Konfigurieren eines SecurID-Servers

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

RSA SecurID beruht auf einer Technologie von RSA Security Inc.

In Forefront TMG kann SecurID verwendet werden, um Clients und interne Unternehmenswebserver zu authentifizieren, die über Forefront TMG veröffentlicht wurden. Um Zugriff auf geschützte Ressourcen zu erhalten, ist es in SecurID erforderlich, dass die Clients ihre Persönliche Identifizierungsnummer (PIN) und ein physisches Token bereitstellen, mit dem ein zeitlich beschränktes einmaliges Kennwort erstellt wird. Beachten Sie, dass sowohl die PIN als auch das vom Token erstellte einmalige Kennwort erforderlich sind, um den Zugriff zu erhalten.

Das Einrichten eines SecurID-Authentifizierungsservers für Forefront TMG umfasst die folgenden Schritte:

  1. Erstellen Sie nach dem Installieren des RSA-Authentifizierungs-Managers gemäß der RSA-Dokumentation einen Agent-Host-Datensatz, um den RSA-Authentifizierungs-Manager so zu konfigurieren, dass Verbindungen von Forefront TMG für die Benutzerauthentifizierung akzeptiert werden.

  2. Überprüfen Sie die Berechtigungen und Netzwerkadaptereinstellungen.

  3. Überprüfen Sie die Verbindung zum RSA-Authentifizierungs-Manager.

  4. Konfigurieren Sie die SecurID-Eigenschaften.

Im Anschluss werden die folgenden Verfahren erläutert:

  • Erstellen eines Agent-Host-Datensatzes

  • Überprüfen von Berechtigungen und Adaptereinstellungen

  • Überprüfen der Verbindung

  1. Klicken Sie auf dem Computer, auf dem der RSA-Authentifizierungs-Manager ausgeführt wird, auf Start und dann auf Hostmodus des RSA-Authentifizierungs-Managers.

  2. Klicken Sie im Menü Agent-Host auf Agent-Host hinzufügen.

  3. Geben Sie im Feld Name den Namen des Computers ein, auf dem Forefront TMG ausgeführt wird. Der Name muss in eine IP-Adresse im lokalen Netzwerk des RSA-Authentifizierungs-Managers aufgelöst werden.

  4. Geben sie sofern erforderlich im Feld Netzwerkadresse die IP-Adresse des Computers ein, auf dem Forefront TMG ausgeführt wird.

  5. Klicken Sie in der Liste Agenttyp auf die Option Net OS Agent.

  6. Wenn sich alle Benutzer authentifizieren können sollen, aktivieren Sie Für alle lokal bekannten Benutzer öffnen.

  7. Klicken Sie in Agent-Host auf Konfigurationsdateien generieren. Klicken Sie auf Ein Agent-Host, auf OK, doppelklicken Sie auf den Namen des Computers, auf dem Forefront TMG ausgeführt wird, und speichern Sie auf diesem Computer die Datei Sdconf.rec im Ordner %windir%\system32.

    noteHinweis:
    Die Datei <ui>Sdconf.rec</ui> befindet sich in der Standardeinstellung im Ordner <ui>ACE\Data</ui> auf dem RSA-Authentifizierungs-Manager-Computer.

  1. Überprüfen Sie auf dem Computer, auf dem Forefront TMG ausgeführt wird, ob das lokale Netzwerkdienstkonto über den Lese-/Schreibzugriff für den folgenden Registrierungsschlüssel verfügt:
    HKLM\Software\SDTI\ACECLIENT
    Dadurch wird sichergestellt, dass Forefront TMG den geheimen Schlüssel in die Registrierung schreiben kann.

  2. Konfigurieren Sie auf dem Computer, auf dem Forefront TMG ausgeführt wird, das Netzwerkdienstkonto mit Leseberechtigungen für die Datei <ui>Sdconfig.rec</ui>.

  3. Wenn der Computer, auf dem Forefront TMG ausgeführt wird, mit mehreren Netzwerkadaptern konfiguriert wurde, sollten Sie die Netzwerkadapteradresse explizit konfigurieren, über die Forefront TMG für die Authentifizierung die Verbindung zum RSA-Authentifizierungs-Manager herstellt. Geben Sie hierzu die IP-Adresse als Zeichenfolgenwert in den folgenden Registrierungsschlüssel ein:
    HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP.
    Der Wert muss mit dem im Agent-Host-Datensatz festgelegten Wert übereinstimmen.

Sie können die SecurID-Authentifizierung mithilfe des Programms für die RSA-Testauthentifizierung testen. Weitere Informationen zu dem Tool finden Sie unter RSA Test Authentication Utility for Internet Security and Acceleration (ISA) Server (http://www.microsoft.com/downloads/details.aspx?FamilyID=7b0ca409-55d0-4d33-bb3f-1ba4376d5737&DisplayLang=en – in englischer Sprache). Dieses Tool überprüft die Verbindung zwischen dem Computer, auf dem Forefront TMG ausgeführt wird, und dem Server, auf dem der RSA-Authentifizierungs-Manager ausgeführt wird. Das Tool kann auch den geheimen Schlüssel abrufen, der für die Verschlüsselung der Übertragung zwischen den Servern erforderlich ist.

 
Anzeigen: