RSA_SecurID_61_安装配置管理手册.doc

RSA 信息安全有限公司信息安全有限公司 RSA SecurID 6 1 安装配置管理安装配置管理 2006 年年 3 月月 目录目录 1RSA AUTHENTICATION MANAGER 6 1 安装安装 1 1 1RSA AUTHENTICATION MANAGER 6 1 软件安装系统需求 1 1 2RSA AUTHENTICATION MANAGER 安装前注意事项 1 1 3RSA AUTHENTICATON MANAGER 安装过程 1 2IBM AIX 平台的平台的 ACE SERVER 安安装装与配置说明与配置说明 6 3安装安装 RSA AUTHENTICATION AGENT FOR WINDOWS 6 1 11 3 1安装前注意事项 11 3 2RSA AUTHENTICATION AGENT FOR WINDOWS安装过程 11 4配置配置 RSA AUTHENTICATION MANAGER 18 4 1启动 RSA AUTHENTICATION MANAGER 18 4 2添加令牌种子 19 4 3创建用户 20 4 4添加代理软件服务器 21 4 5测试 RSA AUTHENTICATION AGENT安装 22 5安装安装 RSA RADIUS SERVER 24 5 1安装前注意事项 24 5 2安装过程 24 6实施实施 SECURID 的切换步骤的切换步骤 32 6 1WINDOWS操作系统 32 6 2AIX 操作系统 33 7用户登录过程用户登录过程 33 7 1WINDOWS操作系统 33 7 2AIX 操作系统 34 8故障应急处理故障应急处理 35 8 1WINDOWS操作系统 35 8 2AIX 操作系统 35 9RSA AUTHENTICATION MANAGER 负载均衡原理负载均衡原理 35 10安装从安装从 RSA ACE SERVER 36 11ACE SERVER 数据库备份与恢复数据库备份与恢复 37 12ACE SERVER 管理员注意事项管理员注意事项 38 13常见问题解答常见问题解答 39 13 1RSA AUTHENTICATION MANAGER 6 1 需要打开的端口 39 13 2RSA AUTHENTICATION AGENT 6 1 需要打开的端口 39 13 3如何修改 PRIMARY ACE SERVER的主机名或 IP 地址 39 13 4ACE SERVER 5 0 1 LICENSE升级步骤 39 13 5SECURID FOR WINDOWS 的操作系统密码集成功能无法实现 40 RSA 信息安全有限公司上海办事处第 1 页 1RSA Authentication Manager 6 1 安装 1 1 RSA Authentication Manager 6 1软件安装系统需求 支持的操作系统 Microsoft Windows 2000 Server or Advanced Server Service Pack 4 Microsoft Windows 2003 Standard Server or Enterprise Server 硬件需求 Intel Pentium 733 MHz 处理器 256 MB 物理内存 NTFS 文件系统 200 MB 磁盘空间 1 2 RSA Authentication Manager 安装前注意事项 1 RSA Authentication Manager 必须安装在 NTFS 分区上 2 RSA SecurID 以时间同步技术为核心 安装 RSA Authentication Manager 以 前必须调准服务器的时间 包括时区 日期和时间 3 将所有 RSA Authentication Manager 服务器的全名和 IP 地址写入所有 RSA Authentication Manager 服务器的 hosts 文件中 winnt system32 drivers etc hosts 1 3 RSA Authenticaton Manager 安装过程 插入 RSA Authentication Manager 6 1 光盘 运行 aceserv windows setup exe 启动安装 RSA 信息安全有限公司上海办事处第 2 页 如果将 ACE Server 安装在中文 Windows 操作系统上会出现以上对话框 选择 Chinese s 安装中文数据库 在添加用户帐号时可以在姓和名字字段中输入中文 选择 Next 继续 选择 You are a customer ordering this RSA product from RSA Securtiy Inc from People s Republic China 第一个选项表明在中国购买的 RSA 产品 RSA 信息安全有限公司上海办事处第 3 页 选择 I accept the terms of the license