2022年RSASecurID管理员操作手册.doc

《2022年RSASecurID管理员操作手册.doc》由会员分享，可在线阅读，更多相关《2022年RSASecurID管理员操作手册.doc（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、RSA SecurID 7.1治理员手册RSA SecurID 7.1治理员操作手册目 录一、RSA 7.1安装11.1.RSA 7.1 Windows版安装需求及考前须知11.2.安装RSA Authenticaton Manager2二、RSA 7.1根本运转与维护112.1.令牌相关操作112.1.1.导入令牌种子文件Import Tokens Job112.1.2.查看令牌 Manage SecurID Tokens132.1.3.令牌统计Token Statistics142.1.4.修正令牌验证方式Change Token to Authenticate with152.2.用户相

2、关操作162.2.1.查询用户Manage Users162.2.2.分配令牌Assign Token172.2.3.解除令牌绑定Unassign Token192.3.登录状态的监控20三、RSA Self-service Console的使用213.1.自效劳系统的使用213.2.汇报咨询题26四、售后效劳热线294.1邮件方式294.2方式29一、 RSA 7.1安装RSA ACE/Server是集中的双要素认证中心，除了响应RSA ACE/Agent传送过来的认证恳求以外，治理员还能够定义平安策略，同意不同的用户访咨询不同受保护网络资源的权限，设定不同用户的存取时间等；同时RSA AC

3、E/Server忠实地记录用户的每次认证恳求，包括用户名、时间、访咨询的效劳器以及是否通过认证等信息，以备日后审计；另外，RSA ACE/Server还能够检测恶意企图并做出响应，例如用户连续输错3此认证码以后自动进入NextToken方式，必须连续输入两个正确的认证码才能通过认证，连续输错10次认证码以后自动禁止此帐号。RSA ACE/Server能够运转于Solaris、AIX、HP-UX和Windows操作系统平台上。一个RSA ACE/Server能够提供百万级用户数的容量。RSA ACE/Server有两种许可证：根本许可证（Base License）和高级许可证（Advanced

4、License）。根本许可证同意用户安装一台主效劳器（Primary Server）和一台从效劳器（Replica Server）；而高级许可证同意部署最多6个效劳器域（Realm），每个域由一台主效劳器和最多十台从效劳器组成，这种架构不仅确保了高有效性，同时能够合适大型的全球网络拓扑构造。1.1. RSA 7.1 Windows版安装需求及考前须知支持的操作系统： Microsoft Windows Server 2003 Enterprise R2 SP2 (32-bit) Microsoft Windows Server 2003 Enterprise SP2 (32-bit) Micr

5、osoft Windows Server 2003 Enterprise R2 SP2 (64-bit) Microsoft Windows Server 2003 Enterprise SP2 (64-bit)Note: RADIUS is not supported on 64-bit Windows and Linux systems.硬件需求： Intel Xeon 2.8 GHz or equivalent (32-bit) Intel Xeon 2.8 GHz or equivalent (64-bit) 3GB 物理内存 NTFS 文件系统 60GB 磁盘空间支持的阅读器：Win

6、dows系统： Internet Explorer 6.0 with SP2 for Windows XP Internet Explorer 7.0 for Windows XP and Windows Vista Firefox 2.0Linux系统： Firefox 2.0Solaris系统： Firefox 2.0 Mozilla 1.07考前须知： RSA Authentication Manager 必须安装在NTFS分区上。 RSA SecurID以时间同步技术为核心，安装 RSA Authentication Manager 前必须调准效劳器的时间，包括时区、日期和时间。 将所

7、有 RSA Authentication Manager 效劳器的全名和IP地址写入所有 RSA Authentication Manager 效劳器的hosts文件中（winntsystem32driversetchosts）。1.2. 安装RSA Authenticaton Manager 1. 首先修正AM效劳器的hosts文件，将本机的ip地址和主机名参加hosts记录中，主机名需要写成域名方式的，如没有参加域环境可在实际主机名后加上；如需修正计算机名或参加域环境需要重启后生效。Hosts文件修正途径：C:WINDOWSsystem32driversetchosts，如下列图：2. 查

