RSASecurID管理员操作手册

1、RSA SecurID 7.1管理员手册RSA SSecuurIDD 7.1管理员操作作手册目 录TOC o 1-3 h z u HYPERLINK l _Toc294256816 一、RSSA 77.1安安装 PAGEREF _Toc294256816 h 1 HYPERLINK l _Toc294256817 1.1.RSAA 7.1 WWinddowss版安装装需求及及注意事事项 PAGEREF _Toc294256817 h 1 HYPERLINK l _Toc294256818 1.2.安装RSSA AAuthhentticaatonn Maanagger PAGEREF _Toc2

2、94256818 h 2 HYPERLINK l _Toc294256819 二、RSSA 77.1基基本运行行与维护护 PAGEREF _Toc294256819 h 11 HYPERLINK l _Toc294256820 2.1.令牌相相关操作作 PAGEREF _Toc294256820 h 11 HYPERLINK l _Toc294256821 2.1.11.导入令令牌种子子文件IImpoort Tokkenss Joob PAGEREF _Toc294256821 h 11 HYPERLINK l _Toc294256822 2.1.22.查看令令牌 MManaage Seccu

3、rIID TTokeens PAGEREF _Toc294256822 h 13 HYPERLINK l _Toc294256823 2.1.33.令牌统统计Tookenn Sttatiistiics PAGEREF _Toc294256823 h 14 HYPERLINK l _Toc294256824 2.1.44.修改令令牌验证证方式CChannge Tokken to Autthennticcatee wiith PAGEREF _Toc294256824 h 15 HYPERLINK l _Toc294256825 2.2.用户相相关操作作 PAGEREF _Toc294256825

4、 h 16 HYPERLINK l _Toc2942568226 2.22.1.查询用用户Maanagge UUserrs PAGEREF _Toc294256826 h 16 HYPERLINK l _Toc294256827 2.2.22.分配令令牌Asssiggn TTokeen PAGEREF _Toc294256827 h 17 HYPERLINK l _Toc294256828 2.2.33.解除令令牌绑定定Unaassiign Tokken PAGEREF _Toc294256828 h 19 HYPERLINK l _Toc294256829 2.3.登录状状态的监监控 PAG

5、EREF _Toc294256829 h 20 HYPERLINK l _Toc294256830 三、RSSA SSelff-seerviice Connsolle的使使用 PAGEREF _Toc294256830 h 21 HYPERLINK l _Toc294256831 3.1.自服务务系统的的使用 PAGEREF _Toc294256831 h 21 HYPERLINK l _Toc294256832 3.2.汇报问问题 PAGEREF _Toc294256832 h 26 HYPERLINK l _Toc294256833 四、售后后服务热热线 PAGEREF _Toc29425

6、6833 h 29 HYPERLINK l _Toc294256834 4.1邮邮件方式式 PAGEREF _Toc294256834 h 29 HYPERLINK l _Toc294256835 4.22电话方方式 PAGEREF _Toc294256835 h 29第33页RSA 77.1安安装RSA AACE/Serrverr是集中中的双因因素认证证中心，除除了响应应RSAA ACCE/AAgennt传送送过来的的认证请请求以外外，管理理员还可可以定义义安全策策略，允允许不同同的用户户访问不不同受保保护网络络资源的的权限，设设定不同同用户的的存取时时间等；同时RRSA ACEE/Seer

7、veer忠实实地记录录用户的的每次认认证请求求，包括括用户名名、时间间、访问问的服务务器以及及是否通通过认证证等信息息，以备备日后审审计；另另外，RRSA ACEE/Seerveer还可可以检测测恶意企企图并做做出响应应，例如如用户连连续输错错3此认认证码以以后自动动进入NNexttTokken模模式，必必须连续续输入两两个正确确的认证证码才能能通过认认证，连连续输错错10次次认证码码以后自自动禁止止此帐号号。RSA AACE/Serrverr可以运运行于SSolaariss、AIIX、HHP-UUX和WWinddowss操作系系统平台台上。一一个RSSA AACE/Serrverr可以提提供

