SCHRITT 4: Installieren und Konfigurieren von RSA und EDGE1

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

RSA ist der RADIUS- und OTP-Server und wird vor der Konfiguration von RADIUS und OTP installiert.

Führen Sie die folgenden Schritte aus, um die RSA-Bereitstellung zu konfigurieren:

  1. Installieren Sie das Betriebssystem auf dem RSA-Server. Installieren Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 auf dem RSA-Server.

  2. Konfigurieren Sie TCP/IP auf RSA. Konfigurieren Sie TCP/IP-Einstellungen auf dem RSA-Server.

  3. Kopieren Sie die Installationsdateien des Authentifizierungs-Managers auf den RSA-Server. Kopieren Sie nach der Installation des Betriebssystems auf RSA die Authentication Manager-Dateien auf den RSA-Computer.

  4. Verbinden Sie den RSA-Server mit der CORP-Domäne. Schließen Sie RSA in die CORP-Domäne ein.

  5. Deaktivieren Windows Firewall auf RSA. Deaktivieren Sie Windows Firewall auf dem RSA-Server.

  6. Installieren Sie den RSA-Authentifizierungs-Manager auf dem RSA-Server. Installieren Sie den RSA-Authentifizierungs-Manager.

  7. Konfigurieren Sie den RSA-Authentifizierungs-Manager. Konfigurieren Sie den Authentifizierungs-Manager.

  8. Erstellen Sie DAProbeUser. Erstellen Sie ein Benutzerkonto zu Probezwecken.

  9. Installieren Sie das RSA SecurID-Softwaretoken auf CLIENT1. Installieren Sie das RSA SecurID-Softwaretoken auf CLIENT1.

  10. Konfigurieren Sie EDGE1 als RSA-Authentifizierungs-Agent. Konfigurieren Sie den RSA-Authentifizierungs-Agent auf EDGE1.

  11. Konfigurieren Sie EDGE1 für die Unterstützung der OTP-Authentifizierung. Konfigurieren Sie OTP für DirectAccess, und überprüfen Sie die Konfiguration.

Installieren des Betriebssystems auf dem RSA-Server

  1. Starten Sie unter RSA die Installation von Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012.

  2. Befolgen Sie die Anweisungen zum Abschließen der Installation, und geben Sie Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 (Vollständige Installation) und ein starkes Kennwort für das lokale Administratorkonto an. Melden Sie sich beim lokalen Administratorkonto an.

  3. Verbinden RSA in ein Netzwerk mit Internetzugriff, und führen Sie Windows Update aus, um die neuesten Updates für Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 zu installieren und dann die Verbindung mit dem Internet zu trennen.

  4. Verbinden RSA zum Subnetz Corpnet.

Konfigurieren von TCP/IP auf RSA

  1. Klicken Aufgaben zur Erstkonfiguration auf Netzwerk konfigurieren.

  2. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf Lokale Verbindung, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4), und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf Folgende IP-Adresse verwenden. Geben Sie im Feld IP-Adresse die Adresse 10.0.0.5 ein. Geben Sie im Feld Subnetzmaske den Wert 255.255.255.0 ein. Geben Sie unter Standardgatewayden Text 10.0.0.2 ein. Klicken Sie auf Die folgenden DNS-Serveradressen verwenden, und geben Sie unter Bevorzugter DNS-Serverden Namen 10.0.0.1 ein.

  5. Klicken Sie auf Erweitert und dann auf die Registerkarte DNS.

  6. Geben Sie unter DNS-Suffix für diese Verbindungcorp.contoso.com ein, und klicken Sie dann zweimal auf OK .

  7. Klicken Sie im Dialogfeld Eigenschaften der Lokalen Verbindung auf Schließen.

  8. Schließen Sie das Fenster Netzwerkverbindungen.

Kopieren der Installationsdateien des Authentifizierungs-Managers auf den RSA-Server

