Partager via

ÉTAPE 4 Installer et configurer RSA et EDGE1

RSA est le serveur d’authentification RADIUS et par mot de passe à usage unique. Il s’installe avant la configuration de l’authentification RADIUS et par mot de passe à usage unique.

Pour configurer le déploiement de RSA, effectuez les étapes suivantes :

  1. Installez le système d’exploitation sur le serveur RSA. Installez Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 sur le serveur RSA.

  2. Configurez TCP/IP sur RSA. Configurez les paramètres TCP/IP sur le serveur RSA.

  3. Copiez les fichiers d’installation d’Authentication Manager sur le serveur RSA. Après avoir installé le système d’exploitation sur RSA, copiez les fichiers d’Authentication Manager sur l’ordinateur RSA.

  4. Joignez le serveur RSA au domaine CORP. Joignez RSA au domaine CORP.

  5. Désactivez le Pare-feu Windows sur RSA. Désactivez le Pare-feu Windows sur le serveur RSA.

  6. Installez RSA Authentication Manager sur le serveur RSA. Installez RSA Authentication Manager.

  7. Configurez RSA Authentication Manager. Configurez Authentication Manager.

  8. Créez DAProbeUser. Créez un compte d’utilisateur à des fins de vérification.

  9. Installez le jeton logiciel RSA SecurID sur CLIENT1. Installez le jeton logiciel RSA SecurID sur CLIENT1.

  10. Configurez EDGE1 comme agent d’authentification RSA. Configurez l’agent d’authentification RSA sur EDGE1.

  11. Configurez EDGE1 pour prendre en charge l’authentification par mot de passe à usage unique. Configurez l’authentification par mot de passe à usage unique pour DirectAccess et vérifiez la configuration.

Installer le système d’exploitation sur le serveur RSA

  1. Sur RSA, démarrez l’installation de Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012.

  2. Suivez les instructions pour effectuer l’installation, en spécifiant Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 (Installation complète), ainsi qu’un mot de passe fort pour le compte Administrateur local. Ouvrez une session à l’aide du compte Administrateur local.

  3. Connectez RSA à un réseau ayant accès à Internet, exécutez Windows Update pour installer les dernières mises à jour de Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012, puis déconnectez-vous d’Internet.

  4. Connectez RSA au sous-réseau Corpnet.

Configurer TCP/IP sur RSA

  1. Dans Tâches de configuration initiales, cliquez sur Configurer le réseau.

  2. Dans Connexions réseau, cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.

  3. Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Propriétés.

  4. Cliquez sur Utiliser l’adresse IP suivante. Dans la zone Adresse IP, tapez 10.0.0.5. Dans la zone Masque de sous-réseau, tapez 255.255.255.0. Dans Passerelle par défaut, tapez 10.0.0.2. Cliquez sur Utiliser les adresses de serveur DNS suivantes. Dans Serveur DNS préféré, tapez 10.0.0.1.

  5. Cliquez sur Avancé, puis sur l’onglet DNS.

  6. Dans Suffixe DNS pour cette connexion, tapez corp.contoso.com, puis cliquez deux fois sur OK.

  7. Dans la boîte de dialogue Propriétés de la connexion au réseau local, cliquez sur Fermer.

  8. Fermez la fenêtre Connexions réseau.

Copier les fichiers d’installation d’Authentication Manager sur le serveur RSA

  1. Sur le serveur RSA, créez le dossier C:\RSA Installation.

  2. Copiez le contenu du support RSA Authentication Manager 7.1 SP4 dans le dossier C:\RSA Installation.

  3. Créez le sous-dossier C:\RSA Installation\License and Token.

  4. Copiez les fichiers de licence RSA dans C:\RSA Installation\License and Token.

Joindre le serveur RSA au domaine CORP

  1. Cliquez avec le bouton droit sur Poste de travail et cliquez sur Propriétés.

  2. Dans la boîte de dialogue Propriétés système, sous l'onglet Nom de l'ordinateur, cliquez sur Modifier.

  3. Dans Nom de l’ordinateur, tapez RSA. Dans Membre de, cliquez sur Domaine, tapez corp.contoso.com, puis cliquez sur OK.