8、百万万级用户户数的容容量。RRSA ACEE/Seerveer有两两种许可可证：基基本许可可证（BBasee Liccensse）和和高级许许可证（AAdvaanceed LLiceensee）。基基本许可可证允许许用户安安装一台台主服务务器（PPrimmaryy Serveer）和和一台从从服务器器（Reepliica Serrverr）；而而高级许许可证允允许部署署最多66个服务务器域（Realm），每个域由一台主服务器和最多十台从服务器组成，这种架构不仅确保了高有效性，同时可以适合大型的全球网络拓扑结构。RSA 77.1 Winndowws版安安装需求求及注意意事项支持的操作作系统：Mi

9、croosofft WWinddowss Seerveer 220033 Ennterrpriise R2 SP22 (332-bbit)Microosofft WWinddowss Seerveer 220033 Ennterrpriise SP22 (332-bbit)Microosofft WWinddowss Seerveer 220033 Ennterrpriise R2 SP22 (664-bbit)Microosofft WWinddowss Seerveer 220033 Ennterrpriise SP22 (664-bbit)Note: RAADIUUS iis nnot

10、suppporrtedd onn 644-biit WWinddowss annd Linnux sysstemms.硬件需求：Intell Xeeon 2.88 GHHz oor eequiivallentt (332-bbit)Intell Xeeon 2.88 GHHz oor eequiivallentt (664-bbit)3GB 物物理内存存NTFS 文件系系统60GB 磁盘空空间支持的浏览览器：Windoows系系统：Interrnett Exxploorerr 6.0 wwithh SPP2 ffor Winndowws XXPInterrnett Exxploorerr 7.

11、0 ffor Winndowws XXP aand Winndowws VVisttaFireffox 2.00Linuxx系统：Fireffox 2.00Solarris系系统：Fireffox 2.00Mozillla 1.007注意事项：RSA AAuthhentticaatioon MManaagerr 必须须安装在在NTFFS分区区上。RSA SSecuurIDD以时间间同步技技术为核核心，安安装 RRSA Autthennticcatiion Mannageer 前前必须调调准服务务器的时时间，包包括时区区、日期期和时间间。将所有 RRSA Autthennticcatiion M

12、annageer 服服务器的的全名和和IP地地址写入入所有 RSAA Auutheentiicattionn Maanagger 服务器器的hoostss文件中中（wwinnntssysttem332ddrivverssettchhostts）。 安装RSSA AAuthhentticaatonn Maanagger 首先修改AAM服务务器的hhostts文件件，将本本机的iip地址址和主机机名加入入hossts记记录中，主主机名需需要写成成域名形形式的，如如没有加加入域环环境可在在实际主主机名后后加上.comm；如需需修改计计算机名名或加入入域环境境需要重重启后生生效。HHostts文件件修

13、改路路径：CC:WWINDDOWSSsyysteem322drriveersetcchoostss，如下下图：查看系统时时间是否否是标准准北京时时间，如如不是需需要修改改或同步步。插入RSAA Auutheentiicattionn Maanagger 7.1光盘盘。运行auttoruun.eexe启启动安装装安装向导启启动后点点击Innstaall Noww点击nexxt，选择“Yoou aare a ccusttomeer oordeerinng tthiss RSSA pprodductt frrom RSAA Seecurrtiyy Irrelaand Limmiteed, froom

14、 EEuroope, Affricca oor AAsiaa Paaciffic”第二个个选项表表明在亚亚太地区区购买的的RSAA产品。选择“I accceptt thhe ttermms oof tthe liccensse aagreeemeent”接受许许可条款款。选择需要安安装RSSA AAuthhentticaatioon MManaagerr的类型型“Priimarry RRSA Autthennticcatiion Mannageer”，选择择“Nexxt”继续。指定RSAA Auutheentiicattionn Maanagger软软件安装装目录，然然后选择择“Nexxt”继

