rsa雙因素身份認(rèn)證系統(tǒng)安裝等售后securid實(shí)施方案細(xì)則

1、RSA SecurID 實(shí)施方案細(xì)則一、實(shí)施方案設(shè)計(jì)11 系統(tǒng)總體實(shí)施方案RSA SecurID整體解決方案包括RSA Aerver、令牌和RSA ACE/Agent三部分，所以在部署的時(shí)候可以根據(jù)這三個(gè)部分分別部署.1.1.1ARSA Aerver的部署erver 是集中的雙認(rèn)證中心，除了響應(yīng)RSA ACE/Agent 傳送過來的認(rèn)證請(qǐng)求以外，管理員還可以定義安全策略，允許不同的用戶不同受保護(hù)網(wǎng)絡(luò)資源的權(quán)限，設(shè)定不同用戶的存取時(shí)間等；同時(shí) RSA Aerver 忠實(shí)地用戶的每次認(rèn)證請(qǐng)求，包括用戶名、時(shí)間、的服務(wù)器以及是否通過認(rèn)證等信息，以備日后審計(jì)；另外，RSA Aerver 還可以檢測(cè)企圖

2、并做出響應(yīng)，例如用戶連續(xù)輸錯(cuò) 3 此認(rèn)證碼以后自動(dòng)進(jìn)入NextToken 模式，必須連續(xù)輸入兩個(gè)正確的認(rèn)證碼才能通過認(rèn)證，連續(xù)輸錯(cuò) 10 次認(rèn)證碼以后自動(dòng)此帳號(hào)。RSA Aerver 可以運(yùn)行于 Solaris、AIX、HP-UX 和 Windows 操作系統(tǒng)上。一個(gè) RSA Aerver 可以提供百萬級(jí)用戶數(shù)的容量。RSA Aerver 有兩證：基本證（Base License）和高級(jí)證（Advanced License）?；N本證允許用戶安裝一臺(tái)主服務(wù)器（Primary Server）和一臺(tái)從服務(wù)器（ReplicaServer）；而高級(jí)證允許部署最多 6 個(gè)服務(wù)器域（Realm），每個(gè)域由

3、一臺(tái)主服務(wù)器和最多十臺(tái)從服務(wù)器組成，這種架構(gòu)不僅確保了高有效性，同時(shí)可以適合大型的全球網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。RSA Aerver Base license可以提供在以下環(huán)境中進(jìn)行部署：RSA SecurID認(rèn)證系統(tǒng)中所要管理的用戶數(shù)允許的用戶數(shù)；過RSA Aerver所用戶為保證認(rèn)證系統(tǒng)的可靠性和穩(wěn)定性需要RSA 認(rèn)證系統(tǒng)做雙機(jī)冗余部署即一臺(tái)Primary認(rèn)證服務(wù)器和一臺(tái)Replica認(rèn)證服務(wù)器的認(rèn)證結(jié)構(gòu)Prierver 和Replica Aerver，兩臺(tái)服務(wù)器之間會(huì)作自動(dòng)同步，所有信息的修改全部在Pri化信息定時(shí)同步到Replica Aerver 上完成，Prierver 會(huì)將變erver 上，并

4、確保信息的一致性；同時(shí)兩臺(tái)服務(wù)器可以同時(shí)提供認(rèn)證服務(wù)，任何一臺(tái)服務(wù)器發(fā)生故障不會(huì)導(dǎo)致認(rèn)證服務(wù)的中斷；當(dāng)Prierver 故障時(shí)，信息無法修改，可以考慮將Replica Aerver為Pri復(fù)。erver 或者將Prierver 通過以前的備份進(jìn)行恢在RSA AReplica Aerver 中用戶管理可以分為四層，Prierver 和所有的erver 組成一個(gè)完整的Realm（域），所有的用戶信息全部在這個(gè)域中，域下面可以按照地理位置分為不同的Site（地點(diǎn)），例如、上海等，在地區(qū)下面根據(jù)不同的部門、應(yīng)用和用戶級(jí)別建立不同的組（Group），例如財(cái)務(wù)部、網(wǎng)絡(luò)部、主機(jī)部、業(yè)務(wù)系統(tǒng)組、OA 組、高管

5、組、科長(zhǎng)組等，用戶可以根據(jù)部門、職位以及所需的應(yīng)用歸入多個(gè)組中，為組設(shè)定相應(yīng)的訪問權(quán)限。這種域、地點(diǎn)、組和用戶的架構(gòu)可以靈活地適應(yīng)客戶需求。管理員的管理權(quán)限由管理范圍和管理任務(wù)兩部分組成。首先需要賦予管理范圍，指定域、地點(diǎn)或者組的管理范圍，Site 管理員只能管理指定Site 下面的所有用戶和Agent，組管理員只能管理指定組下面的所有用戶；同時(shí)還可以設(shè)定管理任務(wù)，例如是否允許創(chuàng)建用戶？是否允許修改用戶？是否允許刪除用戶？是否允許分配令牌等。RSA Aerver 實(shí)施步驟包括以下幾步：1.管理員需要首先需要選擇RSA A器的機(jī)器名和IP 地址。在第一臺(tái)認(rèn)證服務(wù)器上安裝Pri文件。erver 的