  1. Erstellen Sie auf dem RSA-Server den Ordner C:\RSA-Installation.

  2. Kopieren Sie den Inhalt des RSA Authentication Manager 7.1 SP4-Mediums in den Ordner C:\RSA-Installation.

  3. Erstellen Sie den Unterordner C:\RSA-Installation\Lizenz und Token.

  4. Kopieren Sie die RSA-Lizenzdateien in C:\RSA-Installation\Lizenz und Token.

Hinzufügen des RSA-Servers zur CORP-Domäne

  1. Klicken Sie mit der rechten Arbeitsplatz, und klicken Sie auf Eigenschaften.

  2. Klicken Sie im Dialogfeld Systemeigenschaften auf der Registerkarte Computername auf Ändern.

  3. Geben Sie unter Computername den Namen RSA ein. Klicken Sie unter Mitglied von auf Domäne, geben Sie corp.contoso.com ein, und klicken Sie auf OK.

  4. Wenn Sie zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden, geben Sie User1 und sein Kennwort ein, und klicken Sie auf OK.

  5. Klicken Sie im Dialogfeld Domänen-Begrüßung auf OK.

  6. Klicken Sie auf OK, wenn Sie zum Neustarten des Computers aufgefordert werden.

  7. Klicken Sie im Dialogfeld Systemeigenschaften auf Schließen.

  8. Klicken Sie auf Jetzt neu starten, wenn Sie aufgefordert werden, den Computer neu zu starten.

  9. Geben Sie nach dem Neustart des Computers User1 und das Kennwort ein, wählen Sie corp in der Dropdownliste Anmelden bei : aus, und klicken Sie auf OK.

Deaktivieren Windows Firewall auf RSA

  1. Klicken Sie auf Start, Systemsteuerung klicken Sie auf System und Sicherheit, und klicken Sie auf Windows Firewall.

  2. Klicken Sie Windows Firewall aktivieren oder deaktivieren.

  3. Deaktivieren Sie Windows Firewall für alle Einstellungen.

  4. Klicken Sie auf OK, und schließen Windows Firewall.

Installieren des RSA-Authentifizierungs-Managers auf dem RSA-Server

  1. Wenn während dieses Vorgangs die Meldung Sicherheitswarnung angezeigt wird, klicken Sie auf Ausführen , um fortzufahren.

  2. Öffnen Sie den Ordner C:\RSA-Installation, und doppelklicken Sie aufautorun.exe.

  3. Klicken Sie auf Jetzt installieren, klicken Sie auf Weiter, wählen Sie die oberste Option für Americas aus, und klicken Sie auf Weiter.

  4. Wählen Sie Ich stimme den Bedingungen des Lizenzvertrags zu, und klicken Sie auf Weiter.

  5. Wählen Sie Primäre Instanz aus, und klicken Sie auf Weiter.

  6. Geben Sie im Feld Verzeichnisname:den Namen C:\RSA ein, und klicken Sie auf Weiter.

  7. Überprüfen Sie, ob der Servername (RSA.corp.contoso.com) und die IP-Adresse richtig sind, und klicken Sie auf Weiter.

  8. Navigieren Sie zu C:\RSA-Installation\Lizenz und Token, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Lizenzdatei überprüfen auf Weiter.

  10. Geben Sie im Feld Benutzer-IDden Text Administrator ein, und geben Sie in den Feldern Kennwort und Kennwort bestätigen ein starkes Kennwort ein. Klicken Sie auf Weiter.

  11. Übernehmen Sie auf dem Bildschirm für die Protokollauswahl die Standardwerte, und klicken Sie auf Weiter.

  12. Klicken Sie auf dem Zusammenfassungsbildschirm auf Installieren.

  13. Klicken Sie nach Abschluss der Installation auf Fertig stellen.

Konfigurieren des RSA-Authentifizierungs-Managers

  1. Wenn die RSA-Sicherheitskonsole nicht automatisch geöffnet wird, doppelklicken Sie auf dem RSA-Computerdesktop auf "RSA-Sicherheitskonsole".