agreement 接受许可条款 指定 RSA Authentication Manager 软件安装目录 然后选择 Next 继续 RSA 信息安全有限公司上海办事处第 4 页 选择需要安装 RSA Authentication Manager 的类型 Primary RSA Authentication Manager 选择 Next 继续 RSA 信息安全有限公司上海办事处第 5 页 指定 RSA Authentication Manager License 路径 选择 Next 继续 选择 Install 开始安装 直到出现以下界面完成安装 安装完 RSA Authentication Manager 以后重新启动计算机 RSA 信息安全有限公司上海办事处第 6 页 2IBM AIX平台的ACE Server安装与配置说明 1 在 在IBM AIX系统平台安装系统平台安装ACE Server的注意事项 的注意事项 RSA SecurID以时间同步技术为核心 安装Primary ACE Server以前必须调准服 务器的时间 包括时区 日期和时间 将所有ACE Server的机器全名和IP地址写入所有ACE Server服务器的hosts文件 中 etc hosts 2 ACE Server for IBM AIX的安装说明的安装说明 RSA ACE Server 6 1支持的系统平台为IBM AIX 5L v 5 2 on PowerPC and RISC 6000 processors 在安装RSA ACE Server之前安装以下的操作系统补丁 IBM AIX 5L v5 2 APAR IY 44173 具体的补丁安装方法如下 1 访问IBM网站 2 选择服务器硬件平台 操作系统以及版本号 如下图 3 在搜索栏中输入需要的补丁号码 4 选择找到的补丁 点击继续 RSA 信息安全有限公司上海办事处第 7 页 5 在AIX服务器上运行oslevel r 并在浏览器中选择相应的级别 6 在AIX服务器上运行lslpp Lc 并将输出结果下载到浏览器客户端 在页面中指 定路径 7 下载完整的补丁文件并上传到AIX服务器 8 运行smit update all并指定上传文件目录完成安装 9 重新启动AIX服务器 对于IBM AIX主机安装ACE Server具体步骤如下 1 以 root 账号登录 Primary ACE Server 主机 2 在 AIX 主机上必须修改内核参数 etc security limits fsize4194303 3 校准服务器时钟 4 添加 Primary 和 Replica ACE Server 的 FQDN 机器名和 IP 地址到 etc hosts 文件 5 添加以下服务到 etc services 文件 securid 5500 udp securidprop 00 5505 tcp securidprop 01 5506 tcp securidprop 02 5507 tcp securidprop 03 5508 tcp securidprop 04 5509 tcp RSA 信息安全有限公司上海办事处第 8 页 securidprop 05 5510 tcp securidprop 06 5511 tcp securidprop 07 5512 tcp securidprop 08 5513 tcp securidprop 09 5514 tcp securidprop 10 5515 tcp sdlog 5520 tcp sdserv 5530 tcp sdreport 5540 tcp sdadmind 5550 tcp sdlockmgr 5560 tcp sdcommd 5570 tcp tacacs 49 tcp TACACS radius 1645 udp 6 创建顶级目录并分配硬盘空间 7 创建安装临时目录 8 AIX mount o ro v cdrfs dev cd0 cdrom 9 复制许可证文件到临时目录 10 进入临时目录 运行 cdrom aceserv hp sdsetup primary 并指定顶级目录 11 启动 ACE Server 并进入管理界面 var ace prog sdconnect start 数据库访问进程 var ace prog aceserver start ACE Server 服务进程 var ace prog sdadmin 导入令牌种子 为 root 账号分配令牌 定义 Agent Host 并指定访问权限 运行 sdshell 使用令牌码进行测试 3 IBM AIX平台的平台的ACE Server配置说明配置说明 1 启动 RSA ACE Server 启动 运行 ACEDIR ace prog sdconnect start 运行 ACEDIR ace prog aceserver start 如果希望每次系统启动时自动启动 RSA ACE Server 把这两条命令写入 Unix 自动启 动脚本 管理 运行 ACEDIR ace prog sdadmin 进入 RSA ACE Server 字符菜单 RSA 信息安全有限公司上海办事处第 9 页 停止 运行 ACEDIR ace prog aceserver stop 运行 ACEDIR ace prog sdconnect stop 运行 ACEDIR ace prog sdconnect clean 2 安装 Remote Administration Remote Administration 是 SecurID 管理员日常需要使用的主要管理界面 Remote Administration 建议安装在 Windows 2000 Professional Server and Advanced Server 或者 Windows XP Professional 建议主机可用空间 20 MB 以上 安装步骤如下 将Primary Server 上的 sdconf rec 和 server cer 文件拷入软盘 在Windows remote管理机上插入RSA ACE Server 5 2 CD 插入复制了sdconf rec 和server cer 文件的软盘 并在RSA ACE Server CD中的 aceserv nt i386 目录下 运行setup exe 文件 根据菜单提示进行安装 直至出现Input对话框导入sdconf rec 和server cer文件点击 Next选项 根据安装对话框打开后选择New Remote Administration 点击Next选项 直至安装步 骤结束 如果没有使用DNS 请将ACE Server的机器名和IP地址写入Remote Administration主机 的hosts文件在Windows NT Windows 2000 or Windows XP Professional主机上的hosts文 件位于 SystemRoot System32 drivers etc 目录 Remote Admin登录时可以使用root帐号 输入PASSCODE即可 3安装RSA Authentication Agent for Windows 6 1 3 1安装前注意事项 1 安装任何 RSA Authentication Agent 代理软件之前 请到 RSA 网站下载最新 的代理软件 2 如果 RSA Authentication Agent 与 RSA Authentication Manager 安装在不同 计算机上 需要首先复制 Authentication Manager 上的 ace data sdconf rec 文件到 RSA Authentication Agent 上的 winnt system32 目录 3 2 RSA Authentication Agent for Windows安装过程 插入 RSA Authentication Agent 6 1 for Windows 光盘 运行 aceclnt nt i386 RSA Authentication Agent for Windows msi 启动安装 RSA 信息安全有限公司上海办事处第 10 页 选择 You are a customer ordering this RSA product from RSA Securtiy Inc from People s Republic China 第一个选项表明在中国购买的 RSA 产品 RSA 信息安全有限公司上海办事处第 11 页 选择 I accept the terms of the license agreement 接受许可条款 选择定制安装类型 RSA 信息安全有限公司上海办事处第 12 页 去除 Domain Authentication Client 选项 选择 Local Authentication Client 然 后选择 Next 继续 指定 sdconf rec 文件所在的目录 RSA 信息安全有限公司上海办事处第 13 页 指定离线登录数据存放的目录 指定 RSA Authentication Agent 代理软件安装目录 RSA 信息安全有限公司上海办事处第 14 页 测试的话 可以先不启用操作系统的令牌认证 使用缺省值 选择 Next 继续 选择 Install 开始安装 直到出现以下界面 RSA 信息安全有限公司上海办事处第 15 页 重新启动计算机 RSA 信息安全有限公司上海办事处第 16 页 4配置RSA Authentication Manager 4 1启动RSA Authentication Manager 选择开始 RSA Security RSA Authentication Manager Control Panel 点击左边栏中 的 Start Stop RSA Auth Mgr Service 然后在右边栏中选择 Start All 来启动 RSA Authentication