步骤 4 安装和配置 RSA 和 EDGE1

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

RSA 是 RADIUS 和 OTP 服务器,在配置 RADIUS 和 OTP 之前安装。

你将执行以下步骤来配置 RSA 部署:

  1. 在 RSA 服务器上安装操作系统。 在 RSA 服务器上安装 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012。

  2. 在 RSA 上配置 TCP/IP。 在 RSA 服务器上配置 TCP/IP 设置。

  3. 将身份验证管理器安装文件复制到 RSA 服务器。 在 RSA 上安装操作系统后,将身份验证管理器文件复制到 RSA 计算机。

  4. 将 RSA 服务器加入 CORP 域。 将 RSA 添加至 CORP 域。

  5. 在 RSA 上禁用 Windows 防火墙。 禁用 RSA 服务器上的 Windows 防火墙。

  6. 在 RSA 服务器上安装 RSA 身份验证管理器。 安装 RSA 身份验证管理器。

  7. 配置 RSA 身份验证管理器。 配置身份验证管理器。

  8. 创建 DAProbeUser。 创建用户帐户以用于探测。

  9. 在 CLIENT1 上安装 RSA SecurID 软件令牌。 在 CLIENT1 上安装 RSA SecurID 软件令牌。

  10. 将 EDGE1 配置为 RSA 身份验证代理。 在 EDGE1 上配置 RSA 身份验证代理。

  11. 配置 EDGE1 以支持 OTP 身份验证。 为 DirectAccess 配置 OTP,并验证配置。

在 RSA 服务器上安装操作系统

  1. 在 RSA 上,开始安装 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012。

  2. 按照说明完成安装,指定 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012(完全安装)以及本地管理员帐户的强密码。 使用本地管理员账户登录。

  3. 将 RSA 连接到可访问 Internet 的网络,并运行 Windows Update 以安装 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 的最新更新,然后断开与 Internet 的连接。

  4. 将 RSA 连接到 Corpnet 子网。

在 RSA 上配置 TCP/IP

  1. 在“初始配置任务”中,单击“配置网络”。

  2. 在“网络连接”,右键单击“本地连接”,然后单击“属性”。

  3. 单击“Internet 协议版本 4 (TCP/IPv4)”,然后单击“属性”

  4. 单击“使用下面的 IP 地址”。 在“IP 地址” 中,键入“10.0.0.5” 。 在“子网掩码”框中,键入 255.255.255.0。 在“默认网关”中,键入 10.0.0.2。 单击“使用以下 DNS 服务器地址”,在“首选 DNS 服务器”中键入 10.0.0.1。

  5. 单击“高级”,然后单击“DNS”选项卡。

  6. 在“此连接的 DNS 后缀”中,键入“corp.contoso.com”,单击“确定”两次。

  7. 在“本地连接属性”对话框中,单击“关闭”。

  8. 关闭“网络连接”窗口。

将身份验证管理器安装文件复制到 RSA 服务器

  1. 在 RSA 服务器上,创建文件夹 C:\RSA Installation。

  2. 将 RSA Authentication Manager 7.1 SP4 介质的内容复制到 C:\RSA 安装文件夹。

  3. 创建子文件夹 C:\RSA Installation\License and Token。

  4. 将 RSA 许可证文件复制到 C:\RSA Installation\License and Token。

将 RSA 服务器加入 CORP 域

  1. 右键单击“我的电脑”,然后单击“属性”。

  2. “系统属性”对话框中的“计算机名”选项卡上,单击“更改”

  3. 在“计算机名称”中,键入 RSA。 在“隶属于”中,选择“域”,键入“corp.contoso.com”,然后单击“确定”。

  4. 当系统提示输入用户名和密码时,请键入 User1 和密码,然后单击“确定”。

  5. 在“域欢迎”对话框中,单击“确定”。

  6. 当系统提示你必须重新启动计算机时,请单击“确定”

  7. 在“系统属性”对话框中单击“关闭”

  8. 当系统提示你重新启动计算机时,请单击“立即重新启动”

