Службы RSA SecurID основываются на технологиях RSA Security Inc.

Forefront TMG может использовать SecurID для проверки подлинности клиентов при доступе к удаленным виртуальным частным сетям (VPN) и внутренних корпоративных веб-серверов, опубликованных через Forefront TMG. Чтобы получить доступ к защищенным ресурсам, SecurID требует от клиентов предоставлять личные идентификационные номера (ПИН-коды) и физический маркер, который создает одноразовый, ограниченный по времени действия пароль. Обратите внимание, что для получения доступа требуется как ПИН-код, так и создаваемый маркером одноразовый пароль.

Настройка сервера проверки подлинности SecurID для Forefront TMG состоит из следующих этапов:

  1. После установки диспетчера проверки подлинности RSA в соответствии с документацией RSA, настройте запись узла агента, чтобы диспетчер проверки подлинности RSA принимал подключения от Forefront TMG для проверки подлинности пользователя.

  2. Проверьте разрешения и параметры сетевой платы.

  3. Проверьте подключение к диспетчеру проверки подлинности RSA.

  4. Настройте параметры SecurID.

Ниже приведены описания некоторых процедур настройки.

Чтобы создать запись узла агента, выполните следующие действия:

  1. На компьютере, на котором работает диспетчер проверки подлинности RSA, нажмите кнопку Пуск и выберите Режим узла диспетчера проверки подлинности RSA.

  2. В меню Узел агента выберите команду Добавить узел агента.

  3. В поле Имя введите имя компьютера, на котором работает Forefront TMG. Имя должно разрешаться IP-адресом в локальной сети диспетчера проверки подлинности RSA.

  4. При необходимости в поле Сетевой адрес введите IP-адрес компьютера, на котором работает Forefront TMG.

  5. В списке Тип агента выберите Агент Net OS.

  6. Если необходимо, чтобы все пользователи имели возможность пройти проверку подлинности, выберите пункт Открыть для всех локальных пользователей.

  7. В меню Узел агента выберите команду Создать файлы конфигурации Выберите Один узел агента, нажмите кнопку ОК, дважды щелкните имя компьютера, на котором работает Forefront TMG, и сохраните файл Sdconf.rec file в папке %windir%\system32 на компьютере, на котором работает Forefront TMG.

    Примечание.
    По умолчанию файл Sdconf.rec расположен в папке ACE\Data на компьютере диспетчера проверки подлинности RSA.

Чтобы проверить разрешения и параметры сетевого адаптера, выполните следующие действия:

  1. Проверьте, что на компьютере, на котором работает Forefront TMG, у локальной учетной записи "Сетевые службы" имеются права на чтение и запись следующего раздела реестра:
    HKLM\Software\SDTI\ACECLIENT
    Это обеспечивает для Forefront TMG возможность записи секрета в реестр.

  2. На компьютере, на котором работает Forefront TMG, предоставьте учетной записи "Сетевые службы" права на чтение файла Sdconfig.rec.

  3. Если в конфигурации компьютера, на котором работает Forefront TMG, указано несколько сетевых адаптеров, необходимо явно указать адрес сетевого адаптера, по которому Forefront TMG будет подключаться к диспетчеру проверки подлинности RSA для проверки подлинности. Для этого укажите IP-адрес в качестве значения строковой переменной в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP
    Указанное значение должно соответствовать значению, указанному в записи узла агента.

Проверка подключения

Вы можете протестировать проверку подлинности SecurID при помощи программы тестирования проверки подлинности RSA. Дополнительные сведения об этом средстве см. в статье Служебная программа проверки подлинности RSA для сервера Internet Security and Acceleration (ISA) Server (http://www.microsoft.com/downloads/details.aspx?FamilyID=7b0ca409-55d0-4d33-bb3f-1ba4376d5737&DisplayLang=en). Это средство проверяет подключение между компьютером, на котором работает Forefront TMG, и сервером, на котором выполняется диспетчер проверки подлинности RSA. Это средство также может получить секрет, необходимый для шифрования данных при обмене между серверами.

© Корпорация Майкрософт, 2009 Все права защищены.