Manager 如果希望每次系统启动时自动启动 RSA Authentication Manager 在 Auto Start 选项下 选择 Edit 按照如图选中 Automatically start services on system startup 选择开始 RSA Security RSA Authentication Manager Host Mode 可以进入 RSA Authentication Manager 的管理界面 RSA 信息安全有限公司上海办事处第 17 页 4 2添加令牌种子 从 RSA Authentication Manager Host Mode 管理控制台上选择 Token Import Token 插入 SecurID 种子盘 选择 xml 文件导入令牌种子 RSA 信息安全有限公司上海办事处第 18 页 4 3创建用户 选择 User Add User 输入用户名字 姓和登录名信息 选择 Assign Token 分配令牌并选择 Yes 在 RSA ACE Server 数据库中存储用 户信息 输入令牌背面的序列号或者点击 Tokens 从有效的令牌中选择为分配的 令牌给当前用户 RSA 信息安全有限公司上海办事处第 19 页 4 4添加代理软件服务器 选择 Agent Host Add Agent Host 在 Name 字段中输入 RSA ACE Agent 的计算机全名 按 Tab 键 程序会自动得到此计算机的 IP 地址 无法 自动找到 IP 地址的话可以手工输入 在 Agent type 中选择 Net OS Agent 表示 此计算机为 Windows 操作系统 选择 Open to all Locally Known Users 所有通过 令牌认证的用户均可访问此计算机 RSA 信息安全有限公司上海办事处第 20 页 4 5测试RSA Authentication Agent安装 选择开始 RSA Security RSA Security Center 进入客户端管理界面 在左边栏中选 择 Authentication Test 然后选择右边栏中的 Test 测试安装是否正确 在认证窗口中输入用户名和令牌上显示的当前令牌码 RSA 信息安全有限公司上海办事处第 21 页 第一次成功登录以后 系统提示用户必须创建 PIN 码 选择 I Will Create PIN 自己 创建 PIN 码 如果选择 RSA ACE Server Will Generate PIN 的话 RSA ACE Server 会自动产生 4 到 8 位的 PIN 码 在这里我们选择 I Will Create PIN 成功创建完 PIN 码以后 RSA Authentication Agent 软件提示 PIN 码创建成功 以后正常登录时 必须在 Enter PASSCODE 字段中先输入 4 到 8 位的 PIN 码 然 后紧接着输入六位的令牌码 必须等到令牌跳到下一个号码时输入才有效 显示 Authentication successful 时表示通过认证测试 RSA 信息安全有限公司上海办事处第 22 页 5安装RSA Radius Server 5 1 安装前注意事项 在安装 RSA Radius Server 之前请启动 RSA Authentication Manager 否则会造成在安 装完 RSA Radius Server 以后 RSA Authentication Manager 无法启动 5 2 安装过程 插入 RSA Radius Server 光盘 运行 radius windodws RSA RADIUS Server mis 进行安 装 选择 You are a customer ordering this RSA product from RSA Securtiy Inc from People s Republic China 第一个选项表明在中国购买的 RSA 产品 RSA 信息安全有限公司上海办事处第 23 页 选择 I accept the terms of the license agreement 接受许可条款 选择 Complete 安装 安装所有程序 RSA 信息安全有限公司上海办事处第 24 页 选择 Install as Primary RSA RADIUS Server 输入 Primary Server Secret 用来加密 RSA Radius Server 和 RSA Authentication Manager 之间的通讯 RSA 信息安全有限公司上海办事处第 25 页 选择 Yes start the RSA RADIUS service 在安装完软件自动启动 选择 Install 开始安装 直到出现安装完成界面 RSA 信息安全有限公司上海办事处第 26 页 RSA 信息安全有限公司上海办事处第 27 页 6实施SecurID的切换步骤 6 1 Windows操作系统 在操作系统中创建 