8、看系统时间是否是标准北京时间，如不是需要修正或同步。3. 插入RSA Authentication Manager 7.1光盘。运转autorun.exe启动安装安装导游启动后点击Install Now点击next，选择“You are a customer ordering this RSA product from RSA Securtiy Ireland Limited, from Europe, Africa or Asia Pacific”第二个选项说明在亚太地区购置的RSA产品。选择“I accept the terms of the license agreement”接受许可条

9、款。选择需要安装RSA Authentication Manager的类型“Primary RSA Authentication Manager”，选择“Next”接着。指定RSA Authentication Manager软件安装目录，然后选择“Next”接着。如hosts文件已将主机名和ip地址添加完毕，此界面会自动读取本机的完好主机名和ip地址，如没有自动读取，说明hosts文件没有添加正确。指定RSA Authentication Manager License途径，Base license支持安装一主一从两台设备，选择“Next”接着。检查license信息是否正确，点击Next接

10、着。设定超级治理员的用户名和密码，此用户名和密码用于登录治理Security Console, Operation Console和Self-service Console，默认每3个月需要修正一次，选择“Next”接着。选择需要的log类型，建议全选，选择“Next”接着。查看安装摘要，选择“Install”开场安装。 安装过程将持续半个小时至一个小时不等，取决于效劳器的功能，直到出现以下界面完成安装。点击Finish完成安装，桌面上会出现三个图标，分别是：RSA Security Consoles:/nice-rsa-vm01-01:7004/IMS-AA-IDP/logonPrompt.

11、do?action=nvPreLoginRSA Security Operations Consoles:/nice-rsa-vm01-01:7072/operations-console/RSA Self-Service Consoles:/nice-rsa-vm01-01:7004/console-selfservice/安装完成后所有RSA必需的效劳会自动启动，同时默认设置为开机自动启动。二、 RSA 7.1根本运转与维护治理员能够在效劳器本地执行RSA Security Console中来进展绝大部分的治理操作：s:/nice-rsa-vm01-01:7004/IMS-AA-IDP/l

12、ogonPrompt.do?action=nvPreLogin2.1. 令牌相关操作在Authentication菜单下，治理员能够进展与令牌或种子文件相关的一些操作。一般来说，系统安装完毕之后，治理员的第一步工作确实是导入种子文件。2.1.1. 导入令牌种子文件Import Tokens Job插入SecurID种子盘，将.XML文件拷入效劳器。选择Authentication SecurID Tokens - Import Tokens Job Add New。在Import File栏中点击“阅读”，选择种子文件的途径，之后输入种子文件的密码,点击Submit Job。种子导入成功。2.

13、1.2. 查看令牌 Manage SecurID Tokens在Authentication SecurID Tokens Manage Existing中查看已导入的令牌。选择Unassigned未分配令牌，点击search。所有未分配的令牌均显示出来。2.1.3. 令牌统计Token Statistics在这个菜单下，治理员能够查看目前令牌的相关统计信息，如：已分配给用户的令牌数、可用的令牌数、已过期的令牌数、马上在90天内过期的令牌数等。Authentication SecurID Tokens Statistics中能够看到当前所有令牌的状态信息。2.1.4. 修正令牌验证方式Chan

14、ge Token to Authenticate with选中所有令牌，在上方的下拉菜单中选择Dont Require SecurID PIN，可依照用户的要求，将所有令牌设定为无PIN方式。无PIN方式设置完成。2.2. 用户相关操作在Identity菜单下，治理员能够进展添加用户、编辑用户、删除用户、查询外部LDAP用户等操作：2.2.1. 查询用户Manage Users在Users Manage Existing选项中，将Identity Source选为Internal Database，点击Search显示出RSA内置数据库中的所有用户信息2.2.2. 分配令牌Assign Tok

