SCHRITT 4: Installieren und Konfigurieren von RSA und EDGE1

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

RSA ist der RADIUS- und OTP-Server, der vor dem Konfigurieren von RADIUS und OTP installiert wird.

Führen Sie die folgenden Schritte aus, um die RSA-Bereitstellung zu konfigurieren:

  1. Installieren Sie das Betriebssystem auf dem RSA-Server. Installieren Sie Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 auf dem RSA-Server.

  2. Konfigurieren Sie TCP/IP auf RSA. Konfigurieren Sie TCP/IP-Einstellungen auf dem RSA-Server.

  3. Kopieren Sie die Authentication Manager-Installationsdateien auf den RSA-Server. Nach der Installation des Betriebssystems auf RSA kopieren Sie die Authentication Manager-Dateien auf den RSA-Computer.

  4. Binden Sie den RSA-Server in die Domäne CORP ein. Fügen Sie RSA der Domäne CORP hinzu.

  5. Deaktivieren Sie die Windows-Firewall auf RSA. Deaktivieren Sie die Windows-Firewall auf dem RSA-Server.

  6. Installieren Sie RSA Authentication Manager auf dem RSA-Server. Installieren Sie RSA Authentication Manager.

  7. Konfigurieren Sie RSA Authentication Manager. Konfigurieren Sie Authentication Manager.

  8. Erstellen Sie DAProbeUser. Erstellen Sie zu Testzwecken ein Benutzerkonto.

  9. Installieren Sie das RSA SecurID-Softwaretoken auf CLIENT1. Installieren Sie das RSA SecurID-Softwaretoken auf CLIENT1.

  10. Konfigurieren Sie EDGE1 als RSA-Authentifizierungs-Agent. Konfigurieren Sie den RSA-Authentifizierungs-Agent auf EDGE1.

  11. Konfigurieren Sie EDGE1 für die Unterstützung der OTP-Authentifizierung. Konfigurieren Sie OTP für DirectAccess, und überprüfen Sie die Konfiguration.

Installieren des Betriebssystems auf dem RSA-Server

  1. Starten Sie auf RSA die Installation von Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012.

  2. Folgen Sie den Anweisungen, um die Installation abzuschließen. Geben Sie dabei Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 (vollständige installation) und ein sicheres Kennwort für das lokale Administratorkonto an. Melden Sie sich beim lokalen Administratorkonto an.

  3. Verbinden Sie RSA mit einem Netzwerk mit Internetzugang und führen Sie Windows Update aus, um die neuesten Updates für Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 zu installieren. Trennen Sie dann die Verbindung mit dem Internet.

  4. Verbinden Sie RSA mit dem Subnetz „Corpnet“.

Konfigurieren von TCP/IP auf RSA

  1. Klicken Sie unter „Aufgaben zur Erstkonfiguration“ auf Netzwerk konfigurieren.

  2. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf LAN-Verbindung, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf Folgende IP-Adresse verwenden. Geben Sie im Feld IP-Adresse die Adresse 10.0.0.5 ein. Geben Sie im Feld Subnetzmaske den Wert 255.255.255.0 ein. Geben Sie für Standardgateway den Wert 10.0.0.2 ein. Klicken Sie auf Folgende DNS-Serveradressen verwenden, und geben Sie unter Bevorzugter DNS-Server den Wert 10.0.0.1 ein.

  5. Klicken Sie auf Erweitert und dann auf die Registerkarte DNS.

  6. Geben Sie unter DNS-Suffix für diese Verbindung das Suffix corp.contoso.com ein, und klicken Sie dann zweimal auf OK.

  7. Klicken Sie im Dialogfeld Eigenschaften von LAN-Verbindung auf Schließen.

  8. Schließen Sie das Fenster Netzwerkverbindungen.

Kopieren der Authentication Manager-Installationsdateien auf den RSA-Server

  1. Erstellen Sie auf dem RSA-Server den Ordner „C:\RSA Installation“.

  2. Kopieren Sie den Inhalt der RSA Authentication Manager 7.1 SP4-Medien in den Ordner „C:\RSA Installation“.

  3. Erstellen Sie den Unterordner „C:\RSA Installation\License and Token“.

  4. Kopieren Sie die RSA-Lizenzdateien in „C:\RSA Installation\License and Token“.

Einbinden des RSA-Servers in die Domäne CORP

  1. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  3. Geben Sie bei Computername den Namen RSA ein. Klicken Sie unter Mitglied von auf Domäne, geben Sie corp.contoso.com ein, und klicken Sie auf OK.

