SecurID認証によるユーザアカウントの作成
SecurIDは、ユーザがトークン認証デバイスを所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスである。ソフトウェアトークンは、ユーザが認証を希望するPCやデバイスに置かれます。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースに対して認証を試みる場合、AMによってワンタイムのコードが検証される必要があります。
セキュリティゲートウェイは、リモートユーザによる認証要求をAM に転送します。AMは、RSAユーザのデータベースと、割り当てられたハードトークンまたはソフトトークンを管理します。セキュリティゲートウェイはAMエージェントとして機能し、すべてのアクセス要求をAMに送り認証します。エージェント構成の詳細については、RSA Authentication Managerのドキュメントを参照してください。SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。
SecurID認証を設定した後、さらに証明書ファイルによる認証を設定することができます。その後、ユーザはSecurIDまたは証明書ファイルを使ってセキュリティゲートウェイを認証できます。
ユーザにSecurID認証を設定するには
-
認証リクエストを送信するAPIを設定する
2つのAPIタイプのうち、いずれかを選択して有効にすることができます。
-
SDKがサポートするAPI
特定のプラットフォームで利用可能なSDKを通じて、UDPポート5500で独自の通信プロトコルを使用する独自のAPI。
SDKがサポートするAPI上でSecurID認証を有効にするには
-
ACE/サーバで
sdconf.rec
ファイルを作成し、コンピュータにコピーします。詳細はRSAのドキュメントを参照。
重要 - ACE/サーバに接続するセキュリティゲートウェイインタフェースのIPアドレスを使用します。
-
特定のセキュリティゲートウェイの場合 - IPアドレスを認証エージェントとして設定します。
-
クラスタの場合 - 以下のIPアドレスを認証エージェントとして構成します:各クラスタメンバの物理IPアドレスとクラスタ仮想IPアドレス。
-
特定のVSXゲートウェイ 上のVSXバーチャルシステムの場合 - 以下のIPアドレスを認証エージェントとして設定します:VSXゲートウェイ のIPアドレスと仮想システムのIPアドレス。
-
VSX クラスタ上のVSX仮想システムの場合- 以下のIPアドレスを認証エージェントとして設定する:VSXクラスタのクラスタ仮想IPアドレスと仮想システムのクラスタ仮想IPアドレス。
-
-
SmartConsoleでSecurIDオブジェクトを開き、参照をクリックして、
sdconf.rec
ファイルをSecurIDオブジェクトにインポートします。 -
ポリシーのインストール
注 - ポリシーのインストール中に、
sdconf.rec
ファイルがセキュリティゲートウェイから/var/ace/sdconf.rec
に転送されます。
-
-
REST API
REST API上でSecurID認証を有効にするには
-
Security Groupでコマンドラインに接続します。
-
エキスパートモードにログインします。
-
VSXゲートウェイまたはVSXクラスタメンバで、VSID 0のコンテキストに移動します。
vsenv 0
-
現在の
$CPDIR/conf/RSARestServer.conf
ファイルをバックアップします。cp -v $CPDIR/conf/RSARestServer.conf{,_BKP}
-
$CPDIR/conf/RSARestServer.conf
ファイルを編集します。次のフィールドに入力します。
-
host
- 設定されているRSAサーバのホスト名。 -
port
、client key
、accessid
- RSA SecurID Authentication APIウィンドウから。 -
certificate
- 証明書ファイルの名前。
-
-
変更内容をファイルに保存し、エディタを終了します。
-
注 - REST APIの設定を完了しない場合、認証はSDKがサポートするAPIを介して行われます。
-
-
ユーザグループの設定
-
SmartConsoleで、オブジェクトエクスプローラ(F11)を開きます。
-
New > More > User/Identity > User Group をクリックします。
New User Groupウィンドウが開きます。
-
たとえば、SecurID_Usersなどのグループ名を入力します。
グループが空であることを確認します。
-
クリックOK。
-
SmartConsoleセッションを公開する。
-
ポリシーをインストールします。
-
-
新規ユーザを作成し、認証方法としてSecurIDを定義します。
この設定手順は、内部ユーザ(SmartConsoleで定義)と外部ユーザで異なります。
内部ユーザのSecurID認証設定を行うには
内部ユーザとは、SmartConsoleで設定したユーザのことです。Security Management Serverは、これらのユーザを管理データベースに保持します。
-
SmartConsoleで、オブジェクトエクスプローラ(F11)を開きます。
-
New > More > User/Identity > User をクリックします。
New Userウィンドウが開きます。
-
テンプレートを選択します。
-
クリックOK。
-
Generalページで。
-
デフォルトのNameを入力します。この名前は、認証マネージャがユーザを認証するために使用されます。
-
Expiration(有効期限)を設定します。
-
-
Authenticationページで、Authentication MethodドロップダウンリストからSecurIDを選択します。
-
クリックOK。
外部ユーザのSecurID認証設定を行うには
外部ユーザとは、Legacy SmartDashboardを構成するユーザです。Security Management Serverは、これらのユーザを管理データベースに保持しません。
-
SmartConsoleで、Manage & Settings > Bladesをクリックします。
-
Mobile Accessセクションで、Configure in SmartDashboardをクリックします。
レガシーSmartDashboardが開きます。
-
左下のNetwork Objectsペインで、Usersをクリックします。
-
空いているスペースで右クリックし、該当するオプションを選択します。
-
外部認証スキームを1つだけサポートする場合は、New > External User Profile > Match all users を選択します。
-
複数の外部認証スキームをサポートしている場合は、New > External User Profile > Match by domainを選択します。
-
-
External User Profileのプロパティを設定します。
-
General Propertiesページ:
-
Match all usersを選択した場合、次のように設定します。
-
External User Profile nameフィールドで、デフォルトの名前
generic*
をそのままにしておきます。 -
Expiration Dateフィールドに、該当する日付を設定します。
-
-
Match by domainを選択した場合、次のように設定します。
-
External User Profile nameフィールドに、該当する名前を入力します。この名前は、認証マネージャがユーザを認証するために使用されます。
-
Expiration Dateフィールドに、該当する日付を設定します。
-
Domain Name matching definitionsセクションで、該当する設定を行います。
-
-
-
Authenticationページ:
Authentication Schemeドロップダウンリストから、SecurIDを選択します。
-
クリックOK。
-
-
上部のツールバーから、Updateをクリックします(またはCTRL Sキーを押す)。
-
レガシーSmartDashboardを閉じます。
-
-
SecurID認証の設定を完了する
-
アドレス変換ルールベースで、セキュリティゲートウェイとAuthentication Manager間の接続がNAT処理されていないことを確認します。
仮想システム上では、sk107281の指示に従います。
-
SmartConsoleでポリシーの保存、検証、インストールを行います。
セキュリティゲートウェイに複数のインタフェースがある場合、セキュリティゲートウェイ上のSecurIDエージェントが認証マネージャからの応答を復号する際に誤ったインタフェースIPを使用し、認証に失敗することがありました。
この問題を解決するには、
sdopts.rec
という名前の新しいテキストファイルを、sdconf.rec
と同じディレクトリに置きます。ファイルには、次の行が含まれている必要があります。
CLIENT_IP=<IP Address>
ここでの
<IP Address>
は、Authentication Managerで定義されたセキュリティゲートウェイのプライマリIPアドレスです。サーバのルーティング先となるインタフェースのIPアドレスとなります。例:
CLIENT_IP=192.168.20.30
注 - VSXゲートウェイとVSXクラスタメンバでは、VSID 0のコンテキストと該当する各仮想システムのコンテキストで、同じ
sdopts.rec
ファイルを作成する必要があります。 -