RSASecurID管理员操作手册.docx

RSA SecurID 7.1管理员手册RSA SeccurIID 77.1管理员操操作手册册目 录一、RSSA 77.1安安装11.1.RSAA 7.1 WWinddowss版安装装需求及及注意事事项11.2.安装RSSA AAuthhentticaatonn Maanagger22二、RSSA 77.1基基本运行行与维护护112.1.令牌相相关操作作112.1.1.导导入令牌牌种子文文件Immporrt TTokeens Jobb112.1.2.查查看令牌牌 Maanagge SSecuurIDD Tookenns1332.1.3.令令牌统计计Tokken Staatissticcs1442.1.4.修修改令牌牌验证方方式Chhangge TTokeen tto AAuthhentticaate witth1552.2.用户相相关操作作162.2.1.查查询用户户Mannagee Usserss162.2.2.分分配令牌牌Asssignn Tookenn172.2.3.解解除令牌牌绑定UUnasssiggn TTokeen1992.3.登录状状态的监监控200三、RSSA SSelff-seerviice Connsolle的使使用2113.1.自服务务系统的的使用2213.2.汇报问问题266四、售后后服务热热线2994.1邮邮件方式式294.2电电话方式式29一、 RSA 7.11安装RSA ACEE/Seerveer是集集中的双双因素认认证中心心，除了了响应RRSA ACEE/Aggentt传送过过来的认认证请求求以外，管理员员还可以以定义安安全策略略，允许许不同的的用户访访问不同同受保护护网络资资源的权权限，设设定不同同用户的的存取时时间等；同时RRSA ACEE/Seerveer忠实实地记录录用户的的每次认认证请求求，包括括用户名名、时间间、访问问的服务务器以及及是否通通过认证证等信息息，以备备日后审审计；另另外，RRSA ACEE/Seerveer还可可以检测测恶意企企图并做做出响应应，例如如用户连连续输错错3此认认证码以以后自动动进入NNexttTokken模模式，必必须连续续输入两两个正确确的认证证码才能能通过认认证，连连续输错错10次次认证码码以后自自动禁止止此帐号号。RSA ACEE/Seerveer可以以运行于于Sollariis、AAIX、HP-UX和和Winndowws操作作系统平平台上。一个RRSA ACEE/Seerveer可以以提供百百万级用用户数的的容量。RSAA ACCE/SServver有有两种许许可证：基本许许可证（Basse LLiceensee）和高高级许可可证（AAdvaanceed LLiceensee）。基基本许可可证允许许用户安安装一台台主服务务器（PPrimmaryy Serveer）和和一台从从服务器器（Reepliica Serrverr）；而而高级许许可证允允许部署署最多66个服务务器域（Reaalm），每个个域由一一台主服服务器和和最多十十台从服服务器组组成，这这种架构构不仅确确保了高高有效性性，同时时可以适适合大型型的全球球网络拓拓扑结构构。1.1. RSA 7.11 Wiindoows版版安装需需求及注注意事项项支持的操操作系统统：² Micrrosooft Winndowws SServver 20003 EEnteerprrisee R22 SPP2 (32-bitt)² Micrrosooft Winndowws SServver 20003 EEnteerprrisee SPP2 (32-bitt)² Micrrosooft Winndowws SServver 20003 EEnteerprrisee R22 SPP2 (64-bitt)² Micrrosooft Winndowws SServver 20003 EEnteerprrisee SPP2 (64-bitt)Notee: RRADIIUS is nott suuppoorteed oon 664-bbit Winndowws aandLLinuux ssysttemss.