  4. Geben Sie, wenn Sie zur Angabe eines Benutzernamens und eines Kennworts aufgefordert werden, User1 und das zugehörige Kennwort ein, und klicken Sie auf OK.

  5. Klicken Sie im Dialogfeld zur Begrüßung in der Domäne auf OK.

  6. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  7. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  8. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  9. Nachdem der Computer neu gestartet wurde, geben Sie User1 und das Kennwort ein, wählen Sie in der Dropdownliste Anmelden bei die Option CORP aus, und klicken Sie auf OK.

Deaktivieren der Windows-Firewall auf RSA

  1. Klicken Sie auf Start > Systemsteuerung > System und Sicherheit, und klicken Sie auf Windows-Firewall.

  2. Klicken Sie auf Windows-Firewall ein- oder ausschalten.

  3. Deaktivieren Sie die Windows-Firewall für alle Einstellungen.

  4. Klicken Sie auf OK, und schließen Sie die Windows-Firewall.

Installieren von RSA Authentication Manager auf dem RSA-Server

  1. Wenn die Sicherheitswarnung während dieses Vorgangs angezeigt wird, klicken Sie auf Ausführen, um fortzufahren.

  2. Öffnen Sie den Ordner „C:\RSA Installation“, und doppelklicken Sie auf autorun.exe.

  3. Klicken Sie auf Jetzt installieren, klicken Sie auf Weiter, wählen Sie die oberste Option für Amerika aus, und klicken Sie auf Weiter.

  4. Wählen Sie Ich stimme den Bedingungen des Lizenzvertrags zu aus, und klicken Sie auf Weiter.

  5. Wählen Sie Primäre Instanz aus, und klicken Sie auf Weiter.

  6. Geben Sie im Feld Verzeichnisname den Namen C:\RSA ein, und klicken Sie auf Weiter.

  7. Vergewissern Sie sich, dass der Servername (RSA.corp.contoso.com) und die IP-Adresse korrekt sind, und klicken Sie auf Weiter.

  8. Navigieren Sie zu „C:\RSA Installation\License and Token“, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Lizenzdatei überprüfen auf Weiter.

  10. Geben Sie im Feld Benutzer-ID den Namen Administrator ein, und geben Sie in den Feldern Kennwort und Kennwort bestätigen ein sicheres Kennwort ein. Klicke auf Weiter.

  11. Übernehmen Sie auf dem Protokollauswahlbildschirm die Standardwerte, und klicken Sie auf Weiter.

  12. Klicken Sie im Zusammenfassungsbildschirm auf Installieren.

  13. Klicken Sie nach Abschluss der Installation auf Fertig stellen.

Konfigurieren von RSA Authentication Manager

  1. Wenn die RSA-Sicherheitskonsole nicht automatisch geöffnet wird, doppelklicken Sie auf dem RSA-Computerdesktop auf „RSA-Sicherheitskonsole“.

  2. Wenn die Sicherheitszertifikatwarnung/Sicherheitswarnung angezeigt wird, klicken Sie auf Weiter mit dieser Website, oder klicken Sie zum Fortfahren auf Ja, und fügen Sie diese Website bei Bedarf den vertrauenswürdigen Websites hinzu.