15、续。如hostts文件件已将主主机名和和ip地地址添加加完毕，此此界面会会自动读读取本机机的完整整主机名名和ipp地址，如如没有自自动读取取，说明明hossts文文件没有有添加正正确。指定RSAA Auutheentiicattionn Maanagger Liccensse路径径，Baase liccensse支持持安装一一主一从从两台设设备，选选择“Nexxt”继续。检查liccensse信息息是否正正确，点点击Neext继继续。设定超级管管理员的的用户名名和密码码，此用用户名和和密码用用于登录录管理SSecuuritty CConssolee, OOperratiion Connsoll

16、e和SSelff-seerviice Connsolle，默默认每33个月需需要修改改一次，选择“Next”继续。选择需要的的logg类型，建建议全选选，选择择“Nexxt”继续。查看安装摘摘要，选选择“Insstalll”开始安安装。 安装过程将将持续半半个小时时至一个个小时不不等，取取决于服服务器的的性能，直到出现以下界面完成安装。点击Finnishh完成安安装，桌桌面上会会出现三三个图标标，分别别是：RSA SSecuuritty CConssolee HYPERLINK :7004/IMS-AA-IDP/logonPrompt.do?action=nvPreLogin httpss:/

17、nicce-rrsa-vm001-001.ccom:70004/IIMS-AA-IDPP/loogonnProomptt.doo?acctioon=nnvPrreLooginnRSA SSecuuritty OOperratiionss Coonsoole HYPERLINK :7072/operations-console/ httpss:/nicce-rrsa-vm001-001.ccom:70772/ooperratiionss-coonsoole/RSA SSelff-Seerviice Connsolle HYPERLINK :7004/console-selfservice/ ht

18、tpss:/nicce-rrsa-vm001-001.ccom:70004/cconssolee-seelfsservvicee/安装完成后后所有RRSA必必需的服服务会自自动启动动，并且且默认设设置为开开机自动动启动。RSA 77.1基本本运行与维维护管理员可以以在服务务器本地地执行RSSA SSecuuritty CConssolee中来进进行绝大大部分的的管理操操作： HYPERLINK :7004/IMS-AA-IDP/logonPrompt.do?action=nvPreLogin htttps:/nnicee-rssa-vvm011-011.coom:770044/IMMS-AAA

19、-IIDP/loggonPPrommpt.do?acttionn=nvvPreeLoggin令牌相关操操作在Authhentticaatioon菜单单下，管管理员可可以进行行与令牌牌或种子子文件相相关的一一些操作作。一般般来说，系系统安装装完毕之之后，管管理员的的第一步步工作就就是导入入种子文文件。导入令牌种种子文件件Impportt Tookenns JJob插入SeccurIID种子子盘，将将.XMML文件件拷入服服务器。选选择Auutheentiicattionn SeecurrID Tokkenss - Impportt Tookenns JJob Addd NNew。在Impoort

20、 Fille栏中中点击“浏览”，选择择种子文文件的路路径，之之后输入入种子文文件的密密码,点点击Suubmiit JJob。种子导入成成功。查看令牌 Mannagee SeecurrID Tokkenss在Authhentticaatioon SeecurrID Tokkenss Maanagge EExisstinng中查查看已导导入的令令牌。选择Unaassiigneed未分分配令牌牌，点击击seaarchh。所有未分配配的令牌牌均显示示出来。令牌统计TTokeen SStattistticss在这个菜单单下，管管理员可可以查看看目前令令牌的相相关统计计信息，如如：已分分配给用用户的令令牌

21、数、可可用的令令牌数、已已过期的的令牌数数、即将将在900天内过过期的令令牌数等等。Autheentiicattionn SeecurrID Tokkenss Sttatiistiics中中可以看看到当前前所有令令牌的状状态信息息。修改令牌验验证方式式Chaangee Tookenn too Auutheentiicatte wwithh选中所有令令牌，在在上方的的下拉菜菜单中选选择Doont RRequuiree SeecurrID PINN，可根据据用户的的要求，将将所有令令牌设定定为无PPIN模模式。无PIN模模式设置置完成。用户相关操操作在Idenntitty菜单单下，管管理员可可以进

