RSASecurID管理员操作手册.docx

RSASecurID管理员操作手册.docx

《RSASecurID管理员操作手册.docx》由会员分享，可在线阅读，更多相关《RSASecurID管理员操作手册.docx（11页珍藏版）》请在冰豆网上搜索。

RSASecurID管理员操作手册

管理员操作手册

安装一、传送过来RSAACE/AgentRSAACE/Server是集中的双因素认证中心，除了响应允许不同的用户访问不同受保护管理员还可以定义安全策略，的认证请求以外，忠实地记录网络资源的权限，设定不同用户的存取时间等；同时RSAACE/Server访问的服务器以及是否通过认证等信用户的每次认证请求，包括用户名、时间、还可以检测恶意企图并做出响应，例息，以备日后审计；另外，RSAACE/Server必须连续输入两个正3此认证码以后自动进入模式，NextToken如用户连续输错次认证码以后自动禁止此帐号。

确的认证码才能通过认证，连续输错10操作系统平台和Windows可以运行于RSAACE/ServerSolaris、AIX、HP-UX有两种RSAACE/Server上。

一个RSAACE/Server可以提供百万级用户数的容量。

。

基本）和高级许可证（许可证：

基本许可证（BaseLicenseAdvancedLicense）器服务台（PrimaryServer）和一从服装许许可证允用户安一台主务器每个域个服务器域（Realm），；（ReplicaServer）而高级许可证允许部署最多6同时这种架构不仅确保了高有效性，由一台主服务器和最多十台从服务器组成，可以适合大型的全球网络拓扑结构。

版安装需求及注意事项1.1.支持的操作系统：

MicrosoftWindowsServer2003EnterpriseR2SP2（32-bit）

MicrosoftWindowsServer2003EnterpriseSP2（32-bit）

MicrosoftWindowsServer2003EnterpriseR2SP2（64-bit）

MicrosoftWindowsServer2003EnterpriseSP2（64-bit）

Note:

RADIUSisnotsupportedon64-bitWindowsandLinuxsystems.

硬件需求：

（32-bit）

（64-bit）

3GB物理内存

文件系统NTFS

磁盘空间60GB支持的浏览器：

Windows系统：

系统：

Linux

系统：

Solaris

注意事项：

必须安装在NTFS分区上。

RSAAuthenticationManager前必RSAAuthenticationManagerRSASecurID以时间同步技术为核心，安装须调准服务器的时间，包括时区、日期和时间。

将所有RSAAuthenticationManager服务器的全名和IP地址写入所有RSAAuthenticationManager服务器的hosts文件中（\winnt\system32\drivers\etc\hosts）。

1.2.安装RSAAuthenticatonManager

1.首先修改AM服务器的hosts文件，将本机的ip地址和主机名加入hosts记录中，主机名需要写成域名形式的，如没有加入域环境可在实际主机名后加上；如需修改计算机名或加入域环境需要重启后生效。

Hosts文件修改路径：

C:

\WINDOWS\system32\drivers\etc\hosts，如下图：

2.查看系统时间是否是标准北京时间，如不是需要修改或同步。

3.插入光盘。

运行启动安装

安装向导启动后点击InstallNow

点击next，

选择“YouareacustomerorderingthisRSAproductfromRSASecurtiyIrelandLimited,fromEurope,AfricaorAsiaPacific”第二个选项表明在亚太地区购买的RSA产品。

选择“Iacceptthetermsofthelicenseagreement”接受许可条款。

选择需要安装RSAAuthenticationManager的类型“PrimaryRSAAuthenticationManager”，选择“Next”继续。

指定RSAAuthenticationManager软件安装目录，然后选择“Next”继续。

如hosts文件已将主机名和ip地址添加完毕，此界面会自动读取本机的完整主机名和ip地址，如没有自动读取，说明hosts文件没有添加正确。

指定RSAAuthenticationManagerLicense路径，Baselicense支持安装一主一从两台设备，选择“Next”继续。

检查license信息是否正确，点击Next继续。

设定超级管理员的用户名和密码，此用户名和密码用于登录管理SecurityConsole,OperationConsole和Self-serviceConsole，默认每3个月需要修改一次，选择“Next”继续。