6、操作系統(tǒng)，固定兩臺(tái)認(rèn)證服務(wù)2.erver，安裝過程中需要License3.在Prierver 上創(chuàng)建第二臺(tái)認(rèn)證服務(wù)器的安裝包，拷貝到第二臺(tái)認(rèn)證服務(wù)器安裝Replica Aerver。4.5.6.7.啟動(dòng)RSA A在Pri在Pri在Pri對(duì)組分配erver，在Prierver 上導(dǎo)入令牌的。erver 上創(chuàng)建所有的用戶帳號(hào)，并且指定令牌erver 上定義所有的受保護(hù)的Agent 資源。erver 上創(chuàng)建Site 和組，將用戶歸入相應(yīng)的Site 和組，集中權(quán)限。1.1.2 ACE/Agent的部署及負(fù)載均衡的實(shí)現(xiàn)RSA ACE/Agent 功能類似于保安的安全策略，確保只有經(jīng)過認(rèn)證的合法，用來實(shí)施

7、RSA Aerver 系統(tǒng)建立才能相關(guān)資源。RSA ACE/Agent是一種設(shè)備，已經(jīng)內(nèi)置在大多數(shù)業(yè)內(nèi)主流的網(wǎng)絡(luò)設(shè)備和瀏覽器以及Web 服務(wù)器系統(tǒng)中，允許安全管理員通過鼠標(biāo)點(diǎn)擊，而不是編寫代碼，為用戶和保護(hù)的資源選擇和應(yīng)用相應(yīng)的設(shè)置。RSA ACE/Agent版本 5.0 以上會(huì)通過發(fā)送一個(gè)時(shí)間請(qǐng)求包給每一個(gè)認(rèn)證服務(wù)器，然后根據(jù)每個(gè)服務(wù)器的響應(yīng)時(shí)間來決定不同的優(yōu)先級(jí)，通過這種機(jī)制既可以解決RSA Aerver 可能發(fā)生的單點(diǎn)故障問題，還可以實(shí)現(xiàn)自動(dòng)負(fù)載均衡。最快響應(yīng)的服務(wù)器獲得最高的優(yōu)先級(jí)，并接收來最多的請(qǐng)求，而其它較低的優(yōu)先級(jí)的認(rèn)證服務(wù)器則獲得較少的認(rèn)證請(qǐng)求。這種安排一直持續(xù)到 RSA AC

8、E/Agent發(fā)送另外一個(gè)時(shí)間請(qǐng)求包。如果服務(wù)器在下一次時(shí)間請(qǐng)求響應(yīng)發(fā)生次序變化，RSA ACE/Agent 也會(huì)相應(yīng)地改變優(yōu)先級(jí)。不同的系統(tǒng)安裝、配置以及啟動(dòng)RSA ACE/Agent 功能實(shí)現(xiàn)雙式是不一樣的，所以需要針對(duì)不同的系統(tǒng)進(jìn)行配置。RSA認(rèn)證的方中列舉了所有支持的第SecurID 認(rèn)證的詳細(xì)的步驟。產(chǎn)品以及配置這些產(chǎn)品實(shí)現(xiàn)在操作系統(tǒng)上安裝了RSA ACE/Agent 以后，還需要配置相應(yīng)的用戶使用令牌認(rèn)證。對(duì)于AIX 5L 和 Windows 操作系統(tǒng)，用戶只需要輸入RSA Aerver中的用戶名和雙認(rèn)證碼就可以馬上進(jìn)入操作系統(tǒng)；對(duì)于其它操作系統(tǒng)，首先要輸入用戶名，然后輸入操作系統(tǒng)

9、，還要輸入雙認(rèn)證碼才能登錄系統(tǒng)。RSA ACE/Agent 認(rèn)證應(yīng)用開發(fā)包能夠讓開發(fā)員集成RSA SecurID 到客戶或者應(yīng)用程序中。由認(rèn)證應(yīng)用開發(fā)包內(nèi)置負(fù)載平衡功能，可以自動(dòng)選擇最佳的第認(rèn)證服務(wù)器進(jìn)行通訊。程序員無需關(guān)心底層操作即可實(shí)現(xiàn)負(fù)載平衡或者容錯(cuò)能力。目前為止，RSA 提供可以在Windows NT/2000、AIX、HP-UX 和SUN Solaris環(huán)境下編譯聯(lián)結(jié)的C 函數(shù)庫(kù)，另外還可以提供在可運(yùn)行在Windows NT/2000、HP-UX 和SUN Solaris 下運(yùn)行 Java 函數(shù)庫(kù)（另外）。1.1.3 用戶端令牌的部署在客戶端只要為相應(yīng)的用戶分發(fā)令牌，不需要安裝額外的客戶端。用戶在拿到令牌首次登錄系統(tǒng)時(shí)，首先輸入用戶和令牌顯示的當(dāng)前令牌碼，通過認(rèn)證以后系統(tǒng)會(huì)要求用戶創(chuàng)建PIN 碼，用戶可以讓系統(tǒng)幫助創(chuàng)建一個(gè)隨機(jī)PIN 碼也可以自己創(chuàng)建容易的PIN 碼，創(chuàng)建成功以后，系統(tǒng)會(huì)再次要求輸入PASSCODE，這時(shí)等令牌碼跳到下一個(gè)號(hào)碼以后，連續(xù)輸入PIN 碼和令牌碼，組成雙認(rèn)證碼，通過認(rèn)證以后就可以成功登錄系統(tǒng)。用戶使用同一塊令牌就限的系統(tǒng)，不需要配備多個(gè)令牌。在 Cisco ACS 和操作系可以登錄相應(yīng)統(tǒng)中