini文件并放置在正确的位置，用于对防破解功能进行控制，该文件存放位置如下：
目录：SAM服务器端，打开SAM安装程序，进入conf目录，如下图所示为默认安装路径：

 2. 打开supplicantinfo.ini文件，对文件中的相应参数进行编辑，具体如下：
bRunFileCheck=1                                     该参数代表需要对SU客户端进行完整性校验
bDealSuHacker=1                                    该参数表示对使用破解客户端的用户进行记录
nForgivenHackCount=10                           该参数表示允许同一用户使用破解客户端10次，超过10次，将自动将该用户加入黑名单，可根据实际需要进行设置
nPunishedHours=24                                 该参数表示将用户加入黑名单后，惩罚时间为24小时，24小时内该用户无法认证，会被提示已加入黑名单，24小时后自动释放
0x04530000Alg=V3                                  该参数表示SU for windows 4.81 32位V3防破解生效
0x04530300Alg=V3                                   该参数表示SU for windows 4.81 64位V3防破解生效
注意点：
1）0x04530300Alg=V3表示使用V3算法进行校验，目前SAM 3.X版本一般采取V3版本算法进行校验。
2）在写版本校验的时候，客户现场存在多少个客户端版本，就必须在文件中添加多少个版本号，如没有添加，则其余版本无法认证，如上例所示，表示该网络中只有4.81 P1的32及64位版本。
3）在添加版本的时候，0x04530000Alg=V3中，0x为必须开头字符04530000为版本号，具体可以直接复制客户端防破解文件的文件名。
4）对于采用V3方法校验的版本，其版本号中如有字母，必须大写（例如0x031F0002Alg=V3，不可写为0x031f0002Alg=V3）
5）允许的破解次数及黑名单时间需要根据实际需要进行设置。
    3. *在确认SU客户端版本、对应的防破解文件及supplicantinfo.ini文件的正确性后，重启SAM服务，测试故障是否重现。（重要！）
              如未重现，可以确认为SU版本、防破解程序、supplicantinfo.ini文件三者之一存在问题，根据实际情况进行调整。
              如故障依旧，则进入下一排查步骤
 

步骤5 收集信息后，请联系4008111000协助处理
通过以上步骤，还未能排除故障，可以初步判断可能为目前SAM、SU版本不支持的破解方案
拨打4008111000寻求技术支持，收集如下故障信息，进行故障进一步处理。
1 故障用户的SU软件版本号
           打开SU软件后可显示SU版本号
2 supplicant.ini文件，位置为SAM安装程序下的conf目录
3         SAM管理端配置，具体参考步骤1
4         曾经做过的测试尝试步骤
5         破解客户端的部署、使用过程，最好可以将过程进行录屏