VPN Authentifizierung mit RSA/ACE Server und SecurID Token

#16 Das stimmt nicht ganz so

Zitat

...Der VPN Concentrator stellt ja eine Anfrage an den ACE Server...

Der Concentrator wird in erster Linie den Agent Host kontaktieren, welcher die Userdaten verschlüsselt (mit dem Node Secret) an den RSA/ACE-Server weiterleitet. Die Kommunikation vom RSA/ACE-Server zum Client geschieht ebenfalls über den Agent Host
Vielleicht solltest du mal schauen, ob du hier was machen kannst..

Zitat

Der ACE soll also auf Anfragen von verschiedenen Geräten auf verschiedene Weise reagieren - eben entsprechende Radius-Attribute senden. Wie dies zu konfigurieren ist, das ist die Frage.

Da gebe ich dir recht. Die Frage ist doch, ob es überhaupt vorgesehen ist, dass der ACE-Server dies bewerkstelligen kann. Vielleicht solltest du mal den RSA-Support anrufen...

#17

Zitat

Es funktioniert schon so.

Der VPN Concentrator stellt ja eine Anfrage an den ACE Server
(Radius Access-Reply Paket)
In diesem Anfragepaket ist verschlüsselt Username, Pin+Token u. weiters.
Der ACE Server prüft dann ob PIN/Token stimmen und sendet wenn erfolgreich eine "Accept" Antwort.
(Radius Access-Accept Paket).
In dieser Antwort können noch diverse Radius-Attribute mitgesendet werden.
Zum Beispiel "Idle Time Out" oder "Session-Timeout". Also wie lange die Freischaltung gültig sein soll.

Dieses Attribut Session-Timout will ich aber NICHT zum VPN Concentrator gesendet haben. Ich habe noch andere Geräte, die per Radius User authentifizieren sollen. Da geht es dann nicht um VPN, sondern eben andere Ressourcen, für die ich den ACE nutzen will um die User zu berechtigen.

Der ACE soll also auf Anfragen von verschiedenen Geräten auf verschiedene Weise reagieren - eben entsprechende Radius-Attribute senden. Wie dies zu konfigurieren ist, das ist die Frage.

Ich kann es konfigurieren, dass IMMER ein best. Attribut mitgesendet wird, egal welcher NAS die Anfrage gestellt hat. Aber es soll ja nicht IMMER gesendet werden, sondern nur wenn BESTIMMTE NAS Geräte die Anfrage stellen.

Ihr seid euch aber sicher, daß das eine Konfiguration am ACE ist und nicht eher mit den RAS- Richtlinien zu tun hat?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#18 Hallo zusammen,
ich hab da ein Problem mit der ACE-token Datenbank. Ich habe da ich noch nicht so arg viel Erfahrung mit dem System habe, aus versehen einen RSA-token aus der Datenbank gelöscht.

Kann mir jemand sagen ob und wie ich den wieder zurück bekommen kann? Wir haaben leider nur noch zwei Stück und ich kann nicht so lange warten bis eine neue Bestellung eintrifft.

Grüsse aus Ulm

#19 Du müßtest damals zu den Hardwaretoken die dazugehörigen Zertifikate bekommen haben. die einfach wieder einspielen etc...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#20 Danke für die rasche Antwort. Ich muss die Zertifikate erst suchen, da ich mit dem Einrichten des Systems nichts zu tun hatte. Wie liegen die vor, als Datei auf CD oder als Code? Wirft das neue Einspielen der Zertifikate nicht die ganzen vorhandenen Zuordnungen User <--> Token durcheinnander?

Nochmal Grüsse

#21 ich habe jetzt schon ewig kein RSA Server mehr angepackt.
Das Zertifikat sollte aber auf CD oder Diskette vorliegen (Oder halt als Datei auf einem Fileserver?).
Mit den Zuordnungen könntest du Recht haben, aber dann ist es ja eh schon zu spät und du müsstest die Zuordnung neu treffen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#22 Er müsste einfach das Seedfile wieder einspielen. Liegt auf CD bei den Tokens bei. Jeder Token hat ein eigenes Seedfile. Das Seedfile ist in einer xml datei auf der CD. Gehe auf Token...Import Token und importiere das Seedfile.
Bei jedem Seed, das in der Datenbank schon existiert, wirst du gefragt ob du es überschreiben willst. Sage - nein.
Irgendwann erscheint auch das verlorengegangene File, das wird dann importiert ohne Abfrage. Dieses kannst du dem user dann zuordnen ("assign token").

#23 Danke für Hilfe, hab gerade eine CD gefunden von der ich glaube dass sie diese .xml-Datei enthält. Aber dann kommt luafend die Meldung "Auf ?:\ kann nicht zugegriffen werden. Unzulässige Funktion." Hab es an verschiedenen Arbeitplätzen auch unter Linux probiert. :-( Hat noch irgend jemand eine Idee?

#24 Die CD ist kaputt? Tja... Ohne passendem Seedfile ist ein Token nutzlos...

#25 Tja, so ist es! Hab's verschiedenen Tools probiert. Nicht wieder herstellbar. Aber trotzdem Danke für euere Unterstützung. Das ist ja ein super Forum, bleibe dabei. Vielleicht kann ich ja auch mal jemandem etwas hilfreich ins Forum posten.

Noch mal dankbare Grüsse aus Ulm

#26 Hallo,

vielleicht kann mir einer von euch ja auch bei meinem Problem weiterhelfen.
Ich habe mir den RSA Authentication Manager auf debian installiert, die Token eingepflegt und einem Benutzer zugewiesen. Die Testauthentifizierung klappt auch.

Ich möchte mit über XAuth beim VPN-Tunnelaufbau vom RSA authentifizieren lassen und habe in der Juniper NetScreen einen neuen AuthServer angegeben. Wenn ich den Netzwerkverkehr mitschneide, sehe ich auch einkommende Pakete an den Port 5500 (securID