  4. Lorsque vous êtes invité à entrer un nom d’utilisateur et un mot de passe, tapez User1 et le mot de passe associé, puis cliquez sur OK.

  5. Dans la boîte de dialogue d’accueil du domaine, cliquez sur OK.

  6. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur OK.

  7. Dans la boîte de dialogue Propriétés système, cliquez sur Fermer.

  8. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.

  9. Une fois l’ordinateur redémarré, tapez User1 et le mot de passe, sélectionnez CORP dans la liste déroulante Se connecter à et cliquez sur OK.

Désactiver le Pare-feu Windows sur RSA

  1. Cliquez sur Démarrer, cliquez sur Panneau de configuration, cliquez sur Système et sécurité, puis cliquez sur Pare-feu Windows.

  2. Cliquez sur Activer ou désactiver le Pare-feu Windows.

  3. Désactivez le Pare-feu Windows pour tous les paramètres.

  4. Cliquez sur OK et fermez le Pare-feu Windows.

Installer RSA Authentication Manager sur le serveur RSA

  1. Si un message d’avertissement de sécurité s’affiche durant ce processus, cliquez sur Exécuter pour continuer.

  2. Ouvrez le dossier C:\RSA Installation et double-cliquez sur autorun.exe.

  3. Cliquez sur Installer maintenant, cliquez sur Suivant, sélectionnez la première option pour Amériques, puis cliquez sur Suivant.

  4. Sélectionnez J’accepte les termes du contrat de licence, puis cliquez sur Suivant.

  5. Sélectionnez Instance principale, puis cliquez sur Suivant.

  6. Dans le champ Nom du répertoire, tapez C:\RSA, puis cliquez sur Suivant.

  7. Vérifiez que le nom du serveur (RSA.corp.contoso.com) et l’adresse IP sont corrects, puis cliquez sur Suivant.

  8. Accédez à C:\RSA Installation\License and Token, puis cliquez sur Suivant.

  9. Dans la page Vérifier le fichier de licence, cliquez sur Suivant.

  10. Dans le champ ID utilisateur, tapez Administrateur, puis dans les champs Mot de passe et Confirmer le mot de passe, tapez un mot de passe fort. Cliquez sur Suivant.

  11. Dans l’écran de sélection des journaux, acceptez les valeurs par défaut, puis cliquez sur Suivant.

  12. Dans l’écran de résumé, cliquez sur Installer.

  13. À la fin de l’installation, cliquez sur Terminer.

Configurer RSA Authentication Manager

  1. Si la console de sécurité RSA ne s’ouvre pas automatiquement, double-cliquez sur « RSA Security Console » sur le bureau de l’ordinateur RSA.

  2. Si l’alerte de sécurité/l’avertissement de certificat de sécurité s’affiche, cliquez sur Continuer sur ce site web ou sur Oui pour poursuivre, puis ajoutez ce site aux sites de confiance, si nécessaire.

  3. Dans le champ User ID, tapez Administrator, puis cliquez sur OK.

  4. Dans le champ Password, tapez le mot de passe du compte administrateur (Administrator), puis cliquez sur Log On.

  5. Ajoutez les informations sur les jetons.

    1. Dans la fenêtre RSA Security Console, cliquez sur Authentication et cliquez sur SecurID Tokens.

    2. Cliquez sur Import Tokens Job, puis cliquez sur Add New.

    3. Dans la section Import Options, cliquez sur Browse. Accédez au dossier C:\ RSA Installation\License and Token et sélectionnez le fichier XML de jetons, puis cliquez sur Ouvrir.

