RSASecurID管理员操作手册

1、治理员操作手册目录安装RSAACE/Serve误集中的双因素认证中央,除了响应RSAACE/Agen传送过来 的认证请求以外,治理员还可以定义平安策略,允许不同的用户访问不同受保护 网络资源的权限,设定不同用户的存取时间等；同时RSAACE/Server忠实地记录 用户的每次认证请求,包括用户名、时间、访问的效劳器以及是否通过认证等信 息,以备日后审计；另外,RSAACE/Serve处可以检测恶意企图并做出响应,例 如用户连续输错3此认证码以后自动进入NextToken模式,必须连续输入两个正 确的认证码才能通过认证,连续输错10次认证码以后自动禁止此帐号.RSAACE/Serve间以运行于

2、Solaris、AIX、HP-UXffi Windows操作系统平台 上.一个RSAACE/ServerW以提供百万级用户数的容量.RSAACE/Server有两种 许可证：根本许可证(BaseLicense)和高级许可证(AdvancedLicense).根本 许可证允许用户安装一台主效劳器(PrimaryServer )和一台从效劳器 (ReplicaServer )；而高级许可证允许部署最多 6个效劳器域(Realm),每个域 由一台主效劳器和最多十台从效劳器组成,这种架构不仅保证了高有效性,同时可以适合大型的全球网络拓扑结构.1.1. 版安装需求及考前须知支持的操作系统：Microso

3、ftWindowsServer2022EnterpriseR2SP2(32-bit) MicrosoftWindowsServer2022EnterpriseSP2(32-bit) MicrosoftWindowsServer2022EnterpriseR2SP2(64-bit) MicrosoftWindowsServer2022EnterpriseSP2(64-bit) Note:RADIUSisnotsupportedon64-bitWindowsandLinuxsystems.硬件需求：(32-bit)(64-bit)3GBt!理内存NTFSS:件系统60GBs盘空间支持的浏览器：Wi

4、ndows系统：Linux系统:Solaris 系统:考前须知：RSAAuthenticationManager 必须安装在 NTF的区上.RSASecurlD以时间同步技术为核心,安装 RSAAuthenticationManager前必 须调准效劳器的时间,包括时区、日期和时间.将所有 RSAAuthenticationManager 效劳器的全名和IP地址写入所有RSAAuthenticationManager 效劳 器 的 hosts 文件 中 (winntsystem32driversetchosts ).1.2. 安装 RSAAuthenticatonManager1 .首先修改A

5、M效劳器的hosts文件,将本机的ip地址和主机名参加hosts记 录中,主机名需要写成域名形式的,如没有参加域环境可在实际主机名后加 上；如需修改计算机名或参加域环境需要重启后生效.Hosts文件修改路径：C:WINDOWSsystem32driversetchosts ,如下列图：2 .查看系统时间是否是标准北京时间,如不是需要修改或同步.3 .插入光盘.运行启动安装安装向导启动后点击InstallNow点击next ,选择“YouareacustomerorderingthisRSAproductfromRSASecurtiy卜elandLimited, fromEurope,Afric

6、aorAsiaPacific 第二个选项说明在亚太地区购置的RSAA2"品.选择 “ Iacceptthetermsofthelicenseagreement 接受许可条款.选择需要安装RSAAuthenticationManager的类型“PrimaryRSAAuthenticationManager ",选择 “Next 继续.指定RSAAuthenticationManager软件安装目录,然后选择“ Next继续.如hosts文件已将主机名和ip地址添加完毕,此界面会自动读取本机的完整主 机名和ip地址,如没有自动读取,说明hosts文件没有添加正确.指定 RSAA

7、uthenticationManagerLicense 路径,Baselicense 支持安装一主一从 两台设备,选择“ Next继续.检查license信息是否正确,点击Next继续.设定超级治理员的用户名和密码,此用户名和密码用于登录治理SecurityConsole,OperationConsole 和 Self-serviceConsole ,默认每 3 个月需 要修改一次,选择“ Next继续.选择需要的log类型,建议全选,选择“ Next继续.查看安装摘要,选择“Install 开始安装.安装过程将持续半个小时至一个小时不等,取决于效劳器的性能,直到出现以下界面完成安装.点击Fi

8、nish完成安装,桌面上会出现三个图标,分别是：RSASecurityConsoleRSASecurityOperationsConsoleRSASelf-ServiceConsole安装完成后所有RS3、需的效劳会自动启动,并且默认设置为开机自动启动.二、根本运行与维护治理员可以在效劳器本地执行 RSASecurityConsole中来进行绝大局部的治理操 作：2.1. 令牌相关操作在Authentication 菜单下,治理员可以进行与令牌或种子文件相关的一些操作.一般来说,系统安装完毕之后,治理员的第一步工作就是导入种子文件.2.1.1. 导入令牌种子文件ImportTokensJob插

