ETAPA 4: instalar e configurar RSA e EDGE1

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

RSA é o servidor RADIUS e OTP e é instalado antes de configurar RADIUS e OTP.

Você executará as seguintes etapas para configurar a implantação do RSA:

  1. Instale o sistema operacional no servidor RSA. Instale o Windows Server 2016, o Windows Server 2012 R2 ou o Windows Server 2012 no servidor RSA.

  2. Configure TCP/IP no RSA. Defina as configurações de TCP/IP no servidor RSA.

  3. Copie os arquivos de instalação do Gerenciador de Autenticação para o servidor RSA. Após instalar o sistema operacional no RSA, copie os arquivos do Gerenciador de Autenticação para o computador RSA.

  4. Adicione o servidor RSA ao domínio CORP. Adicione o RSA ao domínio CORP.

  5. Desabilite o Firewall do Windows no RSA. Desabilite o Firewall do Windows no servidor RSA.

  6. Instale o Gerenciador de Autenticação RSA no servidor RSA. Instale o Gerenciador de Autenticação do RSA.

  7. Configure o Gerenciador de Autenticação do RSA. Configure Gerenciador de Autenticação.

  8. Crie DAProbeUser. Crie uma conta de usuário para fins de investigação.

  9. Instale o token de software RSA SecurID no CLIENT1. Instale o token de software RSA SecurID no CLIENT1.

  10. Configure EDGE1 como um Agente de Autenticação RSA. Configure o Agente de Autenticação RSA no EDGE1.

  11. Configure EDGE1 para dar suporte à autenticação OTP. Configure OTP para DirectAccess e verifique a configuração.

Instalar o sistema operacional no servidor RSA

  1. No RSA, inicie a instalação do Windows Server 2016, do Windows Server 2012 R2 ou do Windows Server 2012.

  2. Siga as instruções para concluir a instalação, especificando o Windows Server 2016, o Windows Server 2012 R2 ou o Windows Server 2012 (instalação completa) e uma senha forte para a conta Administrador local. Faça logon usando a conta local de administrador.

  3. Conecte o RSA a uma rede que tenha acesso à Internet e execute o Windows Update para instalar as atualizações mais recentes do Windows Server 2016, do Windows Server 2012 R2 ou do Windows Server 2012 e, em seguida, desconecte da Internet.

  4. Conecte o RSA à sub-rede Corpnet.

Configurar TCP/IP no RSA

  1. Em Tarefas de Configuração Inicial, clique em Configurar rede.

  2. Em Conexões de Rede, clique com o botão direito do mouse em Conexão Local e, em seguida clique em Propriedades.

  3. Clique em Protocolo TCP/IP Versão 4 (TCP/IPv4) e clique em Propriedades.

  4. Clique em Usar o seguinte endereço IP. Em Endereço IP, digite 10.0.0.5. Em Máscara de sub-rede, digite 255.255.255.0. Em Gateway Padrão, digite 10.0.0.2. Clique em Usar os seguintes endereços de servidor DNS em Servidor DNS preferencial e digite 10.0.0.1.

  5. Clique em Avançado e clique na guia DNS.

  6. Em Sufixo DNS para esta conexão, digite corp.contoso.com e clique em OK duas vezes.

  7. Na caixa de diálogo Propriedades da Conexão Local, clique em Fechar.

  8. Feche a janela Conexões de Rede.

Copiar os arquivos de instalação do Gerenciador de Autenticação para o servidor RSA

  1. No servidor RSA, crie a pasta C:\RSA Installation.

  2. Copie o conteúdo da mídia RSA Authentication Manager 7.1 SP4 para a pasta C:\RSA Installation.

  3. Crie a subpasta C:\RSA Installation\License and Token.

  4. Copie os arquivos de licença RSA para C:\RSA Installation\License and Token.

Adicionar o servidor RSA ao domínio CORP

  1. Clique com o botão direito em Meu Computador e clique em Propriedades.

  2. Na caixa de diálogo Propriedades do Sistema, na guia Nome do Computador, clique em Alterar.

  3. Em Nome do Computador, digite RSA. Em Membro de, clique em Domínio, digite corp.contoso.com e clique em OK.

  4. Quando seu nome de usuário e sua senha forem solicitados, digite User1 e a senha e clique em OK.

  5. Na caixa de diálogo de boas-vindas do domínio, clique em OK.

  6. Quando você for solicitado a reiniciar o computador, clique em OK.

  7. Na caixa de diálogo Propriedades do Sistema, clique em Fechar.

  8. Quando for solicitado a reiniciar o computador, clique em Reiniciar Agora.

  9. Depois que o computador for reiniciado, digite User1 e a senha, selecione CORP na lista suspensa Fazer logon em: e clique em OK.

Desabilitar o Firewall do Windows no RSA

  1. Clique em Iniciar, clique em Painel de Controle, clique em Sistema e Segurança e clique em Firewall do Windows.

  2. Clique em Ativar ou desativar o Firewall do Windows.

  3. Desative o Firewall do Windows para todas as configurações.

  4. Clique em OK e feche o Firewall do Windows.

Instalar o Gerenciador de Autenticação RSA no servidor RSA

  1. Se a mensagem Aviso de Segurança for exibida a qualquer momento durante esse processo, clique em Executar para continuar.

  2. Abra a pasta C:\RSA Instalação e clique duas vezes em autorun.exe.

  3. Clique em Instalar Agora, clique em Avançar, selecione a opção superior para as Américas e clique em Avançar.

  4. Selecione Eu aceito os termos do contrato de licença e, em seguida, clique em Avançar.

  5. Selecione Instância Primária e clique em Avançar.

  6. No campo Nome do Diretório: digite C:\RSA e clique em Avançar.

  7. Verifique se o nome do servidor (RSA.corp.contoso.com) e o endereço IP estão corretos e clique em Avançar.

  8. Navegue até C:\RSA Installation\License and Token e clique em Avançar.

  9. Na página Verificar arquivo de licença, clique em Avançar.

  10. No campo ID de Usuário, digite Administrador e, nos campos Senha e Confirmar Senha, digite uma senha forte. Clique em Próximo.

  11. Na tela de seleção de log, aceite os padrões e clique em Avançar.

  12. Na tela de resumo, clique em Instalar.

  13. Quando a instalação for concluída, clique em Fechar.

Configurar o Gerenciador de Autenticação do RSA

  1. Se o Console de Segurança RSA não abrir automaticamente, na área de trabalho do computador RSA clique duas vezes em "Console de Segurança RSA".

  2. Se o aviso de certificado de segurança/alerta de segurança for exibido, clique em Continuar neste site ou clique em Sim para continuar e adicione este site a sites confiáveis, caso solicitado.

  3. No campo ID de Usuário, digite Administrador e clique em OK.

  4. No campo Senha, digite a senha da conta administrador e clique em Fazer logon.

  5. Insira informações de token.

    1. No Console de Segurança RSA, clique em Autenticação e clique em Tokens SecurID.

    2. Clique em Importar Trabalho de Tokens e, em seguida, clique em Adicionar Novo.

    3. Na seção Opções de Importação, clique em Procurar. Navegue até e selecione o arquivo XML de tokens na pasta C:\RSA Installation\License and Token e clique em Abrir.

    4. Clique em Enviar Trabalho na parte inferior da página.

  6. Crie um novo usuário do OTP.

    1. No Console de Segurança RSA, clique na guia Identidade, clique em Usuários e clique em Adicionar Novo.

    2. Na seção Sobrenome:, digite Usuário e, na seção ID do Usuário:, digite User1 (UserID deve ser o mesmo que o nome de usuário do AD usado para este laboratório). Nas seções Senha: e Confirmar Senha:, digite uma senha forte. Desmarque a caixa de seleção "Exigir que o usuário altere a senha no próximo logon" e clique em Salvar.

  7. Atribua User1 a um dos tokens importados.

    1. Na página Usuários, clique em User1 e clique em Tokens SecurID.

    2. Clique em Tokens SecurID e clique em Atribuir Token.

    3. No título Número de Série, clique no primeiro número listado e clique em Atribuir.

    4. Clique no token atribuído e clique em Editar. Na seção Gerenciamento de PIN SecurID para Requisito de Autenticação de Usuário, selecione Não exigir PIN (somente código de token).

    5. Clique em Salvar e Distribuir Token.

    6. Na página Distribuir Token de Software, na seção Noções básicas, clique em Emitir Arquivo de Token (SDTID).

    7. Na página Distribuir Token de Software, na seção Opções de Arquivo de Token, desmarque a caixa de seleção Habilitar proteção contra cópia. Clique em Sem Senha e Avançar.

    8. Na página Distribuir Token de Software na seção Baixar Arquivo, clique em Baixar Agora. Clique em Salvar. Navegue até C:\RSA Installation e clique em Salvar e Fechar.

    9. Minimize o Console de Segurança RSA para uso posterior.

  8. Configure o Gerenciador de Autenticação como servidor RADIUS.

    1. Na área de trabalho do computador RSA, clique duas vezes em "Console de Operações de Segurança RSA".

    2. Se o aviso de certificado de segurança/alerta de segurança for exibido, clique em Continuar neste site ou clique em Sim para continuar e adicione este site a sites confiáveis, caso solicitado.

