SecurID認証によるユーザアカウントの作成

SecurIDは、ユーザがトークン認証デバイスを所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ（AM）に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスである。ソフトウェアトークンは、ユーザが認証を希望するPCやデバイスに置かれます。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースに対して認証を試みる場合、AMによってワンタイムのコードが検証される必要があります。

セキュリティゲートウェイは、リモートユーザによる認証要求をAM に転送します。AMは、RSAユーザのデータベースと、割り当てられたハードトークンまたはソフトトークンを管理します。セキュリティゲートウェイはAMエージェントとして機能し、すべてのアクセス要求をAMに送り認証します。エージェント構成の詳細については、RSA Authentication Managerのドキュメントを参照してください。SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。

SecurID認証を設定した後、さらに証明書ファイルによる認証を設定することができます。その後、ユーザはSecurIDまたは証明書ファイルを使ってセキュリティゲートウェイを認証できます。

ユーザにSecurID認証を設定するには

1. 認証リクエストを送信するAPIを設定する

   2つのAPIタイプのうち、いずれかを選択して有効にすることができます。

   • SDKがサポートするAPI

     特定のプラットフォームで利用可能なSDKを通じて、UDPポート5500で独自の通信プロトコルを使用する独自のAPI。

     SDKがサポートするAPI上でSecurID認証を有効にするには

     1. ACE/サーバでsdconf.recファイルを作成し、コンピュータにコピーします。

        詳細はRSAのドキュメントを参照。

        重要 - ACE/サーバに接続するセキュリティゲートウェイインタフェースのIPアドレスを使用します。 特定のセキュリティゲートウェイの場合 - IPアドレスを認証エージェントとして設定します。 クラスタの場合 - 以下のIPアドレスを認証エージェントとして構成します：各クラスタメンバの物理IPアドレスとクラスタ仮想IPアドレス。 特定のVSXゲートウェイ 上のVSXバーチャルシステムの場合 - 以下のIPアドレスを認証エージェントとして設定します：VSXゲートウェイ のIPアドレスと仮想システムのIPアドレス。 VSX クラスタ上のVSX仮想システムの場合- 以下のIPアドレスを認証エージェントとして設定する：VSXクラスタのクラスタ仮想IPアドレスと仮想システムのクラスタ仮想IPアドレス。

     2. SmartConsoleでSecurIDオブジェクトを開き、参照をクリックして、sdconf.rec ファイルをSecurIDオブジェクトにインポートします。

     3. ポリシーのインストール

        注 - ポリシーのインストール中に、sdconf.recファイルがセキュリティゲートウェイから/var/ace/sdconf.recに転送されます。

   • REST API

     REST API上でSecurID認証を有効にするには

     1. Security Groupでコマンドラインに接続します。

     2. エキスパートモードにログインします。

     3. VSXゲートウェイまたはVSXクラスタメンバで、VSID 0のコンテキストに移動します。

        vsenv 0

     4. 現在の$CPDIR/conf/RSARestServer.confファイルをバックアップします。

        cp -v $CPDIR/conf/RSARestServer.conf{,_BKP}

     5. $CPDIR/conf/RSARestServer.confファイルを編集します。

        次のフィールドに入力します。

        • host- 設定されているRSAサーバのホスト名。

        • port、client key、accessid - RSA SecurID Authentication APIウィンドウから。

        • certificate- 証明書ファイルの名前。

     6. 変更内容をファイルに保存し、エディタを終了します。

   注 - REST APIの設定を完了しない場合、認証はSDKがサポートするAPIを介して行われます。

2. ユーザグループの設定

   1. SmartConsoleで、オブジェクトエクスプローラ(F11)を開きます。

   2. New > More > User/Identity > User Group をクリックします。

      New User Groupウィンドウが開きます。

   3. たとえば、SecurID_Usersなどのグループ名を入力します。

      グループが空であることを確認します。

   4. クリックOK。

   5. SmartConsoleセッションを公開する。

   6. ポリシーをインストールします。

3. 新規ユーザを作成し、認証方法としてSecurIDを定義します。

   この設定手順は、内部ユーザ（SmartConsoleで定義）と外部ユーザで異なります。

   内部ユーザのSecurID認証設定を行うには

   内部ユーザとは、SmartConsoleで設定したユーザのことです。Security Management Serverは、これらのユーザを管理データベースに保持します。