硬件需求求：² Inteel XXeonn 2.8 GGHz or equuivaalennt (32-bitt)² Inteel XXeonn 2.8 GGHz or equuivaalennt (64-bitt)² 3GB 物理内内存² NTFSS 文件件系统² 60GBB 磁盘盘空间支持的浏浏览器：Winddowss系统：² Inteerneet EExplloreer 66.0 witth SSP2 forr Wiindoows XP² Inteerneet EExplloreer 77.0 forr Wiindoows XP andd Wiindoows Vissta² Fireefoxx 2.0Linuux系统统：² Fireefoxx 2.0Solaariss系统：² Fireefoxx 2.0² Moziillaa 1.07注意事项项：² RSA Autthennticcatiion Mannageer 必必须安装装在NTTFS分分区上。² RSA SeccurIID以时时间同步步技术为为核心，安装 RSAA Auutheentiicattionn Maanagger 前必须须调准服服务器的的时间，包括时时区、日日期和时时间。² 将所有 RSAA Auutheentiicattionn Maanagger 服务器器的全名名和IPP地址写写入所有有 RSSA AAuthhentticaatioon MManaagerr 服务务器的hhostts文件件中（winnntsysstemm32driiverrseetchossts）。1.2. 安装RSSA AAuthhentticaatonn Maanagger1. 首先修改改AM服服务器的的hossts文文件，将将本机的的ip地地址和主主机名加加入hoostss记录中中，主机机名需要要写成域域名形式式的，如如没有加加入域环环境可在在实际主主机名后后加上m；如需需修改计计算机名名或加入入域环境境需要重重启后生生效。HHostts文件件修改路路径：CC:WWINDDOWSSsyysteem322drriveersetcchoostss，如下下图：2. 查看系统统时间是是否是标标准北京京时间，如不是是需要修修改或同同步。3. 插入RSSA AAuthhentticaatioon MManaagerr 7.1光盘盘。运行auutorrun.exee启动安安装安装向导导启动后后点击IInsttalll Noow点击neext，选择“YYou aree a cusstommer ordderiing thiis RRSA prooducct ffromm RSSA SSecuurtiiy IIrellandd Liimitted, frrom Eurropee, AAfriica or Asiia PPaciificc”第二个个选项表表明在亚亚太地区区购买的的RSAA产品。选择“II accceppt tthe terrms of thee liicennse agrreemmentt”接受许许可条款款。选择需要要安装RRSA Autthennticcatiion Mannageer的类类型“Priimarry RRSA Autthennticcatiion Mannageer”，选择择“Nexxt”继续。指定RSSA AAuthhentticaatioon MManaagerr软件安安装目录录，然后后选择“Nexxt”继续。如hossts文文件已将将主机名名和ipp地址添添加完毕毕，此界界面会自自动读取取本机的的完整主主机名和和ip地地址，如如没有自自动读取取，说明明hossts文文件没有有添加正正确。指定RSSA AAuthhentticaatioon MManaagerr Liicennse路路径，BBasee liicennse支支持安装装一主一一从两台台设备，选择“Nexxt”继续。检查liicennse信信息是否否正确，点击NNextt继续。设定超级级管理员员的用户户名和密密码，此此用户名名和密码码用于登登录管理理Seccuriity Connsolle, Opeerattionn Coonsoole和和Sellf-sservvicee Coonsoole，默认每每3个月月需要修修改一次次，选择择“Nexxt”继续。选择需要要的loog类型型，建议议全选，选择“Nexxt”继续。查看安装装摘要，选择“Insstalll”开始安安装。安装过程程将持续续半个小小时至一一个小时时不等，取决于于服务器器的性能能，直到到出现以以下界面面完成安安装。