PASSAGGIO 4 Installare e configurare RSA e EDGE1

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

RSA è il server RADIUS e OTP e viene installato prima di configurare RADIUS e OTP.

Per configurare la distribuzione RSA, seguire questa procedura:

  1. Installare il sistema operativo nel server RSA. Installare Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 nel server RSA.

  2. Configurare TCP/IP in RSA. Configurare le impostazioni TCP/IP nel server RSA.

  3. Copiare i file di installazione di Authentication Manager nel server RSA. Dopo aver installato il sistema operativo in RSA, copiare i file di Authentication Manager nel computer RSA.

  4. Aggiungere il server RSA al dominio CORP. Aggiungere RSA al dominio CORP.

  5. Disabilitare Windows firewall in RSA. Disabilitare Windows firewall nel server RSA.

  6. Installare RSA Authentication Manager nel server RSA. Installare GESTIONE AUTENTICAZIONE RSA.

  7. Configurare Gestione autenticazione RSA. Configurare Gestione autenticazione.

  8. Creare DAProbeUser. Creare un account utente a scopo di probe.

  9. Installare il token software RSA SecurID in CLIENT1. Installare il token software RSA SecurID in CLIENT1.

  10. Configurare EDGE1 come agente di autenticazione RSA. Configurare l'agente di autenticazione RSA in EDGE1.

  11. Configurare EDGE1 per supportare l'autenticazione OTP. Configurare OTP per DirectAccess e verificare la configurazione.

Installare il sistema operativo nel server RSA

  1. In RSA avviare l'installazione di Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 .

  2. Seguire le istruzioni per completare l'installazione, specificando Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 (installazione completa) e una password complessa per l'account amministratore locale. Accedere utilizzando l'account Administrator locale.

  3. Connessione RSA a una rete con accesso a Internet ed eseguire Windows Update per installare gli aggiornamenti più recenti per Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 e quindi disconnettersi da Internet.

  4. Connessione DA RSA alla subnet Corpnet.

Configurare TCP/IP in RSA

  1. In Attività di configurazione iniziale fare clic su Configura rete.

  2. In Connessioni di retefare clic con il pulsante destro del mouse su Connessione alla retelocale e quindi scegliere Proprietà.

  3. Fare clic su Protocollo Internet versione 4 (TCP/IPv4) e quindi su Proprietà.

  4. Fare clic su Utilizza il seguente indirizzo IP. Nella casella Indirizzo IP digitare 10.0.0.5. In Subnet mask digitare 255.255.255.0. In Gateway predefinitodigitare 10.0.0.2. Fare clic su Usa i seguenti indirizzi del server DNS, in Server DNS preferitodigitare 10.0.0.1.

  5. Fare clic suAvanzate e quindi sulla scheda DNS.

  6. In Suffisso DNS per questa connessionedigitare corp.contoso.come quindi fare clic due volte su OK.

  7. Nella finestra di dialogo Proprietà connessione alla rete locale fare clic su Chiudi.

  8. Chiudere la finestra Connessioni di rete.

Copiare i file di installazione di Authentication Manager nel server RSA

  1. Nel server RSA creare la cartella C:\RSA Installation.

  2. Copiare il contenuto del supporto di RSA Authentication Manager 7.1 SP4 nella cartella C:\RSA Installation.

  3. Creare la sottocartella C:\RSA Installation\License and Token.

  4. Copiare i file di licenza RSA in C:\RSA Installation\License and Token.

Aggiungere il server RSA al dominio CORP

  1. Fare clic con il pulsante Computer localee scegliere Proprietà.

  2. Nella scheda Nome computer della finestra di dialogo Proprietà del sistema fare clic su Cambia.

  3. In Nome computerdigitare RSA. In Membro difare clic su Dominio, digitare corp.contoso.come fare clic su OK.

  4. Quando vengono richieste un nome utente e una password, digitare User1 e la relativa password e fare clic su OK.

  5. Nella finestra di dialogo di benvenuto del dominio fare clic su OK.

  6. Quando viene richiesto il riavvio del computer, fare clic su OK.

  7. Nella finestra di dialogo Proprietà del sistema fare clic su Chiudi.

  8. Quando viene richiesto di riavviare il computer, fare clic su Riavvia ora.

  9. Dopo il riavvio del computer, digitare User1 e la password, selezionare CORP nell'elenco a discesa Accedi a e fare clic su OK.