    3. Insira a ID de Usuário e a Senha e clique em Fazer Logon.

    4. Clique em Configuração de Implantação – RADIUS – Configurar Servidor.

    5. Na página Credenciais Adicionais Necessárias, insira a ID de Usuário e a Senha do administrador e clique em OK.

    6. Na página Configurar Servidor RADIUS, insira a mesma senha usada para o usuário administrador em Segredos e Senha Mestra. Insira a ID de Usuário e a Senha do Administrador e clique em Configurar.

    7. Verifique se a mensagem "Servidor RADIUS configurado com êxito" é exibida. Clique em Concluído. Feche o Console de Operações RSA.

    8. Alterne de volta para o "Console de Segurança RSA".

    9. Na guia RADIUS, clique em Servidores RADIUS. Verifique se rsa.corp.contoso.com está listado.

  9. Configure o servidor RSA como Cliente de Autenticação RSA.

    1. Na guia RADIUS, clique em Clientes RADIUS e Adicionar Novo.

    2. Clique na caixa de seleção ANY RADIUS Client.

    3. Digite uma senha forte de sua escolha no campo Segredo Compartilhado. Você usará essa mesma senha posteriormente ao configurar EDGE1 para OTP.

    4. Deixe o campo Endereço IP em branco e a entrada Marca/Modelo como Standard RADIUS.

    5. Clique em Salvar sem Agente RSA.

  10. Crie arquivos necessários para configurar EDGE1 como um Agente de Autenticação RSA.

    1. Na guia Acesso, realce Agentes de Autenticação e clique em Adicionar Novo.

    2. Digite EDGE1 no campo Nome do host e clique em Resolver IP.

    3. Observe que o endereço IP para EDGE1 agora é exibido no campo Endereço IP. Clique em Salvar.

  11. Gere um arquivo de configuração para o servidor EDGE1 (AM_Config.zip).

    1. Na guia Acesso, realce Agentes de Autenticação e clique em Gerar Arquivo de Configuração.

    2. Na página Gerar Arquivo de Configuração, clique em Gerar Arquivo de Configuração e, em seguida, clique em Baixar Agora.

    3. Clique em Salvar, navegue até C:\RSA Installation e clique em Salvar.

    4. Clique em Fechar na caixa de diálogo Download Concluído.

  12. Gere um arquivo de segredo de nó para o servidor EDGE1 (EDGE1_NodeSecret.zip).

    1. Na guia Acesso, realce Agentes de Autenticação e clique em Gerenciar Existente.

    2. Clique no nó atual configurado EDGE1 e clique em Gerenciar Segredo do Nó.

    3. Marque a caixa de seleção Criar um novo segredo de nó aleatório e exportar o segredo do nó para um arquivo.

    4. Insira a mesma senha usada para o usuário administrador nos campos Senha de Criptografia e Confirmar Senha de Criptografia e clique em Salvar.

    5. Na página Arquivo Secreto do Nó Gerado, clique em Baixar Agora.

    6. Na caixa de diálogo Download de Arquivo, clique em Salvar, navegue até C:\RSA Installation e clique em Salvar. Clique em Fechar na caixa de diálogo Download Concluído.

    7. Na mídia RSA Authentication Manager, copie \auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe para C:\RSA Installation.

Criar DAProbeUser

  1. No Console de Segurança RSA, clique na guia Identidade, clique em Usuários e clique em Adicionar Novo.

  2. Na seção Sobrenome:, digite Probe e, na seção ID de Usuário:, digite DAProbeUser. Nas seções Senha: e Confirmar Senha:, digite uma senha forte. Desmarque a caixa de seleção "Exigir que o usuário altere a senha no próximo logon" e clique em Salvar.

Instalar o token de software RSA SecurID em CLIENT1

Use este procedimento para instalar o token de software SecurID em CLIENT1.

Instalar o token de software SecurID

  1. No computador CLIENT1, crie a pasta C:\RSA Files. Copie o arquivo Software_Tokens.zip de C:\RSA Installation no computador RSA para C:\RSA Files. Extraia o arquivo User1_000031701832.SDTID para C:\RSA Files no CLIENT1.

  2. Acesse a fonte de mídia do token de software RSA SecurID e clique duas vezes em RSASECURIDTOKEN410 na pasta do aplicativo cliente SecurID SoftwareToken para iniciar a instalação do RSA SecurID. Se a mensagem Abrir Arquivo – Aviso de Segurança for exibida, clique em Executar.