点击Fiinissh完成成安装，桌面上上会出现现三个图图标，分分别是：RSA Seccuriity Connsollehttpps:/niice-rsaa-vmm01-m:70004/IMSS-AAA-IDDP/llogoonPrromppt.ddo?aactiion=nvPPreLLogiinRSA Seccuriity Opeerattionns CConssoleehttpps:/niice-rsaa-vmm01-m:70072/opeerattionns-cconssolee/RSA Sellf-SServvicee Coonsoolehttpps:/niice-rsaa-vmm01-m:70004/connsolle-sselffserrvicce/安装完成成后所有有RSAA必需的的服务会会自动启启动，并并且默认认设置为为开机自自动启动动。二、 RSA 7.11基本运行与维维护管理员可可以在服服务器本本地执行行RSAA Seecurrityy Coonsoole中中来进行行绝大部部分的管管理操作作：htttps:/nnicee-rssa-vvm011-011.coom:770044/IMMS-AAA-IIDP/loggonPPrommpt.do?acttionn=nvvPreeLoggin2.1. 令牌相关关操作在Autthennticcatiion菜菜单下，管理员员可以进进行与令令牌或种种子文件件相关的的一些操操作。一一般来说说，系统统安装完完毕之后后，管理理员的第第一步工工作就是是导入种种子文件件。2.1.1. 导入令牌牌种子文文件Immporrt TTokeens Jobb插入SeecurrID种种子盘，将.XXML文文件拷入入服务器器。选择择Autthennticcatiion SeecurrID Tokkenss - Impportt Tookenns JJob Addd NNew。在Impportt Fiile栏栏中点击击“浏览”，选择择种子文文件的路路径，之之后输入入种子文文件的密密码,点点击Suubmiit JJob。种子导入入成功。2.1.2. 查看令牌牌 Maanagge SSecuurIDD Tookenns在Autthennticcatiion SeecurrID Tokkenss Maanagge EExisstinng中查查看已导导入的令令牌。选择Unnasssignned未未分配令令牌，点点击seearcch。所有未分分配的令令牌均显显示出来来。2.1.3. 令牌统计计Tokken Staatissticcs在这个菜菜单下，管理员员可以查查看目前前令牌的的相关统统计信息息，如：已分配配给用户户的令牌牌数、可可用的令令牌数、已过期期的令牌牌数、即即将在990天内内过期的的令牌数数等。Authhentticaatioon SeecurrID Tokkenss Sttatiistiics中中可以看看到当前前所有令令牌的状状态信息息。2.1.4. 修改令牌牌验证方方式Chhangge TTokeen tto AAuthhentticaate witth选中所有有令牌，在上方方的下拉拉菜单中中选择DDont RRequuiree SeecurrID PINN，可根据据用户的的要求，将所有有令牌设设定为无无PINN模式。无PINN模式设设置完成成。2.2. 用户相关关操作在Ideentiity菜菜单下，管理员员可以进进行添加加用户、编辑用用户、删删除用户户、查询询外部LLDAPP用户等等操作：2.2.1. 查询用户户Mannagee Usserss在Useers Maanagge EExisstinng选项项中，将将Ideentiity Souurcee选为IInteernaal DDataabasse，点点击Seearcch显示出RRSA内内置数据据库中的的所有用用户信息息2.2.2. 分配令牌牌Asssignn Tookenn选中其中中一个域域用户右右侧的箭箭头，选选择SeecurrID Tokkenss，查看看当前用用户已分分配的令令牌。如该用户户未被分分配令牌牌则显示示如上，点击AAssiign Tokken给给该用户户分配新新令牌。在选中的的令牌号号码打勾勾，并点点击上方方的Asssiggn，将将这个令令牌分配配给该用用户。显示令牌牌分配成成功，令令牌状态态为Acctiee。2.2.3. 解除令牌牌绑定UUnasssiggn TTokeen当某个用用户不再再使用令令牌或变变更令牌牌（如测测试账号号结束测测试、用用户离职职等情况况下），管理员员可以将将令牌解解除与该该用户的的绑定：点击已绑绑定用户户的令牌牌右侧的的三角，选择UUnasssiggn TTokeen，即即可解除除这块令令牌与该该用户的的绑定。2.3. 