RSA 组 将需要使用令牌认证的用户添加到 RSA 组中 进入 RSA Security Center 选择 local 表单 在 challenge setting 中指定 users in RSA RSA 信息安全有限公司上海办事处第 28 页 重新启动计算机 6 2 AIX操作系统 从命令行运行 smit 选择 Security and Users 选择 users 选择 chang show characters of a user 指定用户名 修改 PRIMARY authentication method SECURID 7用户登录过程 7 1 Windows操作系统 启动操作系统 并且按 ctl alt del 打开登录窗口 如果使用密码认证的用户 只需要在此窗口中输入 windows 用户名和密码就可以 登录系统 如果使用令牌认证的用户 必须输入 windows 用户名和 passcode PIN 令牌码 登录系统 使用令牌的用户如果是第一次登录此操作系统 会提示输入 windows 的密码 以 后登录时就不会提示输入 windows 密码 RSA 信息安全有限公司上海办事处第 29 页 全部输入正确以后就可以成功登录操作系统 7 2 AIX操作系统 用户在命令行输入 telnet hostname 在 Enter USERNAME 后面输入用户名 在 Enter PASSCODE 后面输入正确的 passcode 通过令牌认证就可以登录到 unix 操作系统中 8故障应急处理 8 1 Windows操作系统 由于在 ACE Agent for Windows 中启动了离线认证功能 当用户每次在线登录时都会 运算出 14 天每分钟的令牌码 加密以后缓存在 ACE Agent 客户端 当由于网络故障 无法联系到认证服务器时 用户还是可以通过 passcode 到本地的缓存区认证 对用户 认证不会有任何影响 RSA 信息安全有限公司上海办事处第 30 页 8 2 AIX操作系统 在每台 aix 上都必须保留一个密码认证帐号 此帐号平时不使用 只有在网络发生故 障的时候可以通过此帐号登录系统 通过 SMIT 工具修改用户的认证方式 改成操作 系统的密码认证即可 9RSA Authentication Manager 负载均衡原理 RSA ACE Server 可以运行于 Solaris AIX HP UX 和 Windows 操作系统平台上 一个 RSA ACE Server 可以提供百万级用户数的容量 RSA ACE Server 有两种许可证 基 本许可证 Base License 和高级许可证 Advanced License 基本许可证允许用户 安装一台主服务器 Primary Server 和一台从服务器 Replica Server 而高级许可 证允许部署最多 6 个服务器域 Realm 每个域由一台主服务器和最多十台从服务 器组成 这种架构不仅确保了高有效性 同时可以适合大型的全球网络拓扑结构 Primary ACE Server 和 Replica ACE Server 两台服务器之间会作自动同步 所有信息 的修改全部在 Primary ACE Server 上完成 Primary ACE Server 会将变化信息定时同 步到 Replica ACE Server 上 并确保信息的一致性 同时两台服务器可以同时提供认 证服务 任何一台服务器发生故障不会导致认证服务的中断 当 Primary ACE Server 故障时 信息无法修改 可以考虑将 Replica ACE Server 提升为 Primary ACE Server 或者将 Primary ACE Server 通过以前的备份进行恢复 RSA ACE Server 实施步骤包括以下几步 管理员需要首先需要选择 RSA ACE Server 的操作系统 固定两台认证服务器的机器 名和 IP 地址 在第一台认证服务器上安装 Primary ACE Server 安装过程中需要 License 文件 在 Primary ACE Server 上创建第二台认证服务器的安装包 拷贝到第二台认证服务器 安装 Replica ACE Server 启动 RSA ACE Server 在 Primary ACE Server 上导入令牌的种子 在 Primary ACE Server 上创建所有的用户帐号 并且指定令牌种子 在 Primary ACE Server 上定义所有的受保护的 Agent 资源 在 Primary ACE Server 上创建 Site 和组 将用户归入相应的 Site 和组 集中对组分配 访问权限 RSA ACE Agent 功能类似于保安人员 用来实施 RSA ACE Server 系统建立的安全策 略 确保只有经过认证的合法人员才能访问相关资源 RSA ACE Agent 是一种设备专 用代理软件 已经内置在大多数业内主流的网络设备和浏览器以及 Web 服务器软件 系统中 