RSASecurID管理員操作手冊

1、RSA SecurID 7.1管理員手冊RSA SSecuurIDD 7.1管理員操作作手冊目 錄TOC o 1-3 h z u HYPERLINK l _Toc294256816 一、RSSA 77.1安安裝 PAGEREF _Toc294256816 h 1 HYPERLINK l _Toc294256817 1.1.RSAA 7.1 WWinddowss版安裝裝需求及及注意事事項(xiàng) PAGEREF _Toc294256817 h 1 HYPERLINK l _Toc294256818 1.2.安裝RSSA AAuthhentticaatonn Maanagger PAGEREF _Toc2

2、94256818 h 2 HYPERLINK l _Toc294256819 二、RSSA 77.1基基本運(yùn)行行與維護(hù)護(hù) PAGEREF _Toc294256819 h 11 HYPERLINK l _Toc294256820 2.1.令牌相相關(guān)操作作 PAGEREF _Toc294256820 h 11 HYPERLINK l _Toc294256821 2.1.11.導(dǎo)入令令牌種子子文件IImpoort Tokkenss Joob PAGEREF _Toc294256821 h 11 HYPERLINK l _Toc294256822 2.1.22.查看令令牌 MManaage Seccu

3、rIID TTokeens PAGEREF _Toc294256822 h 13 HYPERLINK l _Toc294256823 2.1.33.令牌統(tǒng)統(tǒng)計(jì)Tookenn Sttatiistiics PAGEREF _Toc294256823 h 14 HYPERLINK l _Toc294256824 2.1.44.修改令令牌驗(yàn)證證方式CChannge Tokken to Autthennticcatee wiith PAGEREF _Toc294256824 h 15 HYPERLINK l _Toc294256825 2.2.用戶相相關(guān)操作作 PAGEREF _Toc294256825

4、 h 16 HYPERLINK l _Toc2942568226 2.22.1.查詢用用戶Maanagge UUserrs PAGEREF _Toc294256826 h 16 HYPERLINK l _Toc294256827 2.2.22.分配令令牌Asssiggn TTokeen PAGEREF _Toc294256827 h 17 HYPERLINK l _Toc294256828 2.2.33.解除令令牌綁定定Unaassiign Tokken PAGEREF _Toc294256828 h 19 HYPERLINK l _Toc294256829 2.3.登錄狀狀態(tài)的監(jiān)監(jiān)控 PAG

5、EREF _Toc294256829 h 20 HYPERLINK l _Toc294256830 三、RSSA SSelff-seerviice Connsolle的使使用 PAGEREF _Toc294256830 h 21 HYPERLINK l _Toc294256831 3.1.自服務(wù)務(wù)系統(tǒng)的的使用 PAGEREF _Toc294256831 h 21 HYPERLINK l _Toc294256832 3.2.匯報(bào)問問題 PAGEREF _Toc294256832 h 26 HYPERLINK l _Toc294256833 四、售后后服務(wù)熱熱線 PAGEREF _Toc29425

6、6833 h 29 HYPERLINK l _Toc294256834 4.1郵郵件方式式 PAGEREF _Toc294256834 h 29 HYPERLINK l _Toc294256835 4.22電話方方式 PAGEREF _Toc294256835 h 29第33頁RSA 77.1安安裝RSA AACE/Serrverr是集中中的雙因因素認(rèn)證證中心，除除了響應(yīng)應(yīng)RSAA ACCE/AAgennt傳送送過來的的認(rèn)證請請求以外外，管理理員還可可以定義義安全策策略，允允許不同同的用戶戶訪問不不同受保保護(hù)網(wǎng)絡(luò)絡(luò)資源的的權(quán)限，設(shè)設(shè)定不同同用戶的的存取時(shí)時(shí)間等；同時(shí)RRSA ACEE/Seer