    4. Cliquez sur Envoyer le travail en bas de la page.

  6. Créez un utilisateur avec authentification par mot de passe unique.

    1. Dans la fenêtre RSA Security Console, cliquez sur l’onglet Identity, cliquez sur Users et cliquez sur Add New.

    2. Dans la section Last Name, tapez User. Dans la section User ID, tapez User1 (UserID doit être identique au nom d’utilisateur AD utilisé pour ce labo). Dans les sections Password et Confirm Password, tapez un mot de passe fort. Décochez la case Require user to change password at next logon, puis cliquez sur Save.

  7. Affectez à User1 l’un des jetons importés.

    1. Dans la page Users, cliquez sur User1, puis cliquez sur SecurID Tokens.

    2. Cliquez sur SecurID Tokens, puis cliquez sur Assign Token.

    3. Sous l’en-tête Serial Number, cliquez sur le premier numéro de la liste, puis cliquez sur Assign.

    4. Cliquez sur le jeton affecté, puis cliquez sur Edit. Dans la section SecurID PIN Management pour User Authentication Requirement, sélectionnez Do not require PIN (only tokencode).

    5. Cliquez sur Save and Distribute Token.

    6. Dans la page Distribute Software Token de la section Basics, cliquez sur Issue Token File (SDTID).

    7. Dans la page Distribute Software Token de la section Token File Options, décochez la case Enable copy protection. Cliquez sur No Password et sur Next.

    8. Dans la page Distribute Software Token de la section Download File, cliquez sur Download Now. Cliquez sur Enregistrer. Accédez au dossier C:\RSA Installation, puis cliquez sur Save et Close.

    9. Réduisez la fenêtre RSA Security Console pour pouvoir y revenir plus tard.

  8. Configurez Authentication Manager en tant que serveur RADIUS.

    1. Sur le bureau de l’ordinateur RSA, double-cliquez sur RSA Security Operations Console.

    2. Si l’alerte de sécurité/l’avertissement de certificat de sécurité s’affiche, cliquez sur Continuer sur ce site web ou sur Oui pour poursuivre, puis ajoutez ce site aux sites de confiance, si nécessaire.

    3. Entrez l’ID utilisateur et le mot de passe associé, puis cliquez sur Log On.

    4. Cliquez sur Deployment Configuration - RADIUS - Configure Server.

    5. Dans la page Additional Credentials Required, entrez l’ID utilisateur et le mot de passe de l’administrateur, puis cliquez sur OK.

    6. Dans la page Configure RADIUS Server, entrez le même mot de passe que celui utilisé pour l’administrateur dans les champs Secrets et Master Password. Entrez l’ID utilisateur et le mot de passe de l’administrateur, puis cliquez sur Configure.

    7. Vérifiez que le message Successfully configured RADIUS server s’affiche. Cliquez sur Done. Fermez la fenêtre RSA Operations Console.

    8. Revenez à la fenêtre RSA Security Console.

    9. Sous l’onglet RADIUS, cliquez sur RADIUS Servers. Vérifiez que le domaine rsa.corp.contoso.com est répertorié.

  9. Configurez le serveur RSA comme client d’authentification RSA.

    1. Sous l’onglet RADIUS, cliquez sur RADIUS Clients et sur Add New.

    2. Cliquez sur la case ANY RADIUS Client.

    3. Tapez un mot de passe fort de votre choix dans le champ Shared Secret. Vous utiliserez ce même mot de passe ultérieurement, au moment de la configuration d’EDGE1 pour l’authentification par mot de passe unique.