  2. Wenn die Sicherheitszertifikatwarnung bzw. Sicherheitswarnung angezeigt wird, klicken Sie auf Mit dieser Website fortfahren, oder klicken Sie auf Ja, um fortzufahren, und fügen Sie diese Website vertrauenswürdigen Websites hinzu, falls angefordert.

  3. Geben Sie im Feld Benutzer-ID den Text Administrator ein , und klicken Sie auf OK.

  4. Geben Sie im Feld Kennwort das Kennwort für das Administratorkonto ein, und klicken Sie auf Anmelden.

  5. Fügen Sie Tokeninformationen ein.

    1. Klicken Sie in der RSA-Sicherheitskonsoleauf Authentifizierung und dann auf SecurID-Token.

    2. Klicken Sie auf Tokenauftrag importieren und dann auf Neu hinzufügen.

    3. Klicken Sie im Abschnitt Importoptionen auf Durchsuchen. Navigieren Sie zur TOKEN-XML-Datei in "C:\", und wählen Sie sie aus. RSA-Installation\Lizenz und Tokenordner, und klicken Sie auf Öffnen.

    4. Klicken Sie unten auf der Seite auf Auftrag übermitteln.

  6. Erstellen sie einen neuen OTP-Benutzer.

    1. Klicken Sie in der RSA-Sicherheitskonsole auf die Registerkarte Identität , klicken Sie auf Benutzer, und klicken Sie auf Neu hinzufügen.

    2. Geben Sie im Abschnitt Nachname: Benutzer und im Abschnitt Benutzer-ID: den Typ User1 ein (UserID muss mit dem ad-Benutzernamen identisch sein, der für dieses Lab verwendet wird). Geben Sie in den AbschnittenKennwort: und Kennwort bestätigen ein starkes Kennwort ein. Aktivieren Sie das Kontrollkästchen "Benutzer müssen bei der nächsten Anmeldung das Kennwort ändern", und klicken Sie auf Speichern.

  7. Weisen Sie User1 einem der importierten Token zu.

    1. Klicken Sie auf der Seite Benutzer auf User1 und dann auf SecurID Tokens.

    2. Klicken Sie auf SecurID-Token und dann auf Token zuweisen.

    3. Klicken Sie unter der Überschrift Seriennummer auf die erste aufgeführte Zahl, und klicken Sie auf Zuweisen.

    4. Klicken Sie auf das zugewiesene Token und dann auf Bearbeiten. Wählen Sie im Abschnitt SecurID PIN Management for User Authentication Requirement (Sicherheits-ID-PIN-Verwaltung für Benutzerauthentifizierungsanforderung) die Option Keine PIN erforderlich (nur Tokencode) aus.

    5. Klicken Sie auf Token speichern und verteilen.

    6. Klicken Sie auf der Seite Softwaretoken verteilen im Abschnitt Grundlagen auf Issue Token File (SDTID).

    7. Aktivieren Sie auf der Seite Softwaretoken verteilen im Abschnitt Tokendateioptionen das Kontrollkästchen Kopierschutz aktivieren. Klicken Sie auf Kein Kennwort unddann auf Weiter.

    8. Klicken Sie auf der Seite Softwaretoken verteilen im Abschnitt Datei herunterladen auf Jetzt herunterladen. Klicken Sie auf Speichern. Navigieren Sie zu C:\RSA-Installation, und klicken Sie auf Speichern und schließen.

    9. Minimieren Sie die RSA-Sicherheitskonsole zur späteren Verwendung.

  8. Konfigurieren Sie den Authentifizierungs-Manager als RADIUS-Server.

    1. Doppelklicken Sie auf dem RSA-Computerdesktop auf "RSA Security Operations Console".

    2. Wenn die Sicherheitszertifikatwarnung bzw. Sicherheitswarnung angezeigt wird, klicken Sie auf Mit dieser Website fortfahren, oder klicken Sie auf Ja, um fortzufahren, und fügen Sie diese Website vertrauenswürdigen Websites hinzu, wenn dies angefordert wird.