15、en选中其中一个域用户右侧的箭头，选择SecurID Tokens，查看当前用户已分配的令牌。如该用户未被分配令牌则显示如上，点击Assign Token给该用户分配新令牌。在选中的令牌号码打勾，并点击上方的Assign，将这个令牌分配给该用户。显示令牌分配成功，令牌状态为Actie。2.2.3. 解除令牌绑定Unassign Token当某个用户不再使用令牌或变更令牌（如测试账号完毕测试、用户离任等情况下），治理员能够将令牌解除与该用户的绑定：点击已绑定用户的令牌右侧的三角，选择Unassign Token，即可解除这块令牌与该用户的绑定。2.3. 登录状态的监控在Reporting Rea

16、l-time Activity Monitor Authentication Activity Monitor中能够监测到所有用户登录的状态，不管登录成功与否都会有记录，这是排查登录失败缘故的最重要工具。打开Monitor后点击左上角的Start Monitor，就会开场自动记录所有的用户登录状态及报错信息。在排查登录失败的缘故时推荐将ACS的Access log也打开两边同时排查，以便更精确的定位失败缘故。三、 RSA Self-service Console的使用3.1. 自效劳系统的使用治理员和用户均可登录RSA Self-Service Console：s:/nice-rsa-vm01

17、-01:7004/console-selfservice/ 来访咨询自效劳系统，用户可通过它自行处理令牌忘带或遗失等咨询题，省去治理员非常多繁琐的操作。点击Log on登录自效劳操纵台。输入用户名后可本人选择输入静态密码或令牌码，如令牌忘带或丧失可选择输入治理员给予的静态密码。第一次登录系统会提出5个咨询题，这些咨询题的答案由用户自行答复并牢记，作为用户不记得密码后找回的依照。登录成功后会显示该用户目前关联令牌的信息及用户信息，右侧My Profile栏中有Change your Password选项，可依照用户本人需要更改登录自效劳系统的静态密码。在My SecurID Tokens一栏中，

18、用户可测试本人token的可用性或报告token产生的咨询题。点击Test your token后即可测试令牌可用性，在User ID栏中输入用户名，Passcode栏中输入令牌码，点击Test。如令牌工作正常则提示如上。如点击Report a problem with your token, 则会弹出询咨询令牌咨询题的选项，以忘带或遗失为例，点选Token is temporarily unavailable or misplaced。系统会为该用户随机生成一个可登录密码来代替忘带或遗失的令牌密码，但该密码具有时效性，只可在下面所显示的时间范围内使用。3.2. 汇报咨询题如用户的令牌出现咨询

19、题，可进入Troubleshoot a problem进展咨询题汇报，输入用户名后会被要求答复三个咨询题，这些咨询题的答案均是用户在自效劳系统中本人设定的。正确答复下列咨询题后会弹出选择出现咨询题的密码，password为静态密码，SecurID Token为令牌密码，点选令牌码。由于一个用户能够绑定多个令牌，因此系统会提示用户选择出现咨询题的令牌，点击OK。系统会询咨询用户出现了什么咨询题，以令牌临时不可用为例，选择Token is temporarily unavailable or misplaced。系统会提示用户输入当前令牌码和下一个令牌码来重新同步令牌的算法。重新同步算法成功，用户

20、可再试试令牌是否可用。四、 售后效劳热线4.1邮件方式能够直截了当发邮件到位于澳洲的RSA亚太地区Aphelpdesk，邮箱是:aphelpdeskrsa，工程师收到邮件后会通过回复邮件或的方式询咨询咨询题的详细信息。4.2方式RSA售后效劳联络如下：800-810-3777 800-819-0009400-670-0009 (拨打)备注：由于RSA的helpdesk在澳洲和中国办公，澳洲与中国时差为2个小时，例如，我们上午9点的时候那边就已经是上午11点了。RSA AP Helpdesk有些工程师能够说流利的中文(确实是中国人)，因此用中文沟通不会有任何障碍。记得在开case求助时要提供license号码、公司名称和尽可能详尽的截屏等信息。第 29 页