  3. Geben Sie im Feld Benutzer-ID den Namen Administrator ein, und klicken Sie auf OK.

  4. Geben Sie im Feld Kennwort das Kennwort für das Administratorkonto ein, und klicken Sie auf Anmelden.

  5. Fügen Sie Tokeninformationen ein.

    1. Klicken Sie in der RSA-Sicherheitskonsole auf Authentifizierung, und klicken Sie auf SecurID-Token.

    2. Klicken Sie auf Tokenauftrag importieren, und klicken Sie dann auf Neu hinzufügen.

    3. Klicken Sie im Abschnitt Importoptionen auf Durchsuchen. Navigieren Sie im Ordner „C:\RSA Installation\License and Token“ zur Token-XML-Datei, wählen Sie sie aus, und klicken Sie auf Öffnen.

    4. Klicken Sie unten auf der Seite auf Auftrag übermitteln.

  6. Erstellen Sie einen neuen OTP-Benutzer.

    1. Klicken Sie in der RSA-Sicherheitskonsole auf die Registerkarte Identität, klicken Sie auf Benutzer, und klicken Sie dann auf Neu hinzufügen.

    2. Geben Sie im Abschnitt Nachname den Namen User und im Abschnitt Benutzer-ID den Wert User1 ein. (Die Benutzer-ID muss mit dem AD-Benutzernamen übereinstimmen, der für dieses Lab verwendet wird.) Geben Sie in den Abschnitten Kennwort und Kennwort bestätigen ein sicheres Kennwort ein. Deaktivieren Sie das Kontrollkästchen Benutzer muss das Kennwort bei der nächsten Anmeldung ändern, und klicken Sie auf Speichern.

  7. Weisen Sie User1 einem der importierten Token zu.

    1. Klicken Sie auf der Seite Benutzer auf User1 und dann auf SecurID-Token.

    2. Klicken Sie auf SecurID-Token und dann auf Token zuweisen.

    3. Klicken Sie unter der Überschrift Seriennummer auf die erste aufgeführte Nummer, und klicken Sie auf Zuweisen.

    4. Klicken Sie auf das zugewiesene Token, und klicken Sie auf Bearbeiten. Wählen Sie im Abschnitt SecurID-PIN-Verwaltung für Benutzerauthentifizierungsanforderung die Option PIN nicht erforderlich (nur Tokencode) aus.

    5. Klicken Sie auf Token speichern und verteilen.

    6. Klicken Sie auf der Seite Softwaretoken verteilen im Abschnitt Grundlagen auf Tokendatei (SDTID) ausstellen.

    7. Deaktivieren Sie auf der Seite Softwaretoken verteilen im Abschnitt Tokendateioptionen das Kontrollkästchen Kopierschutz aktivieren. Klicken Sie auf Kein Kennwort und auf Weiter.

    8. Klicken Sie auf der Seite Softwaretoken verteilen im Abschnitt Datei herunterladen auf Jetzt herunterladen. Klicken Sie auf Speichern. Navigieren Sie zu „C:\RSA Installation“, und klicken Sie auf Speichern und Schließen.

    9. Minimieren Sie die RSA-Sicherheitskonsole für die spätere Verwendung.

  8. Konfigurieren Sie Authentication Manager als RADIUS-Server.

    1. Doppelklicken Sie auf dem RSA-Computerdesktop auf RSA-Betriebskonsole.

    2. Wenn die Sicherheitszertifikatwarnung/Sicherheitswarnung angezeigt wird, klicken Sie auf Weiter mit dieser Website, oder klicken Sie zum Fortfahren auf Ja, und fügen Sie diese Website bei Bedarf den vertrauenswürdigen Websites hinzu.

    3. Geben Sie die Benutzer-ID und das Kennwort ein, und klicken Sie auf Anmelden.

    4. Klicken Sie auf Bereitstellungskonfiguration > RADIUS > Server konfigurieren.

    5. Geben Sie auf der Seite Zusätzliche Anmeldeinformationen erforderlich die Administratorbenutzer-ID und das Kennwort ein, und klicken Sie auf OK.