    4. Laissez le champ IP Address vide, et l’entrée Make/Model définie sur Standard RADIUS.

    5. Cliquez sur Save without RSA Agent.

  10. Créez les fichiers requis pour configurer EDGE1 comme agent d’authentification RSA.

    1. Sous l’onglet Access, mettez en surbrillance Authentication Agents, puis cliquez sur Add New.

    2. Tapez EDGE1 dans le champ Hostname, puis cliquez sur Resolve IP.

    3. Notez que l’adresse IP pour EDGE1 est maintenant visible dans le champ IP Address. Cliquez sur Enregistrer.

  11. Générez un fichier de configuration pour le serveur EDGE1 (AM_Config.zip).

    1. Sous l’onglet Access, mettez en surbrillance Authentication Agents, puis cliquez sur Generate Configuration File.

    2. Dans la page Generate Configuration File, cliquez sur Generate Config File, puis cliquez sur Download Now.

    3. Cliquez sur Save, accédez au dossier C:\ RSA Installation, puis cliquez sur Save.

    4. Cliquez sur Close dans la boîte de dialogue Download Complete.

  12. Générez un fichier de secret de nœud pour le serveur EDGE1 (EDGE1_NodeSecret.zip).

    1. Sous l’onglet Access, mettez en surbrillance Authentication Agents, puis cliquez sur Manage Existing.

    2. Cliquez sur le nœud configuré actuel EDGE1, puis cliquez sur Manage Node Secret.

    3. Cochez la case Create a new random node secret, and export the node secret to a file.

    4. Entrez le même mot de passe que celui utilisé pour l’administrateur dans les champs Encryption Password et Confirm Encryption Password, puis cliquez sur Save.

    5. Dans la page Node Secret File Generated, cliquez sur Download Now.

    6. Dans la boîte de dialogue File Download, cliquez sur Save, accédez au dossier C:\RSA Installation, puis cliquez sur Save. Cliquez sur Close dans la boîte de dialogue Download Complete.

    7. À partir du support RSA Authentication Manager, copiez \auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe vers C:\RSA Installation.

Créer DAProbeUser

  1. Dans la fenêtre RSA Security Console, cliquez sur l’onglet Identity, cliquez sur Users et cliquez sur Add New.

  2. Dans la section Last Name, tapez Probe. Dans la section User ID, tapez DAProbeUser. Dans les sections Password et Confirm Password, tapez un mot de passe fort. Décochez la case Require user to change password at next logon, puis cliquez sur Save.

Installer le jeton logiciel RSA SecurID sur CLIENT1

Utilisez cette procédure pour installer le jeton logiciel SecurID sur CLIENT1.

Installer le jeton logiciel SecurID

  1. Sur l’ordinateur CLIENT1, créez le dossier C:\RSA Files. Copiez le fichier Software_Tokens.zip du dossier C:\RSA Installation sur l’ordinateur RSA vers le dossier C:\RSA Files. Extrayez le fichier User1_000031701832.SDTID vers le dossier C:\RSA Files sur CLIENT1.

  2. Accédez au support source du jeton logiciel RSA SecurID, et double-cliquez sur RSASECURIDTOKEN410 dans le dossier de l’application cliente SecurID SoftwareToken pour démarrer l’installation de RSA SecurID. Si le message Open File - Security Warning s’affiche, cliquez sur Run.

  3. Dans la boîte de dialogue RSA SecurID Software Token - InstallShield Wizard, cliquez deux fois sur Next.

  4. Acceptez le contrat de licence et cliquez sur Next.

  5. Dans la boîte de dialogue Setup Type, sélectionnez Typical, cliquez sur Next et cliquez sur Install.

  6. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  7. Cochez la case Launch RSA SecurID Software Token, puis cliquez sur Finish.

  8. Cliquez sur Import from File.

  9. Cliquez sur Browse, sélectionnez C:\RSA Files\User1_000031701832.SDTID, puis cliquez sur Open.

  10. Cliquez deux fois sur OK.

Configurer EDGE1 comme agent d’authentification RSA

Utilisez cette procédure afin de configurer EDGE1 pour effectuer l’authentification RSA.

Configurer l’agent d’authentification RSA

  1. Sur EDGE1, ouvrez l’Explorateur Windows et créez le dossier C:\RSA Files. Accédez au support d’installation de RSA ACE.

  2. Copiez les fichiers agent_nsload.exe, AM_Config.zip et EDGE1_NodeSecret.zip du support RSA vers le dossier C:\RSA Files.