  9. 重启计算机后,键入 User1,然后键入密码,在“登录到:”下拉列表中选择“CORP”,然后单击“确定”。

在 RSA 上禁用 Windows 防火墙

  1. 依次单击“开始”、“控制面板”、“系统和安全性”,然后单击“Windows 防火墙”。

  2. 单击“打开或关闭 Windows 防火墙”。

  3. 关闭 Windows 防火墙的所有设置。

  4. 单击“确定”并关闭 Windows 防火墙。

在 RSA 服务器上安装 RSA 身份验证管理器

  1. 如果在此过程中随时出现“安全警告”消息,请单击“运行”以继续。

  2. 打开 C:\RSA 安装文件夹,然后双击 autorun.exe。

  3. 单击“立即安装”,单击“下一步”,选择“美洲”的顶部选项,然后单击“下一步”。

  4. 选择“我接受许可协议的条款”,然后单击“下一步”。

  5. 选择“主实例”,然后单击“下一步”。

  6. 在“目录名称:” 字段中,键入 C:\RSA,然后单击“下一步”。

  7. 验证服务器名称 (RSA.corp.contoso.com) 和 IP 地址是否正确,然后单击“下一步”。

  8. 浏览到 C:\RSA Installation\License,然后单击“下一步”。

  9. 在“验证许可证文件”页上,单击“下一步”。

  10. 在“用户 ID”字段中键入“管理员”,并在“密码”和“确认密码”字段中键入强密码。 单击“下一步”。

  11. 在日志选择屏幕上,接受默认值并单击“下一步”。

  12. 在“摘要”屏幕中,单击“安装”

  13. 安装完成后,单击“完成”

配置 RSA 身份验证管理器

  1. 如果 RSA 安全控制台未自动打开,请在 RSA 计算机桌面上双击“RSA 安全控制台”。

  2. 如果出现安全证书警告/安全警报,请单击“继续访问此网站”或单击“是”继续操作,并根据需要将此站点添加到受信任的站点。

  3. 在“用户 ID”字段中,键入“Administrator”,然后单击“确定”。

  4. 在“密码”字段中,键入管理员帐户的密码,然后单击“登录”。

  5. 插入令牌信息。

    1. 在 RSA 安全控制台中,单击“身份验证”,然后单击“SecurID 令牌”。

    2. 单击“导入令牌作业”,然后单击“新增”。

    3. 在“导入选项”部分中,单击“浏览”。 浏览到 C:\ RSA Installation\License and Token 文件夹中的令牌 XML 文件并选中,然后单击“打开”。

    4. 单击页面底部的“提交作业”。

  6. 创建 OTP 新用户。

    1. 在 RSA 安全控制台 中,依次单击“标识”选项卡、“用户”和“新增”。

    2. 在“姓氏:”部分中键入“User”,在“用户 ID:”部分中键入“User1”(UserID 必须与此实验室使用的 AD 用户名相同)。 在“密码:”和“确认密码:”部分中键入强密码。 清除“要求用户在下次登录时更改密码”检查框,然后单击“保存”。

  7. 将 User1 分配给其中一个导入的令牌。

    1. 在“用户”页上,单击“User1”,然后单击“SecurID 令牌”。

    2. 单击“SecurID 令牌”,然后单击“分配令牌”。

    3. 在“序列号”标题下,单击列出的第一个数字,然后单击“分配”。

    4. 单击分配的令牌,然后单击“编辑”。 在“用户身份验证要求”的“SecurID PIN 管理”部分中,选择“不需要 PIN(仅令牌代码)”。

    5. 单击“保存并分发令牌”。

    6. 在“分发软件令牌”页上的“基本信息”部分,单击“颁发令牌文件(SDTID)”。

    7. 在“分发软件令牌”页上的“令牌文件选项”部分中,清除“启用复制保护”复选框。 单击“无密码”和“下一步”。

    8. 在“分发软件令牌”页上的“下载文件”部分,单击“立即下载”。 单击“保存” 。 浏览到 C:\RSA Installation,然后单击“保存”,然后单击“关闭”。

    9. 最小化 RSA 安全控制台以备后用。

  8. 将身份验证管理器配置为 RADIUS 服务器。

    1. 在 RSA 计算机桌面上,双击“RSA 安全操作控制台”。

    2. 如果出现安全证书警告/安全警报,请单击“继续访问此网站”或单击“是”继续操作,并根据需要将此站点添加到受信任的站点。

    3. 输入“用户 ID”和“密码”,然后单击“登录”。

    4. 单击“部署配置 - RADIUS - 配置服务器”。

    5. 在“需要其他凭据”页上,输入管理员用户 ID 和密码,然后单击“确定”。

    6. 在“配置 RADIUS 服务器”页上,输入管理员用户用于“机密”和“主密码”的相同密码。 输入“管理员用户 ID”和“密码”,然后单击“配置”。

    7. 验证是否显示消息“已成功配置 RADIUS 服务器”。 单击“完成” 。 关闭 RSA 操作控制台。

    8. 切换回“RSA 安全控制台”。

    9. 在“RADIUS”选项卡上,单击“RADIUS 服务器”。 验证 rsa.corp.contoso.com 是否已列出。

  9. 将 RSA 服务器配置为 RSA 身份验证客户端。

    1. 在“RADIUS”选项卡上,依次单击“RADIUS 客户端”和“添加新项”。

    2. 单击“任何 RADIUS 客户端”复选框。

    3. 在“共享机密”字段中键入所选的强密码。 稍后在为 OTP 配置 EDGE1 时将使用相同的密码。

    4. 将“IP 地址”字段留空,将“制造商/型号”条目保留为“标准 RADIUS”。

    5. 单击“不使用 RSA 代理保存”。

  10. 创建将 EDGE1 配置为 RSA 身份验证代理时所必需的文件。

    1. 在“访问”选项卡上,突出显示“身份验证代理”,并单击“新增”。

    2. 在“主机名”字段中键入“EDGE1”,然后单击“解析 IP”。

    3. 请注意,EDGE1 的 IP 地址现在显示在“IP 地址”字段中。 单击“ 保存”。

  11. 为 EDGE1 服务器 (AM_Config.zip) 生成配置文件。

    1. 在“访问”选项卡上,突出显示“身份验证代理”,并单击“生成配置文件”。

    2. 在“生成配置文件”页上,单击“生成配置文件”,然后单击“立即下载”。

    3. 单击“保存”,浏览到 C:\RSA Installation,然后单击“保存”。

    4. 在“下载完成”对话框中单击“关闭”。

  12. 为 EDGE1 服务器 (EDGE1_NodeSecret.zip) 生成节点机密文件。

    1. 在“访问”选项卡上,突出显示“身份验证代理”,并单击“管理现有代理”。

    2. 单击当前配置的节点“EDGE1”,并单击“管理节点机密”。

    3. 选中“创建新的随机节点机密,并将节点机密导出到文件”复选框。

    4. 在“加密密码”和“确认加密密码”字段中输入用于管理员用户的相同密码,然后单击“保存”。

    5. 在“生成的节点机密文件”页上,单击“立即下载”。

    6. 在“文件下载”对话框中,单击“保存”,浏览到 C:\RSA Installation,然后单击“保存”。 在“下载完成”对话框中单击“关闭”。

    7. 从 RSA 身份验证管理器媒体中,将 \auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe 复制到 C:\RSA Installation。

创建 DAProbeUser

  1. 在 RSA 安全控制台 中,依次单击“标识”选项卡、“用户”和“新增”。

  2. 在“姓氏:”部分中键入“Probe”,在“用户 ID:”部分中键入“DAProbeUser”。 在“密码:”和“确认密码:”部分中键入强密码。 清除“要求用户在下次登录时更改密码”检查框,然后单击“保存”。

在 CLIENT1 上安装 RSA SecurID 软件令牌

使用以下过程在 CLIENT1 上安装 SecurID 软件令牌。

安装 SecurID 软件令牌

  1. 在 CLIENT1 计算机上,创建文件夹 C:\RSA Files。 将文件 Software_Tokens.zip 从 RSA 计算机上的 C:\RSA Installation 安装复制到 C:\RSA Files。 将文件 User1_000031701832.SDTID 提取到 CLIENT1 上的 C:\RSA Files 中。

  2. 访问 RSA SecurID 软件令牌媒体源,然后双击“”SecurID 软件令牌客户端应用”文件夹中的 RSASECURIDTOKEN410 以启动 RSA SecurID 安装。 如果出现“打开文件 - 安全警告”消息,请单击“运行”。

  3. 在“RSA SecurID 软件令牌 - InstallShield 向导”对话框中,单击“下一步”两次。

  4. 接受许可协议,然后单击“下一步”。

  5. 在“安装程序类型”对话框中,选择“典型”,单击“下一步”,然后单击“安装”。

  6. 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  7. 选中“启动 RSA SecurID 软件令牌”复选框,然后单击“完成”。

  8. 单击“从文件中导入”。

  9. 单击“浏览”,选择“C:\RSA Files\User1_000031701832.SDTID”,然后单击“打开”。

  10. 单击“确定”两次

将 EDGE1 配置为 RSA 身份验证代理

使用以下过程将 EDGE1 配置为执行 RSA 身份验证。

配置 RSA 身份验证代理

  1. 在 EDGE1 上,打开 Windows 资源管理器并创建文件夹 C:\RSA Files。 浏览到 RSA ACE 安装介质。

  2. 将文件 agent_nsload.exe、AM_Config.zip 和 EDGE1_NodeSecret.zip 从 RSA 介质复制到 C:\RSA Files。

  3. 将这两个 zip 文件的内容提取到以下位置:

    1. C:\Windows\system32\

    2. C:\Windows\SysWOW64\

  4. 将 agent_nsload.exe 复制到 C:\Windows\SysWOW64\。

  5. 打开提升的命令提示符并导航到 C:\Windows\SysWOW64。

  6. 键入 agent_nsload.exe -f nodesecret.rec -p <password>,其中 <password> 是你在初始 RSA 配置期间创建的强密码。 按 Enter。

  7. 将 C:\Windows\SysWOW64\securid 复制到 C:\Windows\System32。

配置 EDGE1 以支持 OTP 身份验证

使用此过程为 DirectAccess 配置 OTP,并验证配置。

为 DirectAccess 配置 OTP

  1. 在 EDGE1 上,打开服务器管理器,然后单击左窗格中的“远程访问”。

  2. 右键单击“服务器”窗格中的“EDGE1”,然后选择“远程访问管理”。

  3. 单击“配置”。

  4. 在“DirectAccess 安装”窗口的“步骤 2 - 远程访问服务器”下,单击“编辑”

  5. 单击“下一步”三次,在“身份验证”部分选择“双因素身份验证”和“使用 OTP”,并确保选中“使用计算机证书”。 验证根 CA 是否设置为 CN=corp-APP1-CA。 单击“下一步”。

  6. 在“OTP RADIUS 服务器”部分中,双击空白的“服务器名称”字段

  7. 在“添加 RADIUS 服务器”对话框中,在“服务器名称”字段中键入 RSA。 单击“共享机密”字段旁边的“更改”,并在“新建机密”和“确认新机密”字段中键入在 RSA 服务器上配置 RADIUS 客户端时所用的密码。 单击“确定”两次,然后单击“下一步”

    注意

    如果 RADIUS 服务器位于与远程访问服务器不同的域中,则“服务器名称”字段必须指定 RADIUS 服务器的 FQDN

  8. 在“OTP CA 服务器”部分中,选择“APP1.corp.contoso.com”,然后单击“添加”。 单击“下一步”。

  9. 在“OTP 证书模板”页上,单击“浏览”以选择用于注册为 OTP 身份验证颁发的证书的证书模板,然后在“证书模板”对话框中选择“DAOTPLogon”。 单击“确定”。 单击“浏览”以选择用于注册证书(该证书由远程访问服务器用来对 OTP 证书注册请求进行签名)的证书模板,然后在“证书模板”对话框中选择“DAOTPRA”。 单击“确定” 。 单击“下一步”。

  10. 在“远程访问服务器设置”页上,单击“完成”,然后在“DirectAccess 专家向导”上单击“完成”。

  11. 在“远程访问评审”对话框中,单击“应用”,等待 DirectAccess 策略更新,然后单击“关闭”

  12. 在“开始”屏幕上,键入 powershell.exe,右键单击“powershell”,单击“高级”,然后单击“以管理员身份运行”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  13. 在“Windows PowerShell”窗口中,键入 gpupdate /force,然后按 ENTER。

  14. 关闭并重新打开远程访问管理控制台,并验证所有 OTP 设置是否正确。