RSA SecurID备机部署方案

RSASecurID管理员操作手册RSA SecurID 7.1 治理员操作手册目录一、RSA 7.1安装 (1)1.1.RSA 7.1 Windows版安装需求及留意事项 (1)1.2.安装RSA Authenticaton Manager (2)二、RSA 7.1根本运行与保护 (11)2.1.令牌相干操作 (11)2.1.1.导入令牌种子文件Import Tokens Job (11)2.1.2.查看令牌Manage SecurID Tokens (13)2.1.3.令牌统计Token Statistics (14)2.1.4.修改令牌验证方法Change Token to Authenticate with (15)2.2.用户相干操作 (16)2.2.1.查询用户Manage Users (16)2.2.2.分派令牌Assign Token (17)2.2.3.解除令牌绑定Unassign Token (19)2.3.登录状况的监控 (20)三、RSA Self-service Console的应用 (21)3.1.自办事体系的应用 (21)3.2.报告请示问题 (26)四、售后办事热线 (29)4.1邮件方法 (29)4.2德律风方法 (29)一、RSA 7.1安装RSA ACE/Server是集中的双身分认证中间，除了响应RSA ACE/Agent传送过来的认证请求以外，治理员还可以定义安然策略，许可不合的用户拜访不合受保护收集资本的权限，设定不合用户的存取时光等；同时RSA ACE/Server忠诚地记录用户的每次认证请求，包含用户名、时光、拜访的办事器以及是否经由过程认证等信息，以备日后审计；别的，RSA ACE/Server还可以检测恶意妄图并做出响应，例如用户持续输错3此认证码今后主动进入NextToken模式，必须持续输入两个精确的认证码才能经由过程认证，持续输错10次认证码今后主动禁止此帐号。

RSASecurID管理员操作手册R S A S e c u r I D 管理员操作手册目录一、R SA 安装RSA ACE/Server是集中的双因素认证中心，除了响应RSA ACE/Agent传送过来的认证请求以外，管理员还可以定义安全策略，允许不同的用户访问不同受保护网络资源的权限，设定不同用户的存取时间等；同时RSA ACE/Server忠实地记录用户的每次认证请求，包括用户名、时间、访问的服务器以及是否通过认证等信息，以备日后审计；另外，RSA ACE/Server还可以检测恶意企图并做出响应，例如用户连续输错3此认证码以后自动进入NextToken模式，必须连续输入两个正确的认证码才能通过认证，连续输错10次认证码以后自动禁止此帐号。

RSA ACE/Server可以运行于Solaris、AIX、HP-UX和Windows 操作系统平台上。

一个RSA ACE/Server可以提供百万级用户数的容量。

RSA ACE/Server有两种许可证：基本许可证（Base License）和高级许可证（Advanced License）。

基本许可证允许用户安装一台主服务器（Primary Server）和一台从服务器（Replica Server）；而高级许可证允许部署最多6个服务器域（Realm），每个域由一台主服务器和最多十台从服务器组成，这种架构不仅确保了高有效性，同时可以适合大型的全球网络拓扑结构。

1.1.RSA Windows版安装需求及注意事项支持的操作系统：Microsoft Windows Server 2003 Enterprise R2 SP2 (32-bit) Microsoft Windows Server 2003 Enterprise SP2 (32-bit)Microsoft Windows Server 2003 Enterprise R2 SP2 (64-bit) Microsoft Windows Server 2003 Enterprise SP2 (64-bit)Note: RADIUS is not supported on 64-bit Windows and Linux systems.硬件需求：Intel Xeon GHz or equivalent (32-bit)Intel Xeon GHz or equivalent (64-bit)3GB 物理内存NTFS 文件系统60GB 磁盘空间支持的浏览器：Windows系统：Internet Explorer with SP2 for Windows XPInternet Explorer for Windows XP and Windows VistaFirefoxLinux系统：FirefoxSolaris系统：FirefoxMozilla注意事项：RSA Authentication Manager 必须安装在NTFS分区上。

RSA 7.1用户管理与自服务操作文档武汉神州数码有限公司吴长锋 2009年2月H e x i c .一、RSA 7.1用户管理RSA 7.1后台管理界面登陆地址为：https://:7004/console-am登陆管理系统后，从主菜单Identity ->Users ->Add New With Options进行添加新用户的操作：选择新建用户的同时给用户分配令牌，然后点击下一步：输入用户姓名、登陆ID、自服务初始密码等必填信息后，点击Save &Next H e x i c .RSA SecurID 7.1用户管理与自服务操作文档进入令牌分配页面：给用户选择一个可用的令牌，然后选择Save &Finish：H e x i c .Cexic .H二、RSA7.1用户自服务系统使用说明RSA 7.1用户自服务系统登陆地址为：https://:7004/console-selfservice 在浏览器输入上述地址后出现如下界面,点击Login in登录。

输入用户名，点击OK确认：下一步需要用户进行密码验证，密码验证方式有两种password 方式与passcode 方式，password 方式是利用管理员创建用户时设置的用户自服务密码登录，具体密码可以咨询创建用户的管理员，Passcode 方式是利用用户手中的令牌登录。

H e x i c .以PassCode 验证方式为例，输入用户当前的PassCode 后点击Log On 登陆，对于新用户，PassCode 就是用户令牌上当前显示的令牌码（TokenCode），对于已设置过PIN 码的用户，PassCode 就是用户的PIN码+用户的令牌码。

如果是新用户登陆，系统会要求用户设置新的PIN码，如下图所示：H e x i c .RSA SecurID 7.1用户管理与自服务操作文档提交之后进去用户自助服务界面，如果选择PassWord 验证方式登陆，则需要输入管理员创建用户时设置的初始密码或用户更改后的密码：初次登陆时，系统会强制要求用户修改password，以确保安全：H e x i c .C用户自主服务主要提供的功能有4个：1.更改自助服务的密码（Password,非Passcode）2.更改PIN 码3.故障处理1.更改自助服务的密码（Password,非Passcode）2.更改PIN 码用户应定期修改PIN 码以确保安全：H e x i c .3.故障处理当发生用户令牌丢失、忘记带在身边或者忘记PIN 码等情况时，用户可以报告管理员，也可以通过自服务系统自行解决。

RSA双因素身份认证系统简介目录1. RSA SECURID双因素身份认证系统简介 (3)1.1.RSA提供完整的解决方案 (3)1.2.RSA S ECUR ID：强大的双因素认证系统 (3)1.3.RSA S ECUR ID双因素认证系统组件 (4)1.3.1.认证管理软件（Authentication Manager） (4)1.3.2.RSA SecurID双因素认证设备 (4)1.3.3.代理软件（AM/Agent） (5)2. 时间同步双因素技术及令牌原理简介 (5)2.1基于时间同步技术双因素身份认证架构图 (5)2.1.1RSA SecurID时间同步原理架构图 (5)2.1.3基于时间同步的双因素口令 (6)2.2RSA700型双因素令牌简介 (6)3. RSA强认证系统可以保护资源简介 (6)3.1对端口安全和无线网络的保护 (7)3.2RSA S ECUR ID可以提供对拨号/访问服务器的双因素身份认证 (7)3.3RSA S ECUR ID可以提供对路由器、交换机和防火墙等网络设备的双因素身份认证 (7)3.4RSA S ECUR ID可以提供对各种VPN的双因素身份认证 (7)3.5RSA S ECUR ID可以对UNIX、L INUX及W INDOWS等操作系统保护 (8)3.6RSA S ECUR ID可以提供对不同的W EB服务器的保护 (8)3.7RSA S ECUR ID对O RACLE数据库的保护 (8)3.8RSA S ECUR ID可以提供对若干应用的保护 (9)3.9RSA通过提供免费的API，从而提供对各种应用的保护 (9)4. RSA双因素身份认证系统中认证服务器的部分特性 (9)4.1容错与负载均衡 (9)4.2安装平台 (9)4.3客户管理及与LDAP的同步 (10)4.4日志、审计与报表 (10)4.5对微软服务器及桌面的保护 (10)5. 产品配置及配套第三方产品配置 (11)5.1RSA产品配置举例 (11)5.2配套的第三方产品配置举例 (11)6. RSA双因素身份认证设备简介 (11)1. RSA SecurID双因素身份认证系统简介1.1. RSA提供完整的解决方案在网络信息安全的五个功能中(身份认证、授权、保密性、完整性和不可否认)，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。