7、veer忠實(shí)實(shí)地記錄錄用戶的的每次認(rèn)認(rèn)證請求求，包括括用戶名名、時(shí)間間、訪問問的服務(wù)務(wù)器以及及是否通通過認(rèn)證證等信息息，以備備日后審審計(jì)；另另外，RRSA ACEE/Seerveer還可可以檢測測惡意企企圖并做做出響應(yīng)應(yīng)，例如如用戶連連續(xù)輸錯(cuò)錯(cuò)3此認(rèn)認(rèn)證碼以以后自動動進(jìn)入NNexttTokken模模式，必必須連續(xù)續(xù)輸入兩兩個(gè)正確確的認(rèn)證證碼才能能通過認(rèn)認(rèn)證，連連續(xù)輸錯(cuò)錯(cuò)10次次認(rèn)證碼碼以后自自動禁止止此帳號號。RSA AACE/Serrverr可以運(yùn)運(yùn)行于SSolaariss、AIIX、HHP-UUX和WWinddowss操作系系統(tǒng)平臺臺上。一一個(gè)RSSA AACE/Serrverr可以提提供

8、百萬萬級用戶戶數(shù)的容容量。RRSA ACEE/Seerveer有兩兩種許可可證：基基本許可可證（BBasee Liccensse）和和高級許許可證（AAdvaanceed LLiceensee）?；驹S可可證允許許用戶安安裝一臺臺主服務(wù)務(wù)器（PPrimmaryy Serveer）和和一臺從從服務(wù)器器（Reepliica Serrverr）；而而高級許許可證允允許部署署最多66個(gè)服務(wù)務(wù)器域（Realm），每個(gè)域由一臺主服務(wù)器和最多十臺從服務(wù)器組成，這種架構(gòu)不僅確保了高有效性，同時(shí)可以適合大型的全球網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。RSA 77.1 Winndowws版安安裝需求求及注意意事項(xiàng)支持的操作作系統(tǒng)：Mi

9、croosofft WWinddowss Seerveer 220033 Ennterrpriise R2 SP22 (332-bbit)Microosofft WWinddowss Seerveer 220033 Ennterrpriise SP22 (332-bbit)Microosofft WWinddowss Seerveer 220033 Ennterrpriise R2 SP22 (664-bbit)Microosofft WWinddowss Seerveer 220033 Ennterrpriise SP22 (664-bbit)Note: RAADIUUS iis nnot

10、suppporrtedd onn 644-biit WWinddowss annd Linnux sysstemms.硬件需求：Intell Xeeon 2.88 GHHz oor eequiivallentt (332-bbit)Intell Xeeon 2.88 GHHz oor eequiivallentt (664-bbit)3GB 物物理內(nèi)存存NTFS 文件系系統(tǒng)60GB 磁盤空空間支持的瀏覽覽器：Windoows系系統(tǒng)：Interrnett Exxploorerr 6.0 wwithh SPP2 ffor Winndowws XXPInterrnett Exxploorerr 7.

11、0 ffor Winndowws XXP aand Winndowws VVisttaFireffox 2.00Linuxx系統(tǒng)：Fireffox 2.00Solarris系系統(tǒng)：Fireffox 2.00Mozillla 1.007注意事項(xiàng)：RSA AAuthhentticaatioon MManaagerr 必須須安裝在在NTFFS分區(qū)區(qū)上。RSA SSecuurIDD以時(shí)間間同步技技術(shù)為核核心，安安裝 RRSA Autthennticcatiion Mannageer 前前必須調(diào)調(diào)準(zhǔn)服務(wù)務(wù)器的時(shí)時(shí)間，包包括時(shí)區(qū)區(qū)、日期期和時(shí)間間。將所有 RRSA Autthennticcatiion M

12、annageer 服服務(wù)器的的全名和和IP地地址寫入入所有 RSAA Auutheentiicattionn Maanagger 服務(wù)器器的hoostss文件中中（wwinnntssysttem332ddrivverssettchhostts）。 安裝RSSA AAuthhentticaatonn Maanagger 首先修改AAM服務(wù)務(wù)器的hhostts文件件，將本本機(jī)的iip地址址和主機(jī)機(jī)名加入入hossts記記錄中，主主機(jī)名需需要寫成成域名形形式的，如如沒有加加入域環(huán)環(huán)境可在在實(shí)際主主機(jī)名后后加上.comm；如需需修改計(jì)計(jì)算機(jī)名名或加入入域環(huán)境境需要重重啟后生生效。HHostts文件件修