    6. Geben Sie auf der Seite RADIUS-Server konfigurieren dasselbe Kennwort ein, das für den/die Administratorbenutzer*in für Geheimnisse und Masterkennwort verwendet wird. Geben Sie die Administratorbenutzer-ID und das Kennwort ein, und klicken Sie auf Konfigurieren.

    7. Stellen Sie sicher, dass die Meldung RADIUS-Server erfolgreich konfiguriert angezeigt wird. Klicke auf Fertig. Schließen Sie die RSA-Betriebskonsole.

    8. Wechseln Sie zurück zur RSA-Sicherheitskonsole.

    9. Klicken Sie auf der Registerkarte RADIUS auf RADIUS-Server. Stellen Sie sicher, dass „rsa.corp.contoso.com“ aufgeführt ist.

  9. Konfigurieren Sie den RSA-Server als RSA-Authentifizierungsclient.

    1. Klicken Sie auf der Registerkarte RADIUS auf RADIUS-Clients und dann auf Neu hinzufügen.

    2. Klicken Sie auf das Kontrollkästchen Beliebiger RADIUS-Client.

    3. Geben Sie im Feld Gemeinsames Geheimnis ein sicheres Kennwort Ihrer Wahl ein. Sie verwenden dieses Kennwort später beim Konfigurieren von EDGE1 für OTP.

    4. Lassen Sie das Feld IP-Adresse leer, und übernehmen Sie den Eintrag Hersteller/Modell als Standard RADIUS.

    5. Klicken Sie auf Ohne RSA-Agent speichern.

  10. Erstellen Sie Dateien, die zum Konfigurieren von EDGE1 als RSA-Authentifizierungs-Agent erforderlich sind.

    1. Markieren Sie auf der Registerkarte Zugriff die Option Authentifizierungs-Agents, und klicken Sie auf Neu hinzufügen.

    2. Geben Sie EDGE1 in das Feld Hostname ein, und klicken Sie auf IP-Adresse auflösen.

    3. Beachten Sie, dass die IP-Adresse für EDGE1 jetzt im Feld IP-Adresse angezeigt wird. Klicken Sie auf Speichern.

  11. Generieren Sie eine Konfigurationsdatei für den EDGE1-Server (AM_Config.zip).

    1. Markieren Sie auf der Registerkarte Zugriff die Option Authentifizierungs-Agents, und klicken Sie auf Konfigurationsdatei generieren.

    2. Klicken Sie auf der Seite Konfigurationsdatei generieren auf Konfigurationsdatei generieren, und klicken Sie dann auf Jetzt herunterladen.

    3. Klicken Sie auf Speichern, navigieren Sie zu „C:\RSA Installation“, und klicken Sie auf Speichern.

    4. Klicken Sie im Dialogfeld Download abgeschlossen auf Schließen.

  12. Generieren Sie eine Knotengeheimnisdatei für den EDGE1-Server (EDGE1_NodeSecret.zip).

    1. Markieren Sie auf der Registerkarte Zugriff die Option Authentifizierungs-Agents, und klicken Sie auf Vorhandene verwalten.

    2. Klicken Sie auf den aktuell konfigurierten Knoten EDGE1, und klicken Sie auf Knotengeheimnis verwalten.

    3. Aktivieren Sie das Kontrollkästchen Neues zufälliges Knotengeheimnis erstellen und Knotengeheimnis in eine Datei exportieren.

    4. Geben Sie dasselbe Kennwort, das für den/die Administratorbenutzer*in verwendet wurde, in die Felder Verschlüsselungskennwort und Verschlüsselungskennwort bestätigen ein, und klicken Sie auf Speichern.

    5. Klicken Sie auf der Seite Generierte Knotengeheimnisdatei auf Jetzt herunterladen.

    6. Klicken Sie im Dialogfeld Dateidownload auf Speichern, navigieren Sie zu „C:\RSA Installation“, und klicken Sie auf Speichern. Klicken Sie im Dialogfeld Download abgeschlossen auf Schließen.

    7. Kopieren Sie „\auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe“ von den RSA Authentication Manager-Medien in „C:\RSA Installation“.