   1. SmartConsoleで、オブジェクトエクスプローラ(F11)を開きます。

   2. New > More > User/Identity > User をクリックします。

      New Userウィンドウが開きます。

   3. テンプレートを選択します。

   4. クリックOK。

   5. Generalページで。

      • デフォルトのNameを入力します。この名前は、認証マネージャがユーザを認証するために使用されます。

      • Expiration（有効期限）を設定します。

   6. Authenticationページで、Authentication MethodドロップダウンリストからSecurIDを選択します。

   7. クリックOK。

   外部ユーザのSecurID認証設定を行うには

   外部ユーザとは、Legacy SmartDashboardを構成するユーザです。Security Management Serverは、これらのユーザを管理データベースに保持しません。

   1. SmartConsoleで、Manage & Settings > Bladesをクリックします。

   2. Mobile Accessセクションで、Configure in SmartDashboardをクリックします。

      レガシーSmartDashboardが開きます。

   3. 左下のNetwork Objectsペインで、Usersをクリックします。

      

   4. 空いているスペースで右クリックし、該当するオプションを選択します。

      • 外部認証スキームを1つだけサポートする場合は、New > External User Profile > Match all users を選択します。

      • 複数の外部認証スキームをサポートしている場合は、New > External User Profile > Match by domainを選択します。

   5. External User Profileのプロパティを設定します。

      1. General Propertiesページ：

         • Match all usersを選択した場合、次のように設定します。

           • External User Profile nameフィールドで、デフォルトの名前generic*をそのままにしておきます。

           • Expiration Dateフィールドに、該当する日付を設定します。

         • Match by domainを選択した場合、次のように設定します。

           • External User Profile nameフィールドに、該当する名前を入力します。この名前は、認証マネージャがユーザを認証するために使用されます。

           • Expiration Dateフィールドに、該当する日付を設定します。

           • Domain Name matching definitionsセクションで、該当する設定を行います。

      2. Authenticationページ：

         Authentication Schemeドロップダウンリストから、SecurIDを選択します。

      3. クリックOK。

   6. 上部のツールバーから、Updateをクリックします（またはCTRL Sキーを押す）。

   7. レガシーSmartDashboardを閉じます。

4. SecurID認証の設定を完了する

   1. アドレス変換ルールベースで、セキュリティゲートウェイとAuthentication Manager間の接続がNAT処理されていないことを確認します。

      仮想システム上では、sk107281の指示に従います。

   2. SmartConsoleでポリシーの保存、検証、インストールを行います。

   セキュリティゲートウェイに複数のインタフェースがある場合、セキュリティゲートウェイ上のSecurIDエージェントが認証マネージャからの応答を復号する際に誤ったインタフェースIPを使用し、認証に失敗することがありました。

   この問題を解決するには、sdopts.rec という名前の新しいテキストファイルを、sdconf.recと同じディレクトリに置きます。

   ファイルには、次の行が含まれている必要があります。

   CLIENT_IP=<IP Address>

   ここでの<IP Address>は、Authentication Managerで定義されたセキュリティゲートウェイのプライマリIPアドレスです。サーバのルーティング先となるインタフェースのIPアドレスとなります。

   例:

   CLIENT_IP=192.168.20.30

   注 - VSXゲートウェイとVSXクラスタメンバでは、VSID 0のコンテキストと該当する各仮想システムのコンテキストで、同じsdopts.recファイルを作成する必要があります。