22、行行添加用用户、编编辑用户户、删除除用户、查查询外部部LDAAP用户户等操作作：查询用户MManaage Useers在Userrs Maanagge EExisstinng选项项中，将将Ideentiity Souurcee选为IInteernaal DDataabasse，点点击Seearcch显示出RSSA内置置数据库库中的所所有用户户信息分配令牌AAssiign Tokken选中其中一一个域用用户右侧侧的箭头头，选择择SeccurIID TTokeens，查查看当前前用户已已分配的的令牌。如该用户未未被分配配令牌则则显示如如上，点点击Asssiggn TTokeen给该该用户分分配新令

23、令牌。在选中的令令牌号码码打勾，并并点击上上方的AAssiign，将将这个令令牌分配配给该用用户。显示令牌分分配成功功，令牌牌状态为为Acttie。解除令牌绑绑定Unnasssignn Tookenn当某个用户户不再使使用令牌牌或变更更令牌（如如测试账账号结束束测试、用用户离职职等情况况下），管管理员可可以将令令牌解除除与该用用户的绑绑定：点击已绑定定用户的的令牌右右侧的三三角，选选择Unnasssignn Tookenn，即可可解除这这块令牌牌与该用用户的绑绑定。登录状态的的监控在Repoortiing Reeal-timme AActiivitty MMoniitorr Auutheent

24、iicattionn Acctivvityy Moonittor中中可以监监测到所所有用户户登录的的状态，不不论登录录成功与与否都会会有记录录，这是是排查登登录失败败原因的的最重要要工具。打开Monnitoor后点点击左上上角的SStarrt MMoniitorr，就会会开始自自动记录录所有的的用户登登录状态态及报错错信息。在排查登录录失败的的原因时时推荐将将ACSS的Acccesss llog也也打开两两边同时时排查，以以便更准准确的定定位失败败原因。RSA SSelff-seerviice Connsolle的使使用自服务系统统的使用用管理员和用用户均可可登录RRSA Sellf-SSer

25、vvicee Coonsoole： HYPERLINK :7004/console-selfservice/ htttps:/nnicee-rssa-vvm011-011.coom:770044/coonsoole-sellfseerviice/ 来访问问自服务务系统，用用户可通通过它自自行解决决令牌忘忘带或遗遗失等问问题，省省去管理理员很多多繁琐的的操作。点点击Loog oon登录录自服务务控制台台。输入用户名名后可自自己选择择输入静静态密码码或令牌牌码，如如令牌忘忘带或丢丢失可选选择输入入管理员员赋予的的静态密密码。第一次登录录系统会会提出55个问题题，这些些问题的的答案由由用户自自行回答

26、答并牢记记，作为为用户忘忘记密码码后找回回的依据据。登录成功后后会显示示该用户户目前关关联令牌牌的信息息及用户户信息，右右侧Myy Prrofiile栏栏中有CChannge youur PPasssworrd选项项，可根根据用户户自己需需要更改改登录自自服务系系统的静静态密码码。在My SSecuurIDD Tookenns一栏栏中，用用户可测测试自己己tokken的的可用性性或报告告tokken产产生的问问题。点击Tesst yyourr tookenn后即可可测试令令牌可用用性，在在Useer IID栏中中输入用用户名，PPassscodde栏中中输入令令牌码，点点击Teest。如令牌工作作正常则则提示如如上。如点击Reeporrt aa prrobllem witth yyourr tookenn, 则则会弹出出询问令令牌问题题的选项项，以忘忘带或遗遗失为例例，点选选Tokken is temmporrariily unaavaiilabble or missplaacedd。系统会为该该用户随随机生成成一个可可登录密密码来代代替忘带带或遗失失的令牌牌密码，但但该密码码具有时时效性，只只可在下下面所显显