9、入 SecurID 种子盘,将.XML文件拷入效劳器.选择Authentication - SecurIDTokens-ImportTokensJob - AddNew在ImportFile栏中点击“浏览,选择种子文件的路径,之后输入种子文件的密码,点击 SubmitJob.种子导入成功.2.1.2. 查看令牌 ManageSecurIDTokens在 Authentication - SecurIDTokens - ManageExisting 中查看已导入的令牌.选择 Unassigned 未分酉己令牌,点击 search.所有未分配的令牌均显示出来.2.1.3. 令牌统计 TokenSt

10、atistics在这个菜单下,治理员可以查看目前令牌的相关统计信息,如：已分配给用 户的令牌数、可用的令牌数、已过期的令牌数、即将在90天内过期的令牌数等.Authentication - SecurIDTokens - Statistics中可以看到当前所有令牌的状态信息.2.1.4. 修 改 令 牌 验 证 方 式ChangeTokentoAuthenticatewith选中所有令牌,在上方的下拉菜单中选择 Don' tRequireSecurlDPIN ,可根据用 户的要求,将所有令牌设定为无 PIN模式.无PIN模式设置完成.2.2. 用户相关操作在Identity 菜单下,治

11、理员可以进行添加用户、编辑用户、删除用户、查询外部LDAP用户等操作：2.2.1. 查询用户 ManageUsers在 Users ManageExisting 选项中,4等 IdentitySource 选为 InternalDatabase 点击Search显示出RSAft置数据库中的所有用户信息2.2.2. 分配令牌 AssignToken选中其中一个域用户右侧的箭头,选择 SecurIDTokens,查看当前用户已分配的 令牌.如该用户未被分配令牌那么显示如上,点击 AssignToken给该用户分配新令牌. 在选中的令牌号打勾,并点击上方的 Assign ,将这个令牌分配给该用户.显

12、示令牌分配成功,令牌状态为 Actie.2.2.3. 解除令牌绑定 UnassignToken当某个用户不再使用令牌或变更令牌如测试账号结束测试、用户离职等情 况下,治理员可以将令牌解除与该用户的绑定：点击已绑定用户的令牌右侧的三角,选择 UnassignToken,即可解除这块令牌与 该用户的绑定.2.3. 登录状态的监控在 Reporting Real-timeActivityMonitor AuthenticationActivityMonitor中可以监测到所有用户登录的状态,不管登录成功与否都会有记录,这是排查登录失败原因的最重要工具.翻开Monitor后点击左上角的StartMon

13、itor ,就会开始自动记录所有的用户登 录状态及报错信息.在排查登录失败的原因时推荐将 ACS的Accesslog也翻开两边同时排查,以便更 准确的定位失败原因.RSASelf-serviceConsole 的使用3.1. 自效劳系统的使用治理员和用户均可登录 RSASelf-ServiceConsole :来访问自效劳系统,用户可 通过它自行解决令牌忘带或遗失等问题,省去治理员很多繁琐的操作.点击 Logon登录自效劳限制台.输入用户名后可自己选择输入静态密码或令牌码,如令牌忘带或丧失可选择输入治理员赋予的静态密码.第一次登录系统会提出5个问题,这些问题的答案由用户自行答复并牢记,作为用户

14、忘记密码后找回的依据.登录成功后会显示该用户目前关联令牌的信息及用户信息,右侧MyProfile栏中 有ChangeyourPassword选项,可根据用户自己需要更改登录自效劳系统的静态 密码.在MySecurlDTokens 一栏中,用户可测试自己token的可用性或报告token产生 的问题.点击Testyourtoken 后即可测试令牌可用性,在 UserID栏中输入用户名, Passcode栏中输入令牌码,点击 Test.如令牌工作正常那么提示如上.如点击Reportaproblemwithyourtoken,那么会弹出询问令牌问题的选项,以忘带或遗失为例,点选 Tokenistem

15、porarilyunavailableormisplaced .系统会为该用户随机生成一个可登录密码来代替忘带或遗失的令牌密码,但该密码具有时效性,只可在下面所显示的时间范围内使用.3.2. 汇报问题如用户的令牌出现问题,可进入 Troubleshootaproblem 进行问题汇报,输入用 户名后会被要求答复三个问题,这些问题的答案均是用户在自效劳系统中自己设 定的.正确答复下列问题后会弹出选择出现问题的密码,password为静态密码,SecurlDToken为令牌密码,点选令牌码.由于一个用户可以绑定多个令牌,所以系统会提示用户选择出现问题的令牌,点击OK系统会询问用户出现了什么问题,以令牌暂时不可用为例,选择Tokenistemporarilyunavailableormisplaced .系统会提示用户输入当前令牌码和下一个令牌码来重新同步令牌的算法.重新同步算法成功,用户可再试试令牌是否可用.四、售后效劳热线邮件方式可以直接发邮件到位于澳洲的 RSM太地区Aphelpdesk,邮箱