  3. Extrayez le contenu des deux fichiers zip vers les emplacements suivants :

    1. C :\Windows\system32\

    2. C :\Windows\SysWOW64\

  4. Copiez agent_nsload.exe vers C:\Windows\SysWOW64\.

  5. Ouvrez une invite de commandes avec élévation de privilèges et accédez à C:\Windows\SysWOW64.

  6. Tapez agent_nsload.exe -f nodesecret.rec -p <password> où <password> est le mot de passe fort que vous avez créé lors de la configuration initiale de RSA. Appuyez sur Entrée.

  7. Copiez C:\Windows\SysWOW64\securid vers C:\Windows\System32.

Configurer EDGE1 pour prendre en charge l’authentification par mot de passe à usage unique

Utilisez cette procédure pour configurer l’authentification par mot de passe à usage unique pour DirectAccess et vérifier la configuration.

Configurer l’authentification par mot de passe à usage unique pour DirectAccess

  1. Dans EDGE1, ouvrez Gestionnaire de serveur, puis cliquez sur ACCÈS À DISTANCE dans le volet gauche.

  2. Cliquez avec le bouton droit sur EDGE1 dans le volet SERVEURS, puis sélectionnez Gestion de l’accès à distance.

  3. Cliquez sur Configuration.

  4. Dans la fenêtre Installation de DirectAccess, sous Étape 2 - Serveur d’accès à distance, cliquez sur Modifier.

  5. Cliquez trois fois sur Suivant. Dans la section Authentification, sélectionnez Authentification à 2 facteurs et Utiliser le mot de passe à usage unique, puis vérifiez que la case Utiliser les certificats d’ordinateur est cochée. Vérifiez que l’autorité de certification racine est définie sur CN=corp-APP1-CA. Cliquez sur Suivant.

  6. Dans la section Serveur RADIUS OTP, double-cliquez sur le champ Nom du serveur vide.

  7. Dans la boîte de dialogue Ajouter un serveur RADIUS, tapez RSA dans le champ Nom du serveur. Cliquez sur Modifier en regard du champ Secret partagé, puis tapez le même mot de passe que celui utilisé au moment de la configuration des clients RADIUS sur le serveur RSA dans les champs Nouveau secret et Confirmer le nouveau secret. Cliquez deux fois sur OK, puis sur Suivant.

    Notes

    Si le serveur RADIUS se trouve dans un domaine différent du serveur d’accès à distance, le champ Nom du serveur doit spécifier le nom de domaine complet du serveur RADIUS.

  8. Dans la section Serveurs d’autorité de certification avec mot de passe à usage unique, sélectionnez APP1.corp.contoso.com, puis cliquez sur Ajouter. Cliquez sur Suivant.

  9. Dans la page Modèles de certificats avec mot de passe à usage unique, cliquez sur Parcourir afin de sélectionner un modèle de certificat utilisé pour l’inscription des certificats émis pour l’authentification par mot de passe à usage unique, puis dans la boîte de dialogue Modèles de certificats, sélectionnez DAOTPLogon. Cliquez sur OK. Cliquez sur Parcourir pour sélectionner un modèle de certificat utilisé pour inscrire le certificat dont se sert le serveur d’accès à distance pour signer les demandes d’inscription de certificat avec mot de passe à usage unique, puis dans la boîte de dialogue Modèles de certificats, sélectionnez DAOTPRA. Cliquez sur OK. Cliquez sur Suivant.

  10. Dans la page Installation du serveur d’accès à distance, cliquez sur Terminer, puis cliquez sur Terminer dans l’Assistant DirectAccess Expert.

  11. Dans la boîte de dialogue Révision de l’accès à distance , cliquez sur Appliquer, attendez que la stratégie DirectAccess soit mise à jour, puis cliquez sur Fermer.

  12. Dans l’écran Accueil, entrezpowershell.exe, cliquez avec le bouton droit sur powershell, cliquez sur Avancé, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  13. Dans la fenêtre Windows PowerShell, tapez gpupdate /force, puis appuyez sur Entrée.

  14. Fermez et rouvrez la console Gestion de l’accès à distance, et vérifiez que tous les paramètres sont corrects pour l’authentification par mot de passe à usage unique.