antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 22 Март , 2011

На сайте производителя бесплатно качается сей софт. Есть множество версий, для разных ОС (для Windows Server, 32 и 64 бит, не Windows систем). Полный список легко находится на сайте. Интересно, что для закачки требуется заполнить форму с именем/фамилией, телефоном, организацией и прочей ерундой. Однако, в гугле легко находится страница со ссылками на агенты напрямую, без всяких анкет. Так что, все, что вы заполняете, вообще говоря, не обязательно. ИМХО.

Скачав нужную для данной системы софтину с агентом, не торопитесь сразу устанавливать ее. Сначала скопируйте созданный ранее файл sdconf.rec на машину. Вот теперь можно ставить. В принципе, поставить можно агента и с фейковым sdconf.rec (я создавал такой файл в блокноте). Но можно ли заставить работать агента без переустановки, просто подменив фейковый файл на настоящий, я не знаю.

После установки требуется перезагрузка (касательно Windows, я на другие не ставил) и после этого стандартное виндузовое приглашение ввести логин/ пароль заменяется на RSAйное. При этом сохраняется возможность выбора домена при помощи явного указания TESTDOMAIN\{UNAME}.
Далее, необходимо немного поднастроить агента. У меня сложилось впечатление, что настроек по дефолту достаточно, но во всяком случае проверить нужно. После установки появляется консолька RSA агента. В ней 2 закладки. Одна про работу offilne, другая про правила перехвата пользователей. По умолчанию стоит «Все, кроме локального администратора». Я поменял на «явно указанная группа OTP из AD», но это не обязательно.

Главное, что необходимо проверить после установки, что агент может связаться с сервером. Для этого используется по умолчанию UDP/5500, но можно поменять на сервере. Эта информация в числе прочего закодирована в sdconf.rec. Основное, что должно появиться после успешного контакта, это файл с ключом шифрования для конкретного агента. Можно зайти в закладку

Configuration->Authentication test

Там можно инициировать соединение, проверить токен, провести первичную аутентификацию. Если соединение успешно, то в Authentication Console на сервере данному агенту будет сопоставлен ключ шифрования.

Этого достаточно. При первом входе в систему с конкретного токена необходимо ввести в качестве пароля только указанные на экране токена 6 цифр. После этого пользователю предложат установить пин-код для своего токена для системы одноразовых паролей. После задания пин-кода надо снова ввести пасскод. Который состоит из пина (4-8 цифр) и 6 цифр с экрана токена. Будьте терпеливы, дождитесь смены пароля на экране прежде чем вводить новый пароль.
Агент далее пошлет этот логин/пароль на сервер, сервер узнает в AD, есть ли такой пользователь и привязан ли к нему токен.

Токены 800 серии.

Этот токен имеет USB разъем. И лично я был введен в заблуждение тем, что данный токен может использоваться как обычный вычислитель одноразовых ключей, так и как смарт-карта. На эту смарт-карту можно записать закрытый ключ и сертификаты к нему, параметры аутентификации (профили подключения) в домен Windows и т.д. И эта смарт-катра тоже имеет пин-код! Он не имеет никакого отношения к пин-коду для системы одноразовых ключей. Для использования токена как смарт-карты его необходимо вставлять в USB и устанавливать специальный драйвер поддержки смарт-карты такого типа. Можно просто запомнить, что при использовании токена как генератора одноразовых ключей, вставлять его в USB не нужно!

 

Метки: ,
Опубликовано: Holywar

 

One Response to “SecurID. Часть 3. Настройка Authentication agent”

comment rss - Trackback

  1. Интересная штука! Надо будет как-нибудь получить триальник и поковырять.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.