Erstellen von DAProbeUser

  1. Klicken Sie in der RSA-Sicherheitskonsole auf die Registerkarte Identität, klicken Sie auf Benutzer, und klicken Sie dann auf Neu hinzufügen.

  2. Geben Sie im Abschnitt Nachname den Namen Probe ein, und geben Sie im Abschnitt Benutzer-ID die ID DAProbeUser ein. Geben Sie in den Abschnitten Kennwort und Kennwort bestätigen ein sicheres Kennwort ein. Deaktivieren Sie das Kontrollkästchen Benutzer muss das Kennwort bei der nächsten Anmeldung ändern, und klicken Sie auf Speichern.

Installieren des RSA SecurID-Softwaretokens auf CLIENT1

Verwenden Sie dieses Verfahren, um das SecurID-Softwaretoken auf CLIENT1 zu installieren.

Installieren des SecurID-Softwaretokens

  1. Erstellen Sie auf dem Computer CLIENT1 den Ordner „C:\RSA Files“. Kopieren Sie die Datei „Software_Tokens.zip“ aus „C:\RSA Installation“ auf dem RSA-Computer nach „C:\RSA Files“. Extrahieren Sie die Datei „User1_000031701832.SDTID“ in „C:\RSA Files“ auf CLIENT1.

  2. Greifen Sie auf die Medienquelle für RSA SecurID-Softwaretoken zu, und doppelklicken Sie im Ordner der SecurID SoftwareToken-Client-App auf RSASECURIDTOKEN410, um die RSA SecurID-Installation zu starten. Wenn die Meldung Datei öffnen – Sicherheitswarnung angezeigt wird, klicken Sie auf Ausführen.

  3. Klicken Sie im Dialogfeld RSA SecurID Software Token – InstallShield-Assistent zweimal auf Weiter.

  4. Akzeptieren Sie den Lizenzvertrag, und klicken Sie auf Weiter.

  5. Wählen Sie im Dialogfeld Installationstyp die Option Typisch aus, klicken Sie auf Weiter, und klicken Sie auf Installieren.

  6. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  7. Aktivieren Sie das Kontrollkästchen RSA SecurID-Softwaretoken starten, und klicken Sie auf Fertig stellen.

  8. Klicken Sie auf Aus Datei importieren.

  9. Klicken Sie auf Durchsuchen, wählen Sie „C:\RSA Files\User1_000031701832.SDTID“ aus, und klicken Sie auf Öffnen.

  10. Klicken Sie zweimal auf OK.

Konfigurieren von EDGE1 als RSA-Authentifizierungs-Agent

Verwenden Sie dieses Verfahren, um EDGE1 für die RSA-Authentifizierung zu konfigurieren.

Konfigurieren des RSA-Authentifizierungs-Agents

  1. Öffnen Sie auf EDGE1 den Windows-Explorer, und erstellen Sie den Ordner „C:\RSA Files“. Navigieren Sie zum RSA ACE-Installationsmedium.

  2. Kopieren Sie die Dateien „agent_nsload.exe“, „AM_Config.zip“ und „EDGE1_NodeSecret.zip“ von den RSA-Medien in „C:\RSA Files“.

  3. Extrahieren Sie den Inhalt beider ZIP-Dateien in die folgenden Speicherorte:

    1. C:\Windows\system32\

    2. C:\Windows\SysWOW64\

  4. Kopieren Sie „agent_nsload.exe“ in „C:\Windows\SysWOW64\“.

  5. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und navigieren Sie zu „C:\Windows\SysWOW64“.

  6. Geben Sie agent_nsload.exe -f nodesecret.rec -p <kennwort> ein, wobei <kennwort> dem sicheren Kennwort entspricht, das Sie bei der anfänglichen RSA-Konfiguration erstellt haben. Drücken Sie die EINGABETASTE.

