Bästa tipsen för kombinationen RSA SecurID och ISA Server 2006
Uppdraget: Att skydda ditt nätverk med tvåfaktorauthentisering med RSA SecurID, inklusive VPN-kopplingar och webbtjänster som webbmail och affärssystem.
Några små problem kan dyka upp då du försöker använda ISA Server 2006 som en Agent Host i RSA SecureID:
- Generellt vid installation av RSA SecurID Agent Hosts: Se till att hosten är upplagd med rätt IP (den som ska kommunicera) i RSA Authentication Manager. Se till att den är satt till typen NetOS, och att host-secret-kryssrutan är okryssad. Generera och leverera filen SDCONF.REC till dina Agent Hosts i mappen c:\windows\system32. Node secret skapas automatiskt vid första lyckade authentiseringsförsöket.
- Förvirring uppstår lätt i och med att RSA SecurID delvis redan är inbyggt i ISA Server 2006. Det stämmer, men endast som web-filter. Ska du använda en EAP-klient (d.v.s. skydda VPN) så måste du installera RSA SecurIDs egen EAP-klient (för närvarande i version 6.1), vilket kommer orsaka en krock (se nedan).
- ISA Server är ju en brandvägg och har per
definition därför flera nätverkskort. Det måste hanteras enligt följande:
"If ISA Server is configured with multiple network adapters and you create a Web listener with RSA SecurID authentication enabled, you should explicitly configure the network adapter address through which ISA Server will connect to the RSA Authentication Manager for authentication purposes. Otherwise, ISA Server may fail to perform SecurID authentication. Specify the IP address in registry key HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP, as a string value."
(Från: http://www.microsoft.com/technet/isa/2006/authentication.mspx) - Eftersom ISA Server 2006 därmed i princip består av två agenter måste sdconf.rec även läggas i mappen c:\program files\Isa Server\sdconf, vilket inte är dokumenterat. När man gör det rensas ”node secret”-rutan i Authentication Manager och en autentisering görs via webbgänssnittet.
- Då får man felet ”node verification failed” i VPN-installationen (RSA Agent 6.1)... Detta löser du genom att köra ”clear node secret” i RSA Security Center på din Agent (ISA-servern), och sedan kopiera tillbaka filen securid från mappen c:\program files\Isa Server\sdconf till c:\windows\system32.
Voila – både VPN och webbtjänster skyddade med RSA SecurID!
Magnus Rygart
2007-09-24