SecurID 認証による管理者アカウントの作成

SecurIDは、管理者がトークン認証器を所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ（AM）に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスです。ソフトウェアトークンは、管理者が認証を希望するPCやデバイスに常駐します。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。管理者が保護されたリソースを認証しようとする場合、AMはワンタイムユースコードを検証する必要があります。

Security Management Serverは、リモート管理者によるSecurID認証要求をAMに転送します。AMは、RSAユーザおよび割り当てられたハードトークンまたはソフトトークンのデータベースを管理します。Security Management ServerはAMエージェントとして機能し、すべてのアクセス要求をRSA AMに送り認証します。エージェント設定の詳細については、RSA Authentication Managerのドキュメントを参照してください。

SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。

SecurIDサーバの設定方法については、ベンダーのドキュメントを参照してください。

SecurID認証を設定した後、さらに証明書ファイルによる認証を設定することができます。管理者は、SecurID認証または証明書ファイルを使用してSmartConsoleを認証できます。

SmartConsoleで証明書ファイルを作成します。管理者は、証明書を使用して、SmartConsoleに2つの方法でログインできます：

• Certificate File 、SmartConsoleにログインします。証明書ファイルを使用するには、管理者がパスワードを提供する必要がある。

• Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。管理者は、この保存された証明書を使用して、CAPI証明書オプションを使用してSmartConsoleにログインできます。管理者がログインする際にパスワードを入力する必要はない。

管理者は、他の管理者に証明書を渡して、自分の管理者アカウントなしでSmartConsoleにログインさせることもできます。

管理者のSecurID認証を設定するには

1. SecurIDを使用するようにSecurity Management Serverを設定する（この手順は、SDKがサポートするAPIを使用する場合にのみ関連します。）

   1. セキュリティ管理サーバのコマンド ラインに接続します。

   2. エキスパートモードにログインします。

   3. sdconf.recファイルを/var/ace/ディレクトリにコピーします。

      /var/ace/ディレクトリが存在しない場合は、このコマンドで作成します。

      mkdir -v /var/ace/
      

   4. sdconf.recファイルにすべての権限を割り当てます。

      chmod -v 777 /var/ace/sdconf.rec

2. SecurIDサーバオブジェクトの設定

   1. 新しいSecurIDサーバオブジェクトを追加する：

      オブジェクトエクスプローラーを開き、New >More >Server >New SecurID を選択します。

   2. サーバにNameを指定します。任意の名前を選択できます。

   3. このステップはSDKがサポートするAPIにのみ適用されます：

      Browseをクリックし、sdconf.recファイルを選択します。

      これは、Security Management Serverにあるファイルのコピーでなければなりません。
      

   4. クリックOK。

3. 新しい管理者を追加し、認証方法としてSecurIDを定義します。

   1. Manage & Settings >Permissions & Administrators >Administrators >New をクリックします。

      New Administratorウィンドウが開きます。

   2. 管理者の名前を付けます。大文字と小文字を区別するユニークな文字列。

   3. Authentication methodで、SecurIDを選択します。

   4. オプション： Authentication セクション > Certificate Information で、Createをクリック：

      1. パスワードを入力します。パスワードは、証明書ファイルに含まれる機密データを保護するために必要です。

      2. クリックOK。

      3. 証明書ファイルをSmartConsoleコンピュータの安全な場所に保存します。

         注： File nameフィールドにログイン名が含まれていることを確認してください。 Save as typeドロップダウンリストで「Certificate Files (*p12)」が選択されていることを確認します。証明書ファイルは PKCS #12 形式で、拡張子は.p12です。 パスワードは、証明書ファイル内の機密データを保護するために必要です。証明書ファイルには秘密キーが含まれています。証明書が発行されたら、それをファイルに保存し、管理者にこのファイルとパスワードを渡します。管理者は、SmartConsoleでSecurity Management Serverにログインする際に、この証明書で認証を行うことができます。

   5. Permission Profileを割り当てます。

      参照: 管理者への権限プロファイルの割り当て。

   6. Expiration 、有効期限を選択し、有効な将来の日付に設定されていることを確認してください。

   7. クリックOK。

   8. SmartConsoleセッションを公開する。

4. オプション：証明書ファイルをWindows証明書ストアにインポートすることは重要です

   注- この手順は、管理者オブジェクトで証明書認証を作成し、CAPI証明書オプションを使用してSmartConsoleにログインする場合に適用されます。

   1. 必要な管理者を作成したときに保存した *.p12 ファイルを右クリックし、Install PFX をクリックします。

      Certificate Import Wizardが開きます。

   2. Store Location 、該当するオプションを選択する：

      • Current User(これはデフォルトです）

      • Local Machine

   3. Nextをクリックします。

   4. 必要な管理者証明書を作成したときに使用したのと同じ証明書パスワードを入力する。

   5. Enable strong private key protectionをクリアします。

   6. Mark this key as exportableを選択します。

   7. Nextをクリックします。

   8. Place all certificates in the following store を選択し、Browse >Personal >OK をクリックする。

   9. Nextをクリックします。

   10. Finishをクリックします。