使用 SecurID 验证,具有 RSA SecurID 令牌的用户可以登录到 SGD。SGD 将根据 RSA 验证管理器(以前称为 ACE/Server)验证用户。
RSA SecurID 是 RSA Security, Inc. 开发的产品,该产品使用双重验证,它以用户知道的信息(即 PIN)和拥有的信息(PIN 小键盘、标准卡或软件令牌之类的独立令牌提供的令牌代码)为基础确认用户身份。PIN 和令牌代码组合在一起形成一个验证码,该验证码将用作您登录到 SGD 时的密码。
默认情况下,此验证机制处于禁用状态。
本节包括以下主题:
在 SGD 登录屏幕中,用户键入其 SecurID 用户名(例如 indigo
)及其验证码。
此验证机制会在本地系统信息库中搜索 "Name"(名称)属性与用户键入的用户名相匹配的用户配置文件。如果未找到匹配项,将对 "Login Name"(登录名称)属性执行搜索,最后对 "Email Address"(电子邮件地址)属性执行搜索。
如果找到用户配置文件,则将该对象的 "Login Name"(登录名称)属性用作 SecurID 用户名。如果未找到用户配置文件,则将用户键入的名称用作 SecurID 用户名。
接下来,SGD 会基于 RSA 验证管理器检查 SecurID 用户名以及用户键入的验证码。如果验证失败,用户将无法登录,因为没有其他验证机制可以尝试。
如果验证成功但用户配置文件的 "Login"(登录)属性未启用,用户将无法登录。如果验证成功且用户配置文件的 "Login"(登录)属性已启用,用户将登录。
如果在本地系统信息库中找到用户配置文件,则会将其用于用户身份和用户配置文件。在 SGD 数据存储中,该用户身份位于 Local 名称空间中。在管理控制台中,文本 "(Local)" 显示在该用户身份的旁边。在命令行上,该用户身份位于 .../_ens 中。
如果在本地系统信息库中未找到用户配置文件,则该用户身份是 SecurID 用户名。在 SGD 数据存储中,该用户身份位于 SecurID 名称空间中。在管理控制台中,文本 "(SecurID)" 显示在该用户身份的旁边。在命令行上,该用户身份位于 .../_service/sco/tta/securid 中。
配置文件对象 System Objects/SecurID User Profile
用于用户配置文件。
设置 SecurID 验证包括以下配置步骤:
安装和配置 RSA SecurID。
确保您使用的是支持的 RSA SecurID 版本。《Oracle Secure Global Desktop 发行版 4.7 平台支持和发行说明》中列出了支持的 SecurID 版本,该文档位于 http://www.oracle.com/technetwork/documentation/sgd-193668.html。
确保 RSA 验证管理器是最新版本,并且包含 RSA 发布的最新修补程序。
将阵列中的每台 SGD 服务器配置为代理主机。
阵列中的每台 SGD 服务器充当代理主机,以便可以基于 RSA 验证管理器验证用户。
在 SGD 中启用 SecurID 验证。
配置 SecurID 验证,以便 SecurID 用户可以登录到 SGD。
要使用 SecurID 验证,必须将阵列中的所有 SGD 服务器均配置为代理主机。由于 SecurID 实现方式可能不同,下列过程仅是参考性示例。有关如何配置代理主机的详细信息,请查阅 SecurID 文档。
在开始之前,确保您有权访问 RSA 验证管理器配置文件 sdconf.rec
。
在 SGD 主机上,以超级用户 (root) 身份登录。
确保 SGD 服务器可以通过网络访问 RSA 验证管理器。
您可能需要打开防火墙中的端口,以允许 SGD 服务器访问 RSA 验证管理器。
必须打开的默认端口如下所示:
从 SGD 服务器访问到验证管理器的 UDP 端口 5500。
从验证管理器访问到 SGD 服务器的 UDP 端口 1024 至 65535。
指定 RSA 验证管理器配置文件的位置。
使用以下内容创建 /etc/sdace.txt
文件:
VAR_ACE=/opt/ace/data
保存文件。
将 RSA 验证管理器配置文件复制到 SGD 服务器。
创建 /opt/ace/data
目录。
将 sdconf.rec
文件复制到 /opt/ace/data
目录。
设置文件权限,以便 SGD 可以读写配置文件。
# chmod 444 /etc/sdace.txt # chown -R ttasys:ttaserv /opt/ace # chmod -R 775 /opt/ace
在 RSA 验证管理器数据库中将 SGD 服务器注册为代理主机。
使用 RSA 验证管理器数据库管理应用程序或 sdadmin 应用程序。
使用全限定名称 server.domain.com
在数据库中将 SGD 服务器添加为 UNIX 代理主机。
为每台代理主机配置组或用户激活。或者设置 "Open to All Locally Known Users"(对所有本地已知用户开放)选项。
在 SGD 管理控制台中,显示 "SGD Authentication Configuration"(Secure Global Desktop 验证配置)向导。
转到 "Global Settings"(全局设置)→ "Secure Global Desktop Authentication"(Secure Global Desktop 验证)选项卡,然后单击 "Change Secure Global Desktop Authentication"(更改 Secure Global Desktop 验证)按钮。
在 "Third-Party/System Authentication"(第三方/系统验证)步骤中,确保选中 "System Authentication"(系统验证)复选框。
在 "System Authentication - Repositories"(系统验证 - 系统信息库)步骤中,选中 "SecurID" 复选框。
在 "Review Selections"(查看所做的选择)步骤中,检查验证配置,然后单击 "Finish"(完成)。