登录状态态的监控控在Repporttingg Reeal-timme AActiivitty MMoniitorr Auutheentiicattionn Acctivvityy Moonittor中中可以监监测到所所有用户户登录的的状态，不论登登录成功功与否都都会有记记录，这这是排查查登录失失败原因因的最重重要工具具。打开Moonittor后后点击左左上角的的Staart Monnitoor，就就会开始始自动记记录所有有的用户户登录状状态及报报错信息息。在排查登登录失败败的原因因时推荐荐将ACCS的AAcceess logg也打开开两边同同时排查查，以便便更准确确的定位位失败原原因。三、 RSA Sellf-sservvicee Coonsoole的的使用3.1. 自服务系系统的使使用管理员和和用户均均可登录录RSAA Seelf-Serrvicce CConssolee：htttps:/nnicee-rssa-vvm011-011.coom:770044/coonsoole-sellfseerviice/来访问问自服务务系统，用户可可通过它它自行解解决令牌牌忘带或或遗失等等问题，省去管管理员很很多繁琐琐的操作作。点击击Logg onn登录自自服务控控制台。输入用户户名后可可自己选选择输入入静态密密码或令令牌码，如令牌牌忘带或或丢失可可选择输输入管理理员赋予予的静态态密码。第一次登登录系统统会提出出5个问问题，这这些问题题的答案案由用户户自行回回答并牢牢记，作作为用户户忘记密密码后找找回的依依据。登录成功功后会显显示该用用户目前前关联令令牌的信信息及用用户信息息，右侧侧My Proofille栏中中有Chhangge yyourr Paasswwordd选项，可根据据用户自自己需要要更改登登录自服服务系统统的静态态密码。在My SeccurIID TTokeens一一栏中，用户可可测试自自己tookenn的可用用性或报报告tookenn产生的的问题。点击Teest youur ttokeen后即即可测试试令牌可可用性，在Usser ID栏栏中输入入用户名名，Paassccodee栏中输输入令牌牌码，点点击Teest。如令牌工工作正常常则提示示如上。如点击RRepoort a pprobblemm wiith youur ttokeen, 则会弹弹出询问问令牌问问题的选选项，以以忘带或或遗失为为例，点点选Tookenn iss teempoorarrilyy unnavaailaablee orr miispllaceed。系统会为为该用户户随机生生成一个个可登录录密码来来代替忘忘带或遗遗失的令令牌密码码，但该该密码具具有时效效性，只只可在下下面所显显示的时时间范围围内使用用。3.2. 汇报问题题如用户的的令牌出出现问题题，可进进入Trroubblesshooot aa prrobllem进进行问题题汇报，输入用用户名后后会被要要求回答答三个问问题，这这些问题题的答案案均是用用户在自自服务系系统中自自己设定定的。正确回答答问题后后会弹出出选择出出现问题题的密码码，paasswwordd为静态态密码，SeccurIID TTokeen为令令牌密码码，点选选令牌码码。由于一个个用户可可以绑定定多个令令牌，所所以系统统会提示示用户选选择出现现问题的的令牌，点击OOK。系统会询询问用户户出现了了什么问问题，以以令牌暂暂时不可可用为例例，选择择Tokken is temmporrariily unaavaiilabble or missplaacedd。系统会提提示用户户输入当当前令牌牌码和下下一个令令牌码来来重新同同步令牌牌的算法法。重新同步步算法成成功，用用户可再再试试令令牌是否否可用。四、 售后服务务热线4.1邮件方方式可以直接接发邮件件到位于于澳洲的的RSAA亚太地地区Apheelpddeskk，邮箱箱是:aphhelppdesskm，工程程师收到到邮件后后会通过过回复邮邮件或电电话的方方式询问问问题的的具体信信息。4.2电话方方式RSA售售后服务务联系电电话如下下：800-8100-37777 800-8199-00009400-6700-00009 (手机机拨打)备注：因因为RSSA的hhelppdessk在澳澳洲和中中国办公公，澳洲洲与中国国时差为为2个小时时，例如如，我们们上午99点的时时候那边边就已经经是上午午11点点了。RRSA AP Hellpdeesk有有些工程程师可以以说流利利的中文文(就是中中国人)，所以以用中文文沟通不不会有任任何障碍碍。记得在开开casse求助助时要提提供liicennse号号码、公公司名称称和尽可可能详尽尽的截屏屏等信息息。第 31 页