选择需要的log类型，建议全选，选择“Next”继续。

查看安装摘要，选择“Install”开始安装。

安装过程将持续半个小时至一个小时不等，取决于服务器的性能，直到出现以下界面完成安装。

完成安装，桌面上会出现三个图标，分别是：

Finish点击

RSASecurityConsole

RSASecurityOperationsConsole

RSASelf-ServiceConsole

安装完成后所有RSA必需的服务会自动启动，并且默认设置为开机自动启动。

二、基本运行与维护

管理员可以在服务器本地执行RSASecurityConsole中来进行绝大部分的管理操作：

2.1.令牌相关操作

在Authentication菜单下，管理员可以进行与令牌或种子文件相关的一些操作。

一般来说，系统安装完毕之后，管理员的第一步工作就是导入种子文件。

2.1.1.导入令牌种子文件ImportTokensJob

插入SecurID种子盘，将.XML文件拷入服务器。

选择Authentication–SecurIDTokens-ImportTokensJob–AddNew。

在ImportFile栏中点击“浏览”，选择种子文件的路径，之后输入种子文件的密码,点击SubmitJob。

种子导入成功。

2.1.2.查看令牌ManageSecurIDTokens

在Authentication–SecurIDTokens–ManageExisting中查看已导入的令牌。

选择Unassigned未分配令牌，点击search。

所有未分配的令牌均显示出来。

2.1.3.令牌统计TokenStatistics

在这个菜单下，管理员可以查看目前令牌的相关统计信息，如：

已分配给用户的令牌数、可用的令牌数、已过期的令牌数、即将在90天内过期的令牌数等。

中可以看到当前所有令牌的状Statistics–SecurIDTokens–Authentication

态信息。

2.1.4.修改令牌验证方式ChangeTokentoAuthenticatewith

选中所有令牌，在上方的下拉菜单中选择Don'tRequireSecurIDPIN，可根据用户的要求，将所有令牌设定为无PIN模式。

无PIN模式设置完成。

2.2.用户相关操作

在Identity菜单下，管理员可以进行添加用户、编辑用户、删除用户、查询外部LDAP用户等操作：

2.2.1.查询用户ManageUsers

在Users–ManageExisting选项中，将IdentitySource选为InternalDatabase，点击Search

内置数据库中的所有用户信息RSA显示出2.2.2.分配令牌AssignToken

选中其中一个域用户右侧的箭头，选择SecurIDTokens，查看当前用户已分配的令牌。

如该用户未被分配令牌则显示如上，点击AssignToken给该用户分配新令牌。

在选中的令牌号码打勾，并点击上方的Assign，将这个令牌分配给该用户。

显示令牌分配成功，令牌状态为Actie。

2.2.3.解除令牌绑定UnassignToken

当某个用户不再使用令牌或变更令牌（如测试账号结束测试、用户离职等情况下），管理员可以将令牌解除与该用户的绑定：

点击已绑定用户的令牌右侧的三角，选择UnassignToken，即可解除这块令牌与该用户的绑定。

．

2.3.登录状态的监控

在Reporting–Real-timeActivityMonitor–AuthenticationActivityMonitor中可以监测到所有用户登录的状态，不论登录成功与否都会有记录，这是排查登录失败原因的最重要工具。

打开Monitor后点击左上角的StartMonitor，就会开始自动记录所有的用户登录状态及报错信息。

在排查登录失败的原因时推荐将ACS的Accesslog也打开两边同时排查，以便更准确的定位失败原因。

三、RSASelf-serviceConsole的使用

3.1.自服务系统的使用

管理员和用户均可登录RSASelf-ServiceConsole：

来访问自服务系统，用户可通过它自行解决令牌忘带或遗失等问题，省去管理员很多繁琐的操作。

点击Logon登录自服务控制台。

输入用户名后可自己选择输入静态密码或令牌码，如令牌忘带或丢失可选择输入管理员赋予的静态密码。

第一次登录系统会提出5个问题，这些问题的答案由用户自行回答并牢记，作为用户忘记密码后找回的依据。

登录成功后会显示该用户目前关联令牌的信息及用户信息，右侧MyProfile栏中有ChangeyourPassword选项，可根据用户自己需要更改登录自服务系统的静态密码。

在MySecurIDTokens一栏中，用户可测试自己token的可用性或报告token产生的问题。

点击Testyourtoken后即可测试令牌可用性，在UserID栏中输入用户名，Passcode栏中输入令牌码，点击Test。

如令牌工作正常则提示如上。

如点击Reportaproblemwithyourtoken,则会弹出询问令牌问题的选项，以忘带或遗失为例，点选Tokenistemporarilyunavailableormisplaced。

系统会为该用户随机生成一个可登录密码来代替忘带或遗失的令牌密码，但该密码具有时效性，只可在下面所显示的时间范围内使用。

3.2.汇报问题

如用户的令牌出现问题，可进入Troubleshootaproblem进行问题汇报，输入用户名后会被要求回答三个问题，这些问题的答案均是用户在自服务系统中自己设定的。

．

正确回答问题后会弹出选择出现问题的密码，password为静态密码，SecurIDToken为令牌密码，点选令牌码。

由于一个用户可以绑定多个令牌，所以系统会提示用户选择出现问题的令牌，点击OK。

系统会询问用户出现了什么问题，以令牌暂时不可用为例，选择Tokenistemporarilyunavailableormisplaced。

系统会提示用户输入当前令牌码和下一个令牌码来重新同步令牌的算法。

重新同步算法成功，用户可再试试令牌是否可用。

四、售后服务热线

邮件方式

可以直接发邮件到位于澳洲的RSA亚太地区Aphelpdesk，邮箱是:

，工程师收到邮件后会通过回复邮件或电话的方式询问问题的具体信息。

电话方式

RSA售后服务联系电话如下：

800-810-3777

800-819-0009

400-670-0009（手机拨打）

备注：

因为RSA的helpdesk在澳洲和中国办公，澳洲与中国时差为2个小时，例如，我们上午9点的时候那边就已经是上午11点了。

RSAAPHelpdesk有些工程师可以说流利的中文（就是中国人），所以用中文沟通不会有任何障碍。

记得在号码、公司名称和尽可能详尽的截屏等信息。

license求助时要提供case开．