允许安全管理员通过鼠标点击 而不是编写代码 为用户和保护的资源选择 和应用相应的设置 RSA ACE Agent 软件版本 5 0 以上会通过发送一个时间请求包给每一个认证服务器 然后根据每个服务器的响应时间来决定不同的优先级 通过这种机制既可以解决 RSA ACE Server 可能发生的单点故障问题 还可以实现自动负载均衡 最快响应的服务器 获得最高的优先级 并接收来最多的请求 而其它较低的优先级的认证服务器则获得 较少的认证请求 这种安排一直持续到 RSA ACE Agent 软件发送另外一个时间请求 包 如果服务器在下一次时间请求响应发生次序变化 RSA ACE Agent 也会相应地改 变优先级 RSA 信息安全有限公司上海办事处第 31 页 10安装从RSA ACE Server 停止 Primary ACE Server 上的服务 运行 Replication Management 创建 Replica 服务器安装包 将 ACEDATA replica package 复制到 Replica ACE Server 上 运行 ACE Sserver 安装程序安装 Replica ACE Server 在制定许可证路径时制定所复制的 license 目录 其余选项与安装 Primary ACE Server 相同 重新启动操作系统 RSA 信息安全有限公司上海办事处第 32 页 11ACE Server数据库备份与恢复 对于认证服务器的服务器数据库 server database 和日志数据库 log database 的备 份 可以设置认证服务器定时按照所选方式将日志数据库保存到归档的文件中 另外 还可以选择在线备份或者离线备份 离线备份过程 以管理员身份登录操作系统 确保需要备份的服务器上没有运行任何认证服务器程序 备份 ACEDATA 下的所有以 sdlog 开头的日志数据库文件 备份 ACEDATA 下的所有以 sdserv 开头的服务器数据库文件 在线备份过程 运行命令行程序 sdbkup online ace data sdserver 备份服务器数据库 在线备份和离线备份这两种方式均支持命令行方式 可以将这些命令放置在定时程序 中 实现每日定时的自动备份 减轻管理员的负担 认证服务器恢复策略认证服务器恢复策略 一旦服务器硬件发生故障或者数据库出现问题 可以根据不同情况按照以下步骤恢复 或者替换发生故障的硬件或者数据库 替换备份认证服务器数据库 在主认证服务器上重新创建备份服务器包 重新启动备份认证服务器的服务进 程 DBPush 的灾难恢复机制会将新的数据库发布到备份认证服务器 替换备份认证服务器硬件 使用相同的机器名和 IP 地址重新安装新的操作系统 按照替换备份认证服务 器数据库的方法完成整个系统的恢复 替换主认证服务器数据库 从所有备份认证服务器中选出最新更新的一台服务器 导出数据库数据后再导 入主证服务器 重新更新所有备份服务器包即可 替换主认证服务器硬件 如果主认证服务器发生硬件故障无法工作 必须选择一台备份认证服务器 将它提升 到主认证服务器 将备份认证服务器的机器名和 IP 地址改成出错的主认证服务器的 机器名和 IP 地址 然后为每个备份认证服务器重新创建备份服务器包即可 RSA 信息安全有限公司上海办事处第 33 页 12ACE Server管理员注意事项 尽可能多的在应用程序和用户中使用 RSA SecurID 双因素身份认证 例如拨 号 VPN Web Telnet 或者 FTP 到 RSA SecurCare Online 网站上 注册 接收 有关产品升级和安全漏洞补丁等方面的通告 通过互联网上的 NTP 服务确保 ACE Server 服务器时间的精确 在 ACE Server 安装过程中 当前用户将会被添加到 ACE Server 数据库中并被 设置成 ACE Server 的管理员 不要将此用户删除 否则此用户尽管能够登录 操作系统 但是无法管理 ACE Server 当需要将分配改用户的令牌收回时 请使用 Unassign token 如果选择 Remove Token 将彻底删除此令牌在 ACE Server 数据库中的种子 需要 重新导入 RSA 信息安全有限公司上海办事处第 34 页 13常见问题解答 13 1 RSA Authentication Manager 6 1 需要打开的端口 5500 UDP sdauth 5550 tcp sdadmind 5520 tcp sdlog 5530 tcp sdlog 5580 tcp sdoad 13 2 RSA Authentication Agent 6 1 需要打开的端口 1024 to 65535 UDP 13 3如何修改Primary ACE Server的主机名或IP地址 1 取消 RSA ACE Server 的自动启动选项并且停止所有 RSA ACE Server 服务 2 运行 Replication Management 选择 Primary 点击 Details 修改