Configuring FortiGate 200B with RSA SecurID for Two Factor AuthenticationCopyright © 2011 – BPS Info Solutions, Inc.Written by Jonathan TewIntroductionOur company had an existing RSA installation and wanted to leverage this investment with new FortiGate appliances. The installation was not as easy as we had anticipated even though both vendors hold leadership positions in their respective industries. The available documentation did not cover the actual scenario of true two factor authentication. We were able to determine the proper configuration and it is relatively straight forward. We wanted to document the configuration to improve what is available to the internet community.AssumptionsThis documentation assumes the following components are in place:•Fortinet 200B Appliance with version 4.0 MR2 Patch 6•RSA SecurID 130 ApplianceWe also assume that you have experience creating your own certificate authority and generating a certificate for the appliance and end users.Please note that any sensitive information is blurred out. It’s a faint blur, so examine the images carefully to note that certain fields are filled in, but blurred.Configuring the RSA SecurIDFirst go to the IMS Console for SecurID and loginNext go to RADIUS -> RADIUS Clients -> Manage Existing.Since I’ve already configured my FORTIGATE RADIUS client you will see it in the screen shot below. If you are performing a new configuration then click on the “Add New” button.address of the FortiGate unit.FortiGate Configuration RADIUS ConfigurationThe next step is configuring the FortiGate RADIUS user. Begin by navigating to User →Remote →RADIUS. Here you will see I have a Remote user named “RSA” configured.Notice that the configuration of the RSA user is relatively simple. I have the Primary and Secondary IP address (blurred out) configured for the RSA SecurID 130 appliances.that I’ve created a single user with the type of RADIUS below.Notice that the user is simple to configure. I’ve provided the username (which needs to match the user on the RSA box) and selected Match user on RADIUS server and selected RSA. This means that when theuser tries to connect the authentication credentials are sent over to the RSA server for validation.At this point we have a user that is doing OTP authentication with the RSA SecurID appliance. I learned how to test this authentication with the RSA box on the command line from a CryptoCard FortiGate implementation guide. Thanks CryptoCard for the excellent documentation! So if we open up the CLI console and type in the following command:diag test auth rad <radius server name><auth protocol><username><One-Time Password>We should see it successfully authenticate.At this point though we have only achieved a single factor of authentication (the one time password from the RSA token). We need to have two factors of authentication.Configuring Certificate AuthenticationFor this exercise you are going to need the following certificates:•Your own certificate authority root certificate• A private key and certificate for the FortiGate appliance that matches the host name that you are going to access the appliance with.• A client certificate for your windows machine.The actual generation of these certificates is out of the scope of this documentation. There are tons of great documents about how to accomplish this task with either Windows Server 2008 or OpenSSL.The first step is to import the certificate authority root into the System -> Certificates -> CA Certificates. Click on the Import button and upload the certificate. After the certificate is imported the screen will look like the picture below:Notice the CA_Cert_1 has been added to the list. Next click on System -> Certificates -> Local Certificates -> Import within the FortiGate left navigation. On that screen choose the type “Certificate” from the drop down list. This will allow you to upload both the certificate and private key file into the FortiGate appliance. You’ll need the private key password which should be provided to you by whoever within your organization generated the key pair.After the certificate is imported it will display in the list underneath all the factory installed FortiGate certificates.VPN ConfigurationNow that we have the RSA authenticating user configured and the certificates installed on the server we need to configure the VPN. First we need to configure our VPN to use our server certificate and require a client certificate. This is configured under VPN →SSL →Config. The required Client Certificate is what will provide us the second factory of authentication. The client certificate will have to be signed by our internal certificate authority that we imported in the prior steps of this documentation.Next configure the VPN portal under VPN → SSL → Portal. In this case we configured “portal1”Finally we need to configure a user group that includes our user and grants them access to the VPN portal. This configuration is done under User -> User Group -> User Group.Notice we have a group “group1” configured with our single user over in the members section.Testing VPN ConnectionBefore fighting with the FortiClient VPN users you should do the following:1)Make sure your OTP token is working properly by RSA SecurID by testing it through their self-service console.2)Test the OTP token on the FortiGate CLI using the diag command shown above.3)See if you can properly connect to the web interface of the FortiGate at Error! Hyperlinkreference not valid. Please note that your browser should prompt for your client side certificate AND the server should present the CA signed server certificate. Try logging in through the web interface first. It is more tolerant of token syncing, etc.If we fire up our FortiClient SSL VPN application we can attempt to connect to the FortiGate we should enter our RSA OTP into the password field and select our client certificate. Only client certificates installed into Windows are going to show in the drop down. Make sure you’ve installed the certificate. Once you connect it should look like this:If something is wrong the FortiClient will stop at a certain percentage and display a negative error code. The error messages provide very little meaningful information. There are some CLI commands that can display meaningful information to help debug what is going on:diag deb resetdiagnose debug application sslvpn -1diag debug enableIt is critical to run the “FortiClient SSL VPN” as administrator to successfully connect. You cannot connect without it running as administrator.We did not complete a connection via the larger FortiClient software. It spawns a “FortiClient SSL VPN” login window like the standalone client does, but in our trial it did not connect successfully.。