    3. Geben Sie die Benutzer-ID und das Kennwort ein, und klicken Sie auf Anmelden.

    4. Klicken Sie auf Bereitstellungskonfiguration – RADIUS – Server konfigurieren.

    5. Geben Sie auf der Seite Zusätzliche Anmeldeinformationen die Benutzer-ID und das Kennwort des Administrators ein, und klicken Sie auf OK.

    6. Geben Sie auf der Seite RADIUS-Server konfigurieren das gleiche Kennwort ein, das für den Administratorbenutzer für die Geheimnisse und das Masterkennwort verwendet wurde. Geben Sie die Administratorbenutzer-ID und das Kennwort ein, und klicken Sie auf Konfigurieren.

    7. Vergewissern Sie sich, dass die Meldung "Radius-Server erfolgreich konfiguriert" angezeigt wird. Klicken Sie auf Fertig. Schließen Sie die RSA-Betriebskonsole.

    8. Wechseln Sie zurück zur RSA-Sicherheitskonsole.

    9. Klicken Sie auf der Registerkarte RADIUS auf RADIUS-Server. Vergewissern Sie sich rsa.corp.contoso.com dass die listet ist.

  9. Konfigurieren Sie den RSA-Server als RSA-Authentifizierungsclient.

    1. Klicken Sie auf der Registerkarte RADIUS auf RADIUS-Clients unddann auf Neu hinzufügen.

    2. Aktivieren Sie das Kontrollkästchen ANY RADIUS Client (BELIEBIGEr RADIUS-Client ).

    3. Geben Sie ein kennwortgeschütztes Kennwort Ihrer Wahl in das Feld Gemeinsames Geheimnis ein. Sie verwenden dieses Kennwort später beim Konfigurieren von EDGE1 für OTP.

    4. Lassen Sie das Feld IP-Adresse leer, und ändern Sie den Eintrag Make/Model als Radius Standard.

    5. Klicken Sie auf Ohne RSA-Agent speichern.

  10. Erstellen Sie Dateien, die zum Konfigurieren von EDGE1 als RSA-Authentifizierungs-Agent erforderlich sind.

    1. Markieren Sie auf der Registerkarte Zugriff die Optionen Authentifizierungs-Agents, und klicken Sie auf Neu hinzufügen.

    2. Geben Sie EDGE1 in das Feld Hostname ein , und klicken Sie auf IP auflösen.

    3. Beachten Sie, dass die IP-Adresse für EDGE1 jetzt im Feld IP-Adresse angezeigt wird. Klicken Sie auf Speichern.

  11. Generieren Sie eine Konfigurationsdatei für den EDGE1-Server (AM_Config.zip).

    1. Markieren Sie auf der Registerkarte Zugriff die Optionen Authentifizierungs-Agents, und klicken Sie auf Konfigurationsdatei generieren.

    2. Klicken Sie auf der Seite Konfigurationsdatei generieren auf Konfigurationsdatei generieren, und klicken Sie dann auf Jetzt herunterladen.

    3. Klicken Sie auf Speichern, und navigieren Sie zu C:\ RSA-Installation, und klicken Sie auf Speichern.

    4. Klicken Sie im Dialogfeld Download abgeschlossen auf Schließen.

  12. Generieren Sie eine geheime Knotendatei für den EDGE1-Server (EDGE1_NodeSecret.zip).

    1. Markieren Sie auf der Registerkarte Zugriff die Optionen Authentifizierungs-Agents, und klicken Sie auf Vorhandene verwalten.

    2. Klicken Sie auf den aktuell konfigurierten Knoten EDGE1, und klicken Sie auf Knotengeheimnis verwalten.

    3. Aktivieren Sie das Kontrollkästchen Neues zufälliges Knotengeheimnis erstellen und das Knotengeheimnis in eine Datei exportieren.

    4. Geben Sie in den Feldern Verschlüsselungskennwort und Verschlüsselungskennwort bestätigen das gleiche Kennwort ein, das für den Administratorbenutzer verwendet wurde, und klicken Sie auf Speichern.