Disabilitare Windows firewall in RSA

  1. Fare clic su Start,fare Pannello di controllo,fare clic su Sistema e sicurezzae quindi fare clic Windows Firewall.

  2. Fare clic su Windows Firewall attivato o disattivato.

  3. Disattivare Windows firewall per tutte le impostazioni.

  4. Fare clic su OK e chiudere Windows firewall.

Installare RSA Authentication Manager nel server RSA

  1. Se durante questo processo viene visualizzato il messaggio Avviso di sicurezza, fare clic su Esegui per continuare.

  2. Aprire la cartella C:\RSA Installation e fare doppio clic su autorun.exe.

  3. Fare clic su Installa adesso,fare clic su Avanti,selezionare l'opzione principale per le Americhe e fare clic su Avanti.

  4. Selezionare Accetto le condizioni del contratto di licenzae fare clic su Avanti.

  5. Selezionare Istanza primariae fare clic su Avanti.

  6. Nel campo Nome directory: digitare C:\RSAe fare clic su Avanti.

  7. Verificare che il nome del server (RSA.corp.contoso.com) e l'indirizzo IP siano corretti e fare clic su Avanti.

  8. Passare a C:\RSA Installation\License and Token e fare clic su Avanti.

  9. Nella pagina Verifica file di licenza fare clic su Avanti.

  10. Nel campo ID utente digitare Administratore nei campi Password e Conferma password digitare una password complessa. Fare clic su Avanti.

  11. Nella schermata di selezione del log accettare le impostazioni predefinite e fare clic su Avanti.

  12. Nella schermata di riepilogo fare clic su Installa.

  13. Al termine dell'installazione, fare clic su Fine.

Configurare Gestione autenticazione RSA

  1. Se RSA Security Console non si apre automaticamente, sul desktop del computer RSA fare doppio clic su "RSA Security Console".

  2. Se viene visualizzato l'avviso o l'avviso di sicurezza del certificato di sicurezza, fare clic su Continua per questo sito Web oppure fare clic su Sì per continuare e aggiungere il sito ai siti attendibili, se richiesto.

  3. Nel campo ID utente digitare Administrator e fare clic su OK.

  4. Nel campo Password digitare la password per l'account amministratore e fare clic su Accedi.

  5. Inserire informazioni sul token.

    1. In RSA Security Console fare clic su Authentication (Autenticazione) e quindi su SecurID Tokens (Token SecurID).

    2. Fare clic su Import Tokens Job(Processo di importazione token) e quindi su Add New (Aggiungi nuovo).

    3. Nella sezione Opzioni di importazione fare clic su Sfoglia. Individuare e selezionare il file XML dei token in C:\ Cartella RSA Installation\License and Token e fare clic su Apri.

    4. Fare clic su Invia processo nella parte inferiore della pagina.

  6. Creare un nuovo utente OTP.

    1. In RSA Security Console fare clic sulla scheda Identità , fare clic su Utentie quindi su Aggiungi nuovo.

    2. Nella sezione Cognome: digitare Usere nella sezione User ID: digitare User1 (UserID deve corrispondere al nome utente di AD usato per questo lab). Nelle sezioni Password:e Conferma password digitare una password complessa. Deselezionare la casella di controllo "Richiedi all'utente di modificare la password all'accesso successivo" e fare clic su Salva.

  7. Assegnare User1 a uno dei token importati.

    1. Nella pagina Utenti fare clic su User1 e quindi su Token SecurID.

    2. Fare clic su SecurID Tokens (Token SecurID) e quindi su Assign Token (Assegna token).

    3. Sotto l'intestazione Numero di serie fare clic sul primo numero elencato e fare clic su Assegna.

    4. Fare clic sul token assegnato e quindi su Modifica. Nella sezione SecurID PIN Management (Gestione PIN SecurID) per User Authentication Requirement (Requisito di autenticazione utente)selezionare Non richiedere PIN (solo tokencode).

    5. Fare clic su Salva e distribuisci token.

    6. Nella sezione Informazioni di base della pagina Distribuisci token software fare clic su Emissione file token (SDTID).

    7. Nella sezione Opzioni file token della pagina Distribuisci token software deselezionare la casella di controllo Abilita protezione copia. Fare clic su Nessuna password e quindi su Avanti.

    8. Nella sezione Download File della pagina Distribute Software Token (Distribuisci token software) fare clic su Download Now (Scarica ora). Fare clic su Save (Salva). Passare a C:\RSA Installation (Installazione di C:\RSA) e fare clic su Save and Close (Salva e chiudi).

    9. Ridurre al minimo la console di sicurezza RSA per usarla in un secondo momento.

  8. Configurare Gestione autenticazione come server RADIUS.

    1. Sul desktop del computer RSA fare doppio clic su "RSA Security Operations Console".

    2. Se viene visualizzato l'avviso o l'avviso di sicurezza del certificato di sicurezza, fare clic su Continua con questo sito Web oppure fare clic su Sì per continuare e aggiungere il sito ai siti attendibili, se richiesto.