加密机部署方案简介加密机是一种用于提供数据加密和解密服务的硬件设备。

在现代互联网和移动通信时代，数据安全变得越来越重要。

为了保护敏感数据的隐私和完整性，许多组织选择部署加密机来加密数据。

本文将介绍如何部署加密机以确保数据的安全。

加密机的作用加密机主要用于以下几个方面：1.数据加密和解密：加密机使用不可逆的算法将敏感数据加密，然后在需要时将其解密。

只有授权的用户才能访问和解密数据。

2.密钥管理：加密机用于生成、存储和管理密钥。

密钥是加密和解密的关键，加密机的安全性直接决定了密钥的安全性。

3.安全通信：加密机可以用于设置安全通信通道，确保数据在传输过程中不会被篡改或窃取。

加密机部署方案步骤步骤一：需求分析在开始部署加密机之前，需要进行需求分析，明确以下几个方面的要求：1.数据加密级别：确定需要加密的数据类型和加密级别，例如是否需要对传输数据进行加密，或对数据库中的敏感数据进行加密。

2.密钥管理要求：了解密钥管理的需求，包括密钥的生成、存储和更新等方面。

3.兼容性要求：确定加密机需要与哪些系统和应用程序进行集成，需求是否包括加密机和其他系统的接口开发。

4.业务连续性要求：了解业务连续性的要求，包括加密机部署时对现有系统的影响和维护计划。

步骤二：选择合适的加密机产品根据需求分析的结果，选择一款合适的加密机产品。

评估加密算法的安全性、加密机的性能、接口兼容性、以及厂商的声誉和支持能力等因素来做出决策。

步骤三：部署计划制定在部署加密机之前，需要制定详细的部署计划，明确以下几个方面的任务和时间安排：1.硬件安装：确定加密机的硬件需求，包括服务器和网络设备等。

安装前需要做好空间规划和设备配线。

2.软件配置：根据加密机产品的要求，进行软件的安装和配置。

确保加密机能够正常运行并满足数据加密和解密的要求。

3.密钥管理：根据需求，制定密钥管理策略，包括密钥的生成、存储和更新等流程。

确保密钥的安全和有效性。

4.系统集成：根据兼容性要求，制定系统集成计划。

RSA SecureID Windows Agent 安装配置手册武汉神州数码有限公司吴长锋2009年1月修改记录说明本文主要针对Server端为RSA SecurID Authentication Manager 7.1而编写，但实际上服务器端的配置操作相对简单，主要的配置工作集中在Agent端，而Agent端的配置主要跟自身操作系统的版本有关。

如果客户的环境是RSA SecurID ACE Server 6.1，则除Server端配置不同以外，Agent端也可以参照此文档进行Agent的配置。

目录一、RSA SecurID Server端配置 (1)1、生成并下载最新的Configuration File (1)2、在Hosts文件中添加Agent的IP和主机名信息 (2)3、在Authentication Manager中添加Agent配置 (3)二、RSA SecurID Agent端配置 (5)1、修改系统的hosts文件 (5)2、上传并生成所需的相关文件 (5)3、安装RSA Authentication Agent (6)4、进行测试认证 (11)5、配置RSA组登陆的双因素身份认证 (13)一、R SA SecurID Server端配置1、生成并下载最新的Configuration File为了保证Agent端能够正确的寻找到主备服务器端，需要从RSA Authentication Manager上获取最新的Configuration File。

首先用管理员身份登陆RSA Authentication Manager的Security Console：点击Access -> Authentication Agents -> Generate（生成） Configuration File，转到相关页面：系统会自动生成一个AM_Config.zip的文件，下载后解压缩得到sdconf.rec 文件，放在本地硬盘专门的目录中，备用。

RSA SecurID 动态身份认证系统建议方案2014年3月目录1.身份认证需求........................................................ - 3 - 1.1.网络信息安全必须实现的五大需求.. (3)1.2.身份认证需求 (3)2.RSA AM 8.0结合VPN保护解决方案......................... 错误！未定义书签。

2.1.防火墙和VPN保护 (11)2.2.RSA AM8.0性能优势 (12)2.3.RSA AM8.0认证服务器部署要求......................... 错误！未定义书签。

3.RSA SECURID身份认证功能详解............................ 错误！未定义书签。

3.1.RSA S ECUR ID：强大的双因素认证系统 (11)3.2.RSA S ECUR ID双因素认证系统组件 (12)3.2.1. 认证服务器（ACE/Server）.................................... - 13 -3.2.2. RSA SecurID认证令牌......................................... - 14 -3.2.3. 代理软件（ACE/Agent）....................................... - 14 -3.2.4. ACE/Server容错和负载均衡.................................... - 15 -3.2.5. 支持与目录服务器的资料自动同步.............................. - 15 -4.基于时间同步技术双因素身份认证架构图 (17)4.1. RSA SecurID时间同步原理架构图..................... 错误！未定义书签。