13、改路路徑：CC:WWINDDOWSSsyysteem322drriveersetcchoostss，如下下圖：查看系統(tǒng)時(shí)時(shí)間是否否是標(biāo)準(zhǔn)準(zhǔn)北京時(shí)時(shí)間，如如不是需需要修改改或同步步。插入RSAA Auutheentiicattionn Maanagger 7.1光盤盤。運(yùn)行auttoruun.eexe啟啟動安裝裝安裝向?qū)雍簏c(diǎn)點(diǎn)擊Innstaall Noww點(diǎn)擊nexxt，選擇“Yoou aare a ccusttomeer oordeerinng tthiss RSSA pprodductt frrom RSAA Seecurrtiyy Irrelaand Limmiteed, froom

14、 EEuroope, Affricca oor AAsiaa Paaciffic”第二個(gè)個(gè)選項(xiàng)表表明在亞亞太地區(qū)區(qū)購買的的RSAA產(chǎn)品。選擇“I accceptt thhe ttermms oof tthe liccensse aagreeemeent”接受許許可條款款。選擇需要安安裝RSSA AAuthhentticaatioon MManaagerr的類型型“Priimarry RRSA Autthennticcatiion Mannageer”，選擇擇“Nexxt”繼續(xù)。指定RSAA Auutheentiicattionn Maanagger軟軟件安裝裝目錄，然然后選擇擇“Nexxt”繼

15、續(xù)。如hostts文件件已將主主機(jī)名和和ip地地址添加加完畢，此此界面會會自動讀讀取本機(jī)機(jī)的完整整主機(jī)名名和ipp地址，如如沒有自自動讀取取，說明明hossts文文件沒有有添加正正確。指定RSAA Auutheentiicattionn Maanagger Liccensse路徑徑，Baase liccensse支持持安裝一一主一從從兩臺設(shè)設(shè)備，選選擇“Nexxt”繼續(xù)。檢查liccensse信息息是否正正確，點(diǎn)點(diǎn)擊Neext繼繼續(xù)。設(shè)定超級管管理員的的用戶名名和密碼碼，此用用戶名和和密碼用用于登錄錄管理SSecuuritty CConssolee, OOperratiion Connsoll

16、e和SSelff-seerviice Connsolle，默默認(rèn)每33個(gè)月需需要修改改一次，選擇“Next”繼續(xù)。選擇需要的的logg類型，建建議全選選，選擇擇“Nexxt”繼續(xù)。查看安裝摘摘要，選選擇“Insstalll”開始安安裝。 安裝過程將將持續(xù)半半個(gè)小時(shí)時(shí)至一個(gè)個(gè)小時(shí)不不等，取取決于服服務(wù)器的的性能，直到出現(xiàn)以下界面完成安裝。點(diǎn)擊Finnishh完成安安裝，桌桌面上會會出現(xiàn)三三個(gè)圖標(biāo)標(biāo)，分別別是：RSA SSecuuritty CConssolee HYPERLINK :7004/IMS-AA-IDP/logonPrompt.do?action=nvPreLogin httpss:/

17、nicce-rrsa-vm001-001.ccom:70004/IIMS-AA-IDPP/loogonnProomptt.doo?acctioon=nnvPrreLooginnRSA SSecuuritty OOperratiionss Coonsoole HYPERLINK :7072/operations-console/ httpss:/nicce-rrsa-vm001-001.ccom:70772/ooperratiionss-coonsoole/RSA SSelff-Seerviice Connsolle HYPERLINK :7004/console-selfservice/ ht