  3. Na caixa de diálogo Token de Software RSA SecurID – InstallShield Wizard, clique em Avançar duas vezes.

  4. Aceite o contrato de licença e clique em Avançar.

  5. Na caixa de diálogo Tipo de Instalação, selecione Típico, clique em Avançar e clique em Instalar.

  6. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.

  7. Marque a caixa de seleção Iniciar Token de Software RSA SecurID e clique em Concluir.

  8. Clique em Importar do Arquivo.

  9. Clique em Procurar, selecione C:\RSA Files\User1_000031701832.SDTID e clique em Abrir.

  10. Clique em OK duas vezes.

Configurar EDGE1 como um Agente de Autenticação RSA

Use este procedimento para configurar EDGE1 para executar a autenticação RSA.

Configurar o Agente de Autenticação RSA

  1. No EDGE1, abra o Windows Explorer e crie a pasta C:\RSA Files. Navegue até a mídia de instalação RSA ACE.

  2. Copie os arquivos agent_nsload.exe, AM_Config.zip e EDGE1_NodeSecret.zip da mídia RSA para C:\RSA Files.

  3. Extraia o conteúdo de ambos os arquivos zip para os seguintes locais:

    1. C:\Windows\system32\

    2. C:\Windows\SysWOW64\

  4. Copie agent_nsload.exe para C:\Windows\SysWOW64\.

  5. Abra um prompt de comandos com privilégios elevados e navegue até C:\Windows\SysWOW64.

  6. Digite agent_nsload.exe -f nodesecret.rec -p <password>, onde <password> é a senha forte que você criou durante a configuração inicial do RSA. Pressione Enter.

  7. Copie C:\Windows\SysWOW64\securid para C:\Windows\System32.

Configurar EDGE1 para dar suporte à autenticação OTP

Use este procedimento para configurar OTP para DirectAccess e verificar a configuração.

Configurar OTP para DirectAccess

  1. No EDGE1, abra Gerenciador do Servidor e clique em ACESSO REMOTO no painel esquerdo.

  2. Clique com o botão direito do mouse em EDGE1 no painel SERVIDORES e selecione Gerenciamento de Acesso Remoto.

  3. Clique em Configuração.

  4. Na janela Configuração do DirectAccess, em Etapa 2 – Servidor de Acesso Remoto, clique em Editar.

  5. Clique em Avançar três vezes e, na seção Autenticação, selecione Autenticação de dois fatores e Usar OTP e verifique se Usar certificados de computador está marcado. Verifique se a AC raiz está definida como CN=corp-APP1-CA. Clique em Próximo.

  6. Na seção Servidor RADIUS do OTP, clique duas vezes no campo Nome do Servidor em branco.

  7. Na caixa de diálogo Adicionar um Servidor RADIUS, digite RSA no campo Nome do servidor. Clique em Alterar ao lado do campo Segredo compartilhado e digite a mesma senha usada ao configurar os clientes RADIUS no servidor RSA nos campos Novo segredo e Confirmar novo segredo. Clique em OK duas vezes e clique em Avançar.

    Observação

    Se o servidor RADIUS estiver em um domínio diferente do servidor de Acesso Remoto, o campo Nome do Servidor precisará especificar o FQDN do servidor RADIUS.

  8. Na seção Servidores AC OTP, selecione APP1.corp.contoso.com e clique em Adicionar. Clique em Próximo.

  9. Na página Modelos de Certificado OTP, clique em Procurar para selecionar um modelo de certificado usado para o registro de certificados emitidos para autenticação OTP e, na caixa de diálogo Modelos de Certificado, selecione DAOTPLogon. Clique em OK. Clique em Procurar a fim de selecionar um modelo de certificado usado para registrar o certificado usado pelo servidor de Acesso Remoto na assinatura de solicitações de registro de certificado OTP e, na página Modelos de Certificado, selecione DAOTPRA. Clique em OK. Clique em Próximo.

  10. Na página Configuração do Servidor de Acesso Remoto, clique em Concluir e clique em Concluir no DirectAccess Expert Wizard.

  11. Na caixa de diálogo Revisão de Acesso Remoto, clique em Aplicar, aguarde até que a política do DirectAccess seja atualizada e clique em Fechar.

  12. Na tela da Página Inicial, digitepowershell.exe, clique com o botão direito do mouse em powershell, clique em Avançado e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.

  13. Na janela do PowerShell do Windows, digite gpupdate /force e pressione ENTER.

  14. Feche e reabra o Console de Gerenciamento de Acesso Remoto e verifique se todas as configurações de OTP estão corretas.