    3. Immettere l'ID utente e la password e fare clic su Accedi.

    4. Fare clic su Configurazione distribuzione - RADIUS - Configura server.

    5. Nella pagina Credenziali aggiuntive necessarie immettere l'ID utente e la password dell'amministratore e fare clic su OK.

    6. Nella pagina Configura server RADIUS immettere la stessa password usata per l'utente amministratore per Segreti e Password master. Immettere l'ID utente e la password dell'amministratore e fare clic su Configura.

    7. Verificare che sia visualizzato il messaggio "Server RADIUS configurato correttamente". Fare clic su Fine. Chiudere la Console operatore RSA.

    8. Tornare a "RSA Security Console".

    9. Nella scheda RADIUS fare clic su Server RADIUS. Verificare che rsa.corp.contoso.com sia elencato.

  9. Configurare il server RSA come Client di autenticazione RSA.

    1. Nella scheda RADIUS fare clic su Client RADIUS e aggiungi nuovo.

    2. Fare clic sulla casella di controllo ANY RADIUS Client (Qualsiasi client RADIUS).

    3. Digitare una password complessa di propria scelta nel campo Segreto condiviso. Questa stessa password verrà utilizzata in un secondo momento durante la configurazione di EDGE1 per OTP.

    4. Lasciare vuoto il campo Indirizzo IP e la voce Make/Model (Crea/Modello)come RADIUS standard.

    5. Fare clic su Save without RSA Agent (Salva senza agente RSA).

  10. Creare i file necessari per configurare EDGE1 come agente di autenticazione RSA.

    1. Nella scheda Accesso evidenziare Agenti di autenticazionee fare clic su Aggiungi nuovo.

    2. Digitare EDGE1 nel campo Nome host e fare clic su Risolvi IP.

    3. Si noti che l'indirizzo IP per EDGE1 è ora visualizzato nel campo Indirizzo IP. Fare clic su Save (Salva).

  11. Generare un file di configurazione per il server EDGE1 (AM_Config.zip).

    1. Nella scheda Accesso evidenziareAgentidi autenticazione e fare clic su Genera file di configurazione.

    2. Nella pagina Genera file di configurazione fare clic su Genera file di configurazionee quindi su Scarica adesso.

    3. Fare clic suSalva , passare a C:\ Installazione di RSA e fare clic su Salva.

    4. Fare clic su Chiudi nella finestra di dialogo Download completato.

  12. Generare un file segreto del nodo per il server EDGE1 (EDGE1_NodeSecret.zip).

    1. Nella scheda Accesso evidenziare Agentidi autenticazione e fare clic su Gestisci esistente.

    2. Fare clic sul nodo edge1 attualmente configurato e fare clic su Gestisci segreto nodo.

    3. Selezionare la casella di controllo Crea un nuovo segreto nodo casuale ed esporta il segreto del nodo in un file.

    4. Immettere la stessa password usata per l'utente amministratore nei campi Password di crittografia e Confermapassword di crittografia e fare clic su Salva.

    5. Nella pagina Node Secret File Generated (File segreto nodo generato) fare clic su Download Now (Scarica ora).

    6. Nella finestra di dialogo Download file fare clic su Salva, passare a C:\RSA Installation (Installazione di C:\RSA) e fare clic su Save (Salva). Fare clic su Chiudi nella finestra di dialogo Download completato.

    7. Dal supporto di RSA Authentication Manager copiare \auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe in C:\RSA Installation.

Creare DAProbeUser

  1. Nella console di sicurezza RSA fare clic sulla scheda Identità , fare clic su Utentie quindi su Aggiungi nuovo.

  2. Nella sezione Cognome: digitare Probee nella sezione ID utente: digitare DAProbeUser. Nelle sezioni Password:e Conferma password: digitare una password complessa. Deselezionare la casella di controllo "Richiedi all'utente di modificare la password all'accesso successivo" e fare clic su Salva.

Installare il token software SECURID RSA in CLIENT1

Usare questa procedura per installare il token software SecurID in CLIENT1.

Installare il token software SecurID

  1. Nel computer CLIENT1 creare la cartella C:\RSA Files. Copiare il file Software_Tokens.zip da C:\RSA Installation nel computer RSA in C:\RSA Files. Estrarre il file User1_000031701832.SDTID in C:\RSA Files on CLIENT1.

  2. Accedere all'origine del supporto del token software SECURID RSA e fare doppio clic su RSASECURIDTOKEN410 nella cartella dell'app client SecurID SoftwareToken per avviare l'installazione di RSA SecurID. Se viene visualizzato il messaggio Apri file - Avviso di sicurezza , fare clic su Esegui.

