1、RSA SecurID 實施方案細則一、實施方案設計11 系統總體實施方案RSA SecurID整體解決方案包括RSA Aerver、令牌和RSA ACE/Agent三部分，所以在部署的時候可以根據這三個部分分別部署.1.1.1ARSA Aerver的部署erver 是集中的雙認證中心，除了響應RSA ACE/Agent 傳送過來的認證請求以外，管理員還可以定義安全策略，允許不同的用戶不同受保護網絡資源的權限，設定不同用戶的存取時間等；同時 RSA Aerver 忠實地用戶的每次認證請求，包括用戶名、時間、的服務器以及是否通過認證等信息，以備日后審計；另外，RSA Aerver 還可以檢測企圖

2、并做出響應，例如用戶連續輸錯 3 此認證碼以后自動進入NextToken 模式，必須連續輸入兩個正確的認證碼才能通過認證，連續輸錯 10 次認證碼以后自動此帳號。RSA Aerver 可以運行于 Solaris、AIX、HP-UX 和 Windows 操作系統上。一個 RSA Aerver 可以提供百萬級用戶數的容量。RSA Aerver 有兩證：基本證（Base License）和高級證（Advanced License）。基種本證允許用戶安裝一臺主服務器（Primary Server）和一臺從服務器（ReplicaServer）；而高級證允許部署最多 6 個服務器域（Realm），每個域由

3、一臺主服務器和最多十臺從服務器組成，這種架構不僅確保了高有效性，同時可以適合大型的全球網絡拓撲結構。RSA Aerver Base license可以提供在以下環境中進行部署：RSA SecurID認證系統中所要管理的用戶數允許的用戶數；過RSA Aerver所用戶為保證認證系統的可靠性和穩定性需要RSA 認證系統做雙機冗余部署即一臺Primary認證服務器和一臺Replica認證服務器的認證結構Prierver 和Replica Aerver，兩臺服務器之間會作自動同步，所有信息的修改全部在Pri化信息定時同步到Replica Aerver 上完成，Prierver 會將變erver 上，并

4、確保信息的一致性；同時兩臺服務器可以同時提供認證服務，任何一臺服務器發生故障不會導致認證服務的中斷；當Prierver 故障時，信息無法修改，可以考慮將Replica Aerver為Pri復。erver 或者將Prierver 通過以前的備份進行恢在RSA AReplica Aerver 中用戶管理可以分為四層，Prierver 和所有的erver 組成一個完整的Realm（域），所有的用戶信息全部在這個域中，域下面可以按照地理位置分為不同的Site（地點），例如、上海等，在地區下面根據不同的部門、應用和用戶級別建立不同的組（Group），例如財務部、網絡部、主機部、業務系統組、OA 組、高管

5、組、科長組等，用戶可以根據部門、職位以及所需的應用歸入多個組中，為組設定相應的訪問權限。這種域、地點、組和用戶的架構可以靈活地適應客戶需求。管理員的管理權限由管理范圍和管理任務兩部分組成。首先需要賦予管理范圍，指定域、地點或者組的管理范圍，Site 管理員只能管理指定Site 下面的所有用戶和Agent，組管理員只能管理指定組下面的所有用戶；同時還可以設定管理任務，例如是否允許創建用戶？是否允許修改用戶？是否允許刪除用戶？是否允許分配令牌等。RSA Aerver 實施步驟包括以下幾步：1.管理員需要首先需要選擇RSA A器的機器名和IP 地址。在第一臺認證服務器上安裝Pri文件。erver 的

6、操作系統，固定兩臺認證服務2.erver，安裝過程中需要License3.在Prierver 上創建第二臺認證服務器的安裝包，拷貝到第二臺認證服務器安裝Replica Aerver。4.5.6.7.啟動RSA A在Pri在Pri在Pri對組分配erver，在Prierver 上導入令牌的。erver 上創建所有的用戶帳號，并且指定令牌erver 上定義所有的受保護的Agent 資源。erver 上創建Site 和組，將用戶歸入相應的Site 和組，集中權限。1.1.2 ACE/Agent的部署及負載均衡的實現RSA ACE/Agent 功能類似于保安的安全策略，確保只有經過認證的合法，用來實施

7、RSA Aerver 系統建立才能相關資源。RSA ACE/Agent是一種設備，已經內置在大多數業內主流的網絡設備和瀏覽器以及Web 服務器系統中，允許安全管理員通過鼠標點擊，而不是編寫代碼，為用戶和保護的資源選擇和應用相應的設置。RSA ACE/Agent版本 5.0 以上會通過發送一個時間請求包給每一個認證服務器，然后根據每個服務器的響應時間來決定不同的優先級，通過這種機制既可以解決RSA Aerver 可能發生的單點故障問題，還可以實現自動負載均衡。最快響應的服務器獲得最高的優先級，并接收來最多的請求，而其它較低的優先級的認證服務器則獲得較少的認證請求。這種安排一直持續到 RSA AC

8、E/Agent發送另外一個時間請求包。如果服務器在下一次時間請求響應發生次序變化，RSA ACE/Agent 也會相應地改變優先級。不同的系統安裝、配置以及啟動RSA ACE/Agent 功能實現雙式是不一樣的，所以需要針對不同的系統進行配置。RSA認證的方中列舉了所有支持的第SecurID 認證的詳細的步驟。產品以及配置這些產品實現在操作系統上安裝了RSA ACE/Agent 以后，還需要配置相應的用戶使用令牌認證。對于AIX 5L 和 Windows 操作系統，用戶只需要輸入RSA Aerver中的用戶名和雙認證碼就可以馬上進入操作系統；對于其它操作系統，首先要輸入用戶名，然后輸入操作系統

9、，還要輸入雙認證碼才能登錄系統。RSA ACE/Agent 認證應用開發包能夠讓開發員集成RSA SecurID 到客戶或者應用程序中。由認證應用開發包內置負載平衡功能，可以自動選擇最佳的第認證服務器進行通訊。程序員無需關心底層操作即可實現負載平衡或者容錯能力。目前為止，RSA 提供可以在Windows NT/2000、AIX、HP-UX 和SUN Solaris環境下編譯聯結的C 函數庫，另外還可以提供在可運行在Windows NT/2000、HP-UX 和SUN Solaris 下運行 Java 函數庫（另外）。1.1.3 用戶端令牌的部署在客戶端只要為相應的用戶分發令牌，不需要安裝額外的客戶端。用戶在拿到令牌首次登錄系統時，首先輸入用戶和令牌顯示的當前令牌碼，通過認證以后系統會要求用戶創建PIN 碼，用戶可以讓系統幫助創建一個隨機PIN 碼也可以自己創建容易的PIN 碼，創建成功以后，系統會再次要求輸入PASSCODE，這時等令牌碼跳到下一個號碼以后，連續輸入PIN 碼和令牌碼，組成雙認證碼，通過認證以后就可以成功登錄系統。用戶使用同一塊令牌就限的系統，不需要配備多個令牌。在 Cisco ACS 和操作系可以登錄相應統中