  7. Kopieren Sie „C:\Windows\SysWOW64\securid“ in „C:\Windows\System32“.

Konfigurieren von EDGE1 für die Unterstützung der OTP-Authentifizierung

Verwenden Sie dieses Verfahren, um OTP für DirectAccess zu konfigurieren und die Konfiguration zu überprüfen.

Konfigurieren von OTP für DirectAccess

  1. Öffnen Sie auf EDGE1 den Server-Manager, und klicken Sie im linken Bereich auf REMOTEZUGRIFF.

  2. Klicken Sie im Bereich SERVER mit der rechten Maustaste auf EDGE1, und wählen Sie Remotezugriffsverwaltung aus.

  3. Klicken Sie auf Konfiguration.

  4. Klicken Sie im Fenster DirectAccess-Setup unter Schritt 2 – RAS-Server auf Bearbeiten.

  5. Klicken Sie dreimal auf Weiter, und wählen Sie im Abschnitt Authentifizierung die Optionen Zwei-Faktor-Authentifizierung und OTP verwenden aus. Stellen Sie sicher, dass die Option Computerzertifikate verwenden aktiviert ist. Vergewissern Sie sich, dass die Stammzertifizierungsstelle auf CN=corp-APP1-CA festgelegt ist. Klicken Sie auf Weiter.

  6. Doppelklicken Sie im Abschnitt OTP RADIUS-Server in das leere Feld Servername.

  7. Geben Sie im Dialogfeld RADIUS-Server hinzufügen den Namen RSA in das Feld Servername ein. Klicken Sie neben dem Feld Gemeinsames Geheimnis auf Ändern, und geben Sie in den Feldern Neues Geheimnis und Neues Geheimnis bestätigen dasselbe Kennwort ein, das Sie beim Konfigurieren der RADIUS-Clients auf dem RSA-Server verwendet haben. Klicken Sie zweimal auf OK, und klicken Sie dann auf Weiter.

    Hinweis

    Wenn sich der RADIUS-Server in einer anderen Domäne befindet als der RAS-Server, muss im Feld Servername der FQDN des RADIUS-Servers angegeben sein.

  8. Wählen Sie im Abschnitt OTP-Zertifizierungsstellenserver die Option „APP1.corp.contoso.com“ aus, und klicken Sie auf Hinzufügen. Klicke auf Weiter.

  9. Klicken Sie auf der Seite OTP-Zertifikatvorlagen auf Durchsuchen, um eine Zertifikatvorlage für die Registrierung von Zertifikaten auszuwählen, die für die OTP-Authentifizierung ausgestellt werden. Wählen Sie im Dialogfeld Zertifikatvorlagen die Option DAOTPLogon aus. Klicke auf OK. Klicken Sie auf Durchsuchen, um eine Zertifikatvorlage zum Registrieren des Zertifikats auszuwählen, das vom RAS-Server zum Signieren von Registrierungsanforderungen für OTP-Zertifikate verwendet wird. Wählen Sie im Dialogfeld Zertifikatvorlagen die Option DAOTPRA aus. Klicken Sie auf OK. Klicken Sie auf Weiter.

  10. Klicken Sie auf der Seite RAS-Serversetup auf Fertig stellen, und klicken Sie im DirectAccess-Experten-Assistenten auf Fertig stellen.

  11. Klicken Sie im Dialogfeld Überprüfung des Remotezugriffs auf Übernehmen, warten Sie, bis die DirectAccess-Richtlinie aktualisiert wurde, und klicken Sie auf Schließen.

  12. Geben Sie auf dem Startbildschirm den Eintrag powershell.exe ein, klicken Sie mit der rechten Maustaste auf powershell, klicken Sie auf Erweitert und dann auf Als Administrator ausführen. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  13. Geben Sie im Windows PowerShell-Fenster gpupdate /force ein, und drücken Sie die EINGABETASTE.

  14. Schließen Sie die Remotezugriffs-Verwaltungskonsole, öffnen Sie sie erneut, und vergewissern Sie sich, dass alle OTP-Einstellungen korrekt sind.