    5. Klicken Sie auf der Seite Node Secret File Generated (Knotengeheimnisdatei generiert) auf Jetzt herunterladen.

    6. Klicken Sie im Dialogfeld Dateidownload auf Speichern, navigieren Sie zu C:\RSA-Installation, und klicken Sie auf Speichern. Klicken Sie im Dialogfeld Download abgeschlossen auf Schließen.

    7. Kopieren Sie aus dem RSA-Authentifizierungs-Manager\auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe C:\RSA-Installation.

Erstellen von DAProbeUser

  1. Klicken Sie in der RSA-Sicherheitskonsole auf die Registerkarte Identität , klicken Sie auf Benutzer, und klicken Sie auf Neu hinzufügen.

  2. Geben Sie im Abschnitt Nachname:den Namen Probe und im Abschnitt User ID: (Benutzer-ID: ) den Namen DAProbeUser ein. Geben Sie in den AbschnittenKennwort: und Kennwort bestätigen ein starkes Kennwort ein. Aktivieren Sie das Kontrollkästchen "Benutzer müssen bei der nächsten Anmeldung das Kennwort ändern", und klicken Sie auf Speichern.

Installieren des RSA SecurID-Softwaretokens auf CLIENT1

Verwenden Sie dieses Verfahren, um SecurID-Softwaretoken auf CLIENT1 zu installieren.

Installieren des SecurID-Softwaretokens

  1. Erstellen Sie auf dem Computer CLIENT1 den Ordner C:\RSA Files. Kopieren Sie die Software_Tokens.zip C:\RSA-Installation auf dem RSA-Computer in C:\RSA Files. Extrahieren Sie die Datei User1_000031701832.SDTID in C:\RSA Files auf CLIENT1.

  2. Greifen Sie auf die Rsa SecurID-Softwaretoken-Medienquelle zu, und doppelklicken Sie im Ordner der SecurID SoftwareToken-Client-App auf RSASECURIDTOKEN410, um die Rsa SecurID-Installation zu starten. Wenn die Meldung Datei öffnen – Sicherheitswarnung angezeigt wird, klicken Sie auf Ausführen.

  3. Klicken Sie im Dialogfeld RSA SecurID Software Token – InstallShield Wizard zweimal auf Weiter.

  4. Akzeptieren Sie den Lizenzvertrag, und klicken Sie auf Weiter.

  5. Wählen Sie im Dialogfeld Setuptyp die Option Typisch aus, klicken Sie auf Weiter, und klicken Sie auf Installieren.

  6. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  7. Aktivieren Sie das Kontrollkästchen RSA SecurID Software Token starten , und klicken Sie auf Fertig stellen.

  8. Klicken Sie auf Aus Datei importieren.

  9. Klicken Sie auf Durchsuchen, wählen Sie C:\RSA Files\User1_000031701832.SDTID aus, und klicken Sie auf Öffnen.

  10. Klicken Sie zweimal auf OK.

Konfigurieren von EDGE1 als RSA-Authentifizierungs-Agent

Verwenden Sie dieses Verfahren, um EDGE1 für die RSA-Authentifizierung zu konfigurieren.

Konfigurieren des RSA-Authentifizierungs-Agents

  1. Öffnen Sie auf EDGE1 Windows Explorer, und erstellen Sie den Ordner C:\RSA Files. Navigieren Sie zu den RSA ACE-Installationsmedien.

  2. Kopieren Sie die dateien agent_nsload.exe, AM_Config.zip und EDGE1_NodeSecret.zip RSA-Medien in C:\RSA Files.

  3. Extrahieren Sie den Inhalt beider ZIP-Dateien an die folgenden Speicherorte:

    1. C:\Windows\system32\

    2. C:\Windows\SysWOW64\

  4. Kopieren agent_nsload.exe in C:\Windows\SysWOW64\.

  5. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und navigieren Sie zu C:\Windows\SysWOW64.

  6. Geben agent_nsload.exe -f nodesecret.rec -p password><ein, wobei password> das starke Kennwort ist, das Sie während der ersten RSA-Konfiguration erstellt haben. Drücken Sie die EINGABETASTE.