  3. Nella finestra di dialogo RSA SecurID Software Token - InstallShield Wizard fare clic due volte su Avanti.

  4. Accettare il contratto di licenza e fare clic su Avanti.

  5. Nella finestra di dialogo Tipo di installazione selezionare Tipico, fare clic su Avantie quindi su Installa.

  6. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su .

  7. Selezionare la casella di controllo Launch RSA SecurID Software Token (Avvia token software SECURID RSA) e fare clic su Finish (Fine).

  8. Fare clic su Importa da file.

  9. Fare clic suSfoglia, selezionare C:\RSA Files\User1_000031701832.SDTID e fare clic su Apri.

  10. Fare clic su OK due volte.

Configurare EDGE1 come agente di autenticazione RSA

Usare questa procedura per configurare EDGE1 per eseguire l'autenticazione RSA.

Configurare l'agente di autenticazione RSA

  1. In EDGE1 aprire Windows Explorer e creare la cartella C:\RSA Files. Passare al supporto di installazione rsa ACE.

  2. Copiare i agent_nsload.exe, AM_Config.zip e EDGE1_NodeSecret.zip dal supporto RSA in C:\RSA Files.

  3. Estrarre il contenuto di entrambi i file ZIP nei percorsi seguenti:

    1. C:\Windows\system32\

    2. C:\Windows\SysWOW64\

  4. Copiare agent_nsload.exe in C:\Windows\SysWOW64\.

  5. Aprire un prompt dei comandi con privilegi elevati e passare a C:\Windows\SysWOW64.

  6. Digitare agent_nsload.exe -f nodesecret.rec -p password > dove password è la password complessa creata durante la configurazione iniziale di <> RSA. Premere INVIO.

  7. Copiare C:\Windows\SysWOW64\securid in C:\Windows\System32.

Configurare EDGE1 per supportare l'autenticazione OTP

Usare questa procedura per configurare OTP per DirectAccess e verificare la configurazione.

Configurare OTP per DirectAccess

  1. In EDGE1 aprire Server Manager e fare clic su ACCESSO REMOTO nel riquadro sinistro.

  2. Fare clic con il pulsante destro del mouse su EDGE1 nel riquadro SERVER e scegliere Gestione accesso remoto.

  3. Fare clic su Configurazione.

  4. Nella finestra DirectAccess Setup (Configurazione DirectAccess), in Step 2 - Remote Access Server (Passaggio 2 - Server di accesso remoto),fare clic su Edit (Modifica).

  5. Fare clic tre volte su Avanti e nella sezione Autenticazione selezionare Autenticazione a due fattori e Usa OTPe verificare che l'opzione Usa certificati computer sia selezionata. Verificare che la CA radice sia impostata su CN=corp-APP1-CA. Fare clic su Avanti.

  6. Nella sezione Server RADIUS OTP fare doppio clic sul campo Nome server vuoto.

  7. Nella finestra di dialogo Aggiungi un server RADIUS digitare RSA nel campo Nome server. Fare clic su Cambia accanto al campo Segreto condiviso e digitare la stessa password usata durante la configurazione dei client RADIUS nel server RSA nei campi Nuovo segreto e Conferma nuovo segreto. Fare clic due volte su OK e quindi su Avanti.

    Nota

    Se il server RADIUS si trova in un dominio diverso dal server di Accesso remoto, il campo Nome server deve specificare il nome di dominio completo del server RADIUS.

  8. Nella sezione Server CA OTP selezionare APP1.corp.contoso.com e fare clic su Aggiungi. Fare clic su Avanti.

  9. Nella pagina Modelli di certificato OTP fare clic su Sfoglia per selezionare un modello di certificato usato per la registrazione dei certificati rilasciati per l'autenticazione OTP e nella finestra di dialogo Modelli di certificato selezionare DAOTPLogon. Fare clic su OK. Fare clic su Sfoglia per selezionare un modello di certificato usato per registrare il certificato usato dal server di accesso remoto per firmare le richieste di registrazione del certificato OTP e nella finestra di dialogo Modelli di certificato selezionare DAOTPRA. Fare clic su OK. Fare clic su Avanti.

  10. Nella pagina Installazione server di Accesso remoto fare clic su Finee quindi su Fine nella procedura guidata DirectAccess Expert.

  11. Nella finestra di dialogo Verifica accesso remoto fare clic su Applica, attendere l'aggiornamento dei criteri DirectAccess e fare clic su Chiudi.

  12. Nella schermata Start digitarepowershell.exe, fare clic con il pulsante destro del mouse su powershell, scegliere Avanzatee fare clic su Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su .

  13. Nella finestra Windows PowerShell digitare gpupdate /force e premere INVIO.

  14. Chiudere e riaprire la Console di gestione Accesso remoto e verificare che tutte le impostazioni OTP siano corrette.