18、tpss:/nicce-rrsa-vm001-001.ccom:70004/cconssolee-seelfsservvicee/安裝完成后后所有RRSA必必需的服服務(wù)會自自動啟動動，并且且默認(rèn)設(shè)設(shè)置為開開機(jī)自動動啟動。RSA 77.1基本本運(yùn)行與維維護(hù)管理員可以以在服務(wù)務(wù)器本地地執(zhí)行RSSA SSecuuritty CConssolee中來進(jìn)進(jìn)行絕大大部分的的管理操操作： HYPERLINK :7004/IMS-AA-IDP/logonPrompt.do?action=nvPreLogin htttps:/nnicee-rssa-vvm011-011.coom:770044/IMMS-AAA

19、-IIDP/loggonPPrommpt.do?acttionn=nvvPreeLoggin令牌相關(guān)操操作在Authhentticaatioon菜單單下，管管理員可可以進(jìn)行行與令牌牌或種子子文件相相關(guān)的一一些操作作。一般般來說，系系統(tǒng)安裝裝完畢之之后，管管理員的的第一步步工作就就是導(dǎo)入入種子文文件。導(dǎo)入令牌種種子文件件Impportt Tookenns JJob插入SeccurIID種子子盤，將將.XMML文件件拷入服服務(wù)器。選選擇Auutheentiicattionn SeecurrID Tokkenss - Impportt Tookenns JJob Addd NNew。在Impoort

20、 Fille欄中中點(diǎn)擊“瀏覽”，選擇擇種子文文件的路路徑，之之后輸入入種子文文件的密密碼,點(diǎn)點(diǎn)擊Suubmiit JJob。種子導(dǎo)入成成功。查看令牌 Mannagee SeecurrID Tokkenss在Authhentticaatioon SeecurrID Tokkenss Maanagge EExisstinng中查查看已導(dǎo)導(dǎo)入的令令牌。選擇Unaassiigneed未分分配令牌牌，點(diǎn)擊擊seaarchh。所有未分配配的令牌牌均顯示示出來。令牌統(tǒng)計(jì)TTokeen SStattistticss在這個(gè)菜單單下，管管理員可可以查看看目前令令牌的相相關(guān)統(tǒng)計(jì)計(jì)信息，如如：已分分配給用用戶的令令牌

21、數(shù)、可可用的令令牌數(shù)、已已過期的的令牌數(shù)數(shù)、即將將在900天內(nèi)過過期的令令牌數(shù)等等。Autheentiicattionn SeecurrID Tokkenss Sttatiistiics中中可以看看到當(dāng)前前所有令令牌的狀狀態(tài)信息息。修改令牌驗(yàn)驗(yàn)證方式式Chaangee Tookenn too Auutheentiicatte wwithh選中所有令令牌，在在上方的的下拉菜菜單中選選擇Doont RRequuiree SeecurrID PINN，可根據(jù)據(jù)用戶的的要求，將將所有令令牌設(shè)定定為無PPIN模模式。無PIN模模式設(shè)置置完成。用戶相關(guān)操操作在Idenntitty菜單單下，管管理員可可以進(jìn)

22、行行添加用用戶、編編輯用戶戶、刪除除用戶、查查詢外部部LDAAP用戶戶等操作作：查詢用戶MManaage Useers在Userrs Maanagge EExisstinng選項(xiàng)項(xiàng)中，將將Ideentiity Souurcee選為IInteernaal DDataabasse，點(diǎn)點(diǎn)擊Seearcch顯示出RSSA內(nèi)置置數(shù)據(jù)庫庫中的所所有用戶戶信息分配令牌AAssiign Tokken選中其中一一個(gè)域用用戶右側(cè)側(cè)的箭頭頭，選擇擇SeccurIID TTokeens，查查看當(dāng)前前用戶已已分配的的令牌。如該用戶未未被分配配令牌則則顯示如如上，點(diǎn)點(diǎn)擊Asssiggn TTokeen給該該用戶分分配新令