  7. Kopieren Sie C:\Windows\SysWOW64\securid nach C:\Windows\System32.

Konfigurieren von EDGE1 zur Unterstützung der OTP-Authentifizierung

Verwenden Sie dieses Verfahren, um OTP für DirectAccess zu konfigurieren und die Konfiguration zu überprüfen.

Konfigurieren von OTP für DirectAccess

  1. Öffnen Sie auf EDGE1 Server-Manager, und klicken Sie im linken Bereich auf REMOTEZUGRIFF.

  2. Klicken Sie im Bereich SERVER mit der rechten Maustaste auf EDGE1 , und wählen Sie Remotezugriffsverwaltung aus.

  3. Klicken Sie auf Konfiguration.

  4. Klicken Sie im Fenster DirectAccess-Setup unter Schritt 2 – RAS-Server auf Bearbeiten.

  5. Klicken Sie dreimal auf Weiter, und wählen Sie im Abschnitt Authentifizierung die Option Zwei-Faktor-Authentifizierung und OTP verwenden aus, und stellen Sie sicher, dass Computerzertifikate verwenden ausgewählt ist. Stellen Sie sicher, dass die Stammzertifizierungsstelle auf CN=corp-APP1-CA festgelegt ist. Klicken Sie auf Weiter.

  6. Doppelklicken Sie im Abschnitt OTP RADIUS-Server auf das leere Feld Servername .

  7. Geben Sie im Dialogfeld RADIUS-Server hinzufügen im Feld Servernameden Namen RSA ein. Klicken Sie neben dem Feld Gemeinsam verwendeter geheimer Schlüssel auf Ändern, und geben Sie in den Feldern Neues Geheimnis und Neues Geheimnis bestätigen das kennwort ein, das Sie beim Konfigurieren der RADIUS-Clients auf dem RSA-Server verwendet haben. Klicken Sie zweimal auf OK und dann auf Weiter.

    Hinweis

    Wenn sich der RADIUS-Server in einer Domäne befindet, die sich vom RAS-Server unterscheidet, muss im Feld Servername der FQDN des RADIUS-Servers angegeben werden.

  8. Wählen Sie im Abschnitt OTP CA Servers (OTP-Zertifizierungsstellenserver ) APP1.corp.contoso.com aus, und klicken Sie auf Hinzufügen. Klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite OTP-Zertifikatvorlagen auf Durchsuchen , um eine Zertifikatvorlage auszuwählen, die für die Registrierung von Zertifikaten verwendet wird, die für die OTP-Authentifizierung ausgestellt wurden, und wählen Sie im Dialogfeld Zertifikatvorlagendie Option DAOTPLogon aus. Klicken Sie auf OK. Klicken Sie auf Durchsuchen , um eine Zertifikatvorlage auszuwählen, die zum Registrieren des Zertifikats verwendet wird, das vom RAS-Server zum Signieren von OTP-Zertifikatregistrierungsanforderungen verwendet wird, und wählen Sie im Dialogfeld Zertifikatvorlagendie Option DAOTPRA aus. Klicken Sie auf OK. Klicken Sie auf Weiter.

  10. Klicken Sie auf der Seite Remotezugriffsserver-Setup auf Fertig stellen, und klicken Sie im Assistenten für DirectAccess-Experten auf Fertig stellen.

  11. Klicken Sie im Dialogfeld Remotezugriffsüberprüfung auf Übernehmen, warten Sie, bis die DirectAccess-Richtlinie aktualisiert wurde, und klicken Sie auf Schließen.

  12. Geben Sie auf dem Startbildschirmpowershell.exeein, klicken Sie mit der rechten Maustaste auf PowerShell, klicken Sie auf Erweitert, und klicken Sie dann auf Als Administrator ausführen. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  13. Geben Sie im Windows PowerShell Fenster gpupdate /force ein, und drücken Sie die EINGABETASTE.

  14. Schließen Sie die Remotezugriffs-Verwaltungskonsole, öffnen Sie sie erneut, und überprüfen Sie, ob alle OTP-Einstellungen korrekt sind.