設定 SecurID 伺服器

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

RSA SecurID 是以 RSA Security Inc. 提供的技術為基礎。

Forefront TMG 可以使用 SecurID 來驗證用戶端對於遠端虛擬私人網路 (VPN),以及透過 Forefront TMG 發行之內部公司網頁伺服器的存取。 若要存取受保護的資源,SecurID 需要用戶端提供其個人識別碼 (PIN),以及會產生限時單次密碼的實體 Token。 請注意,存取同時需要 PIN 和 Token 產生的單次密碼。

設定 Forefront TMG 的 SecurID 驗證伺服器包含以下步驟:

  1. 在依照 RSA 文件安裝 RSA 驗證管理員之後,建立代理程式主機記錄,以設定 RSA 驗證管理員接受來自 Forefront TMG 的連線以進行使用者驗證。

  2. 確認權限及網路介面卡設定。

  3. 確認 RSA 驗證管理員的連線。

  4. 設定 SecurID 內容。

下列程序描述如何:

  • 建立代理程式主機記錄。

  • 確認權限及介面卡設定。

  • 確認連線。

  1. 在執行 RSA 驗證管理員的電腦上,按一下 [啟動],然後按一下 [RSA 驗證管理員主機模式]

  2. [代理程式主機] 功能表上,按一下 [新增代理程式主機]

  3. [名稱] 方塊中,輸入執行 Forefront TMG 之電腦的名稱。 這個名稱必須解析為本機 RSA 驗證管理員網路的 IP 位址。

  4. 如果需要,請在 [網路位址] 方塊中,輸入執行 Forefront TMG 之電腦的 IP 位址。

  5. [代理程式類型] 清單中,按一下 [網路 OS 代理程式]

  6. 如果您要所有使用者都可以驗證,請選取 [開放給所有本機已知的使用者]

  7. [代理程式主機] 中,按一下 [產生設定檔案]。 按一下 [一個代理程式主機],按一下 [確定],按兩下執行 Forefront TMG 之電腦的名稱,然後將 Sdconf.rec 檔案儲存到執行 Forefront TMG 之電腦上的 %windir%\system32 資料夾。

    note附註:
    根據預設,Sdconf.rec 檔案位於 RSA 驗證管理員電腦上的 ACE\Data 資料夾中。

  1. 在執行 Forefront TMG 的電腦上,檢查本機 Network Service 帳戶具有以下登錄機碼的讀取/寫入權限:
    HKLM\Software\SDTI\ACECLIENT
    。這可以確定 Forefront TMG 能夠將機密寫入登錄。

  2. 在執行 Forefront TMG 的電腦上,設定 Network Service 帳戶具有 Sdconfig.rec 檔案的讀取權限。

  3. 如果設定執行 Forefront TMG 的電腦具有多張網路介面卡,您應該明確地設定網路介面卡位址,Forefront TMG 可以透過這個位址連線至 RSA 驗證管理員進行驗證。 若要這樣做,請在以下登錄機碼指定 IP 位址的字串值:
    HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP
    。這個指定的值必須符合代理程式主機記錄中設定的值。

您可以使用 RSA 測試驗證公用程式測試 SecurID 驗證。 如需有關工具的詳細資訊,請參閱用於 Internet Security and Acceleration (ISA) Server 的 RSA 測試驗證公用程式 (http://www.microsoft.com/downloads/details.aspx?FamilyID=7b0ca409-55d0-4d33-bb3f-1ba4376d5737&DisplayLang=en) (英文)。 這個工具會檢查執行 Forefront TMG 之電腦與執行 RSA 驗證管理員之伺服器間的連線能力。 該工具也可以取得伺服器之間加密通訊所需的密碼。

 
顯示: