RSA SecurID основывается на технологии от RSA Security Inc. Шлюз Microsoft Forefront Threat Management может использовать SecurID следующим образом:

проверять подлинность клиентов для удаленного доступа VPN;
проверять подлинность клиентов для доступа к внутренним корпоративным веб-серверам, опубликованным Forefront TMG с использованием веб-публикации;

При использовании SecurID необходимо, чтобы клиенты предоставили следующую информацию для доступа к защищенным ресурсам:

Персональный идентификационный номер (ПИН)
Физический маркер, который генерирует одноразовый, ограниченный по времени пароль

Ни ПИН, ни сгенерированный маркером одноразовый пароль не обеспечивают доступ отдельно друг от друга. Необходимо использовать их вместе. Настройка сервера проверки подлинности SecurID для Forefront TMG состоит из следующих этапов:

После установки RSA ACE/Server в соответствии с документацией RSA, настройте запись узла агента, чтобы диспетчер проверки подлинности RSA принимал подключения от Forefront TMG для проверки подлинности пользователя.
Проверьте разрешения и параметры сетевой платы.
Проверьте подключение к RSA ACE/Server.
Настройте параметры SecurID.

Создание записи узла агента

В меню Пуск компьютера RSA ACE/Server откройте вкладку Режим узла диспетчера проверки подлинности RSA.
В меню Узел агента выберите команду Добавить узел агента.
В поле Имя введите имя сервера Forefront TMG. Имя должно разрешаться IP-адресом в локальной сети RSA ACE/Server.
В поле Сетевой адрес введите IP-адрес сервера Forefront TMG при необходимости.
В списке Тип агента выберите Агент Net OS.
Если вы хотите, чтобы все пользователи имели возможность пройти проверку подлинности, выберите пункт Открыть для всех локальных пользователей.
В меню Узел агента выберите команду Создать файлы конфигурации . Нажмите кнопку Один узел агента, нажмите ОК, дважды щелкните имя сервера Forefront TMG и сохраните файл Sdconf.rec в папку %windir%\system32 на сервере Forefront TMG.

По умолчанию файл Sdconf.rec расположен в папке ACE\Data на компьютере RSA/ACE Server.

Проверка разрешений и параметров сетевой платы

Убедитесь, что:

на сервере Forefront TMG убедитесь, что у локальной учетной записи Сетевые службы имеется доступ для чтения/записи к следующему разделу реестра: HKLM\Software\SDTI\ACECLIENT. Это обеспечивает для Forefront TMG возможность записи секрета в реестр.
На сервере Forefront TMG настройте учетную запись «Сетевые службы» на разрешение чтения файла Sdconfig.rec.
Если для настройки сервера Forefront TMG использовалось несколько сетевых плат, необходимо подробно указать адрес сетевой платы, по которому Forefront TMG будет подключаться к RSA ACE/Server для проверки подлинности. Для этого укажите IP-адрес в качестве значения строковой переменной в следующем разделе реестра:HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP Указанное значение должно соответствовать значению, указанному в записи узла агента.

Проверка подключения

Вы можете протестировать проверку подлинности SecurID при помощи программы тестирования проверки подлинности RSA . Это средство проверяет подключение между сервером Forefront TMG и сервером, на котором выполняется диспетчер проверки подлинности RSA. Это средство также может получить секрет, необходимый для шифрования данных при обмене между серверами.