23、令牌。在選中的令令牌號碼碼打勾，并并點(diǎn)擊上上方的AAssiign，將將這個(gè)令令牌分配配給該用用戶。顯示令牌分分配成功功，令牌牌狀態(tài)為為Acttie。解除令牌綁綁定Unnasssignn Tookenn當(dāng)某個(gè)用戶戶不再使使用令牌牌或變更更令牌（如如測試賬賬號結(jié)束束測試、用用戶離職職等情況況下），管管理員可可以將令令牌解除除與該用用戶的綁綁定：點(diǎn)擊已綁定定用戶的的令牌右右側(cè)的三三角，選選擇Unnasssignn Tookenn，即可可解除這這塊令牌牌與該用用戶的綁綁定。登錄狀態(tài)的的監(jiān)控在Repoortiing Reeal-timme AActiivitty MMoniitorr Auutheent

24、iicattionn Acctivvityy Moonittor中中可以監(jiān)監(jiān)測到所所有用戶戶登錄的的狀態(tài)，不不論登錄錄成功與與否都會會有記錄錄，這是是排查登登錄失敗敗原因的的最重要要工具。打開Monnitoor后點(diǎn)點(diǎn)擊左上上角的SStarrt MMoniitorr，就會會開始自自動記錄錄所有的的用戶登登錄狀態(tài)態(tài)及報(bào)錯(cuò)錯(cuò)信息。在排查登錄錄失敗的的原因時(shí)時(shí)推薦將將ACSS的Acccesss llog也也打開兩兩邊同時(shí)時(shí)排查，以以便更準(zhǔn)準(zhǔn)確的定定位失敗敗原因。RSA SSelff-seerviice Connsolle的使使用自服務(wù)系統(tǒng)統(tǒng)的使用用管理員和用用戶均可可登錄RRSA Sellf-SSer

25、vvicee Coonsoole： HYPERLINK :7004/console-selfservice/ htttps:/nnicee-rssa-vvm011-011.coom:770044/coonsoole-sellfseerviice/ 來訪問問自服務(wù)務(wù)系統(tǒng)，用用戶可通通過它自自行解決決令牌忘忘帶或遺遺失等問問題，省省去管理理員很多多繁瑣的的操作。點(diǎn)點(diǎn)擊Loog oon登錄錄自服務(wù)務(wù)控制臺臺。輸入用戶名名后可自自己選擇擇輸入靜靜態(tài)密碼碼或令牌牌碼，如如令牌忘忘帶或丟丟失可選選擇輸入入管理員員賦予的的靜態(tài)密密碼。第一次登錄錄系統(tǒng)會會提出55個(gè)問題題，這些些問題的的答案由由用戶自自行回答

26、答并牢記記，作為為用戶忘忘記密碼碼后找回回的依據(jù)據(jù)。登錄成功后后會顯示示該用戶戶目前關(guān)關(guān)聯(lián)令牌牌的信息息及用戶戶信息，右右側(cè)Myy Prrofiile欄欄中有CChannge youur PPasssworrd選項(xiàng)項(xiàng)，可根根據(jù)用戶戶自己需需要更改改登錄自自服務(wù)系系統(tǒng)的靜靜態(tài)密碼碼。在My SSecuurIDD Tookenns一欄欄中，用用戶可測測試自己己tokken的的可用性性或報(bào)告告tokken產(chǎn)產(chǎn)生的問問題。點(diǎn)擊Tesst yyourr tookenn后即可可測試令令牌可用用性，在在Useer IID欄中中輸入用用戶名，PPassscodde欄中中輸入令令牌碼，點(diǎn)點(diǎn)擊Teest。如令牌工作作正常則則提示如如上。如點(diǎn)擊Reeporrt aa prrobllem witth yyourr tookenn, 則則會彈出出詢問令令牌問題題的選項(xiàng)項(xiàng)，以忘忘帶或遺遺失為例例，點(diǎn)選選Tokken is temmporrariily unaavaiilabble or missplaacedd。系統(tǒng)會為該該用戶隨隨機(jī)生成成一個(gè)可可登錄密密碼來代代替忘帶帶或遺失失的令牌牌密碼，但但該密碼碼具有時(shí)時(shí)效性，只只可在下下面所顯顯