2024年1月8日发(作者:)
RSA SecureID
Windows Agent 安装配置手册
武汉神州数码有限公司
吴长锋
2009年1月
修改记录
时间
2009-01-13
版本
V1.0
编写/修改人员
Michael Wu
审核人员
备注
创建该文档
说 明
本文主要针对Server端为RSA SecurID Authentication Manager 7.1而编写,但实际上服务器端的配置操作相对简单,主要的配置工作集中在Agent端,而Agent端的配置主要跟自身操作系统的版本有关。如果客户的环境是RSA
SecurID ACE Server 6.1,则除Server端配置不同以外,Agent端也可以参照此文档进行Agent的配置。
目 录
一、 RSA SecurID Server端配置 .................................................................. 1
1、 生成并下载最新的Configuration File ............................................ 1
2、 在Hosts文件中添加Agent的IP和主机名信息 ....................... 2
3、 在Authentication Manager中添加Agent配置 ............................. 3
二、 RSA SecurID Agent端配置 .................................................................. 5
1、 修改系统的hosts文件 ...................................................................... 5
2、 上传并生成所需的相关文件 ........................................................... 5
3、 安装RSA Authentication Agent ........................................................ 6
4、 进行测试认证 .................................................................................... 11
5、 配置RSA组登陆的双因素身份认证 .......................................... 13
一、 RSA SecurID Server端配置
1、 生成并下载最新的Configuration File
为了保证Agent端能够正确的寻找到主备服务器端,需要从RSA
Authentication Manager上获取最新的Configuration File。
首先用管理员身份登陆RSA Authentication Manager的Security Console:
点击Access -> Authentication Agents -> Generate(生成) Configuration
File,转到相关页面:
第 1 页
系统会自动生成一个AM_的文件,下载后解压缩得到文件,放在本地硬盘专门的目录中,备用。
2、 在Hosts文件中添加Agent的IP和主机名信息
为了使RSA Authentication Manager能够解析Agent的信息,需要在服务器的hosts文件中添加关于Agent的记录,下图为Linux版的:more /ect/hosts
第 2 页
3、 在Authentication Manager中添加Agent配置
接下来需要在Authentication Manager添加一条关于Agent的记录:
进入菜单,选择Access -> Authentication Agents -> Add New,转到配置页面:
在Host Name中输入刚刚在hosts文件里面写入的Agent端主机名,然后点击Resolve IP,系统会自动填入Agent的IP地址。其他选项使用系统默认值。第 3 页
点击Save即可。如果还要继续添加新的Agent,可以点击“Save & Add Another”。
到这里,Server端的配置就OK了,下面进入Agent端的安装与配置。
第 4 页
二、 RSA SecurID Agent端配置
1、 修改系统的hosts文件
在系统的hosts文件中,加入RSA Authentication Manager的记录,并视情况(如Authentication Manager中添加的Agent名字与本机实际hostname不同)增加一条关于本机的记录,其IP和hostname需与RSA Authentication
Manager添加该Agent的记录相匹配。Hosts文件在C:winntsystem32driversetc目录中(操作系统不同,windows目录的名字有可能略有不同)。
2、 上传并生成所需的相关文件
① 将Agent端安装文件上传到windows系统的一个临时目录中,如:c:setuprsa。
② 将从Authentication Manager上获得的文件上传到同第 5 页
一目录(c:setuprsa)下,或直接拷贝到c:winntsystem32目录下。
3、 安装RSA Authentication Agent
插入RSA Authentication Agent 6.1 for Windows光盘,运行aceclntnt_启动安装。
选择“You are a customer ordering this RSA product from RSA Securtiy
Inc. from People’s Republic China”第一个选项表明在中国购买的RSA产品。
第 6 页
选择“I accept the terms of the license agreement”接受许可条款。
选择定制安装类型。
第 7 页
去除“Domain Authentication Client”选项,选择“Local Authentication
Client”,然后选择“Next”继续。
指定文件所在的目录。
第 8 页
指定离线登录数据存放的目录。
指定RSA Authentication Agent代理软件安装目录。
第 9 页
先不启用操作系统的令牌认证。使用缺省值,选择“Next”继续。
选择“Install”开始安装,直到出现以下界面。
第 10 页
重新启动计算机。
4、 进行测试认证
选择开始 RSA SecurityRSA Security Center进入客户端管理界面。在左边栏中选择Authentication Test,然后选择右边栏中的“Test„”测试安装是否正确。
第 11 页
在认证窗口中输入用户名和其对应的PassCODE,如果正常,系统会提示认证通过。
如果输入的刚分配到令牌的用户,则在这里输入用户名和令牌上显示的6位数字,验证通过以后,系统提示用户必须创建PIN码,选择“I Will Create PIN”自己创建PIN码;如果选择“RSA ACE/Server Will Generate PIN”的话,RSA
ACE/Server会自动产生4到8位的PIN码。在这里我们选择“I Will Create PIN”。
成功创建完PIN码以后,RSA Authentication Agent软件提示PIN码创建第 12 页
成功。
系统会要求你输入完整的PassCODE再进行一次测试,等到令牌跳到下一个号码时,在“Enter PASSCODE”字段中先输入刚刚设置的4到8位的PIN码,然后紧接着输入六位的令牌码,显示“Authentication successful.”时表示通过认证测试。
5、 配置RSA组登陆的双因素身份认证
在操作系统中创建RSA组,将需要使用令牌认证的用户添加到RSA组中。
进入RSA Security Center,选择local表单,在challenge setting中指定users in=RSA。
第 13 页
这样,当该组用户登陆时,就需要进行RSA 验证了。
如果使用密码认证的用户,只需要在此窗口中输入windows用户名和密码就可以登录系统;如果使用令牌认证的用户,必须输入windows用户名和passcode(PIN+令牌码)登录系统
使用令牌的用户如果是第一次登录此操作系统,会提示输入windows的密第 14 页
码,以后登录时就不会提示输入windows密码
全部输入正确以后就可以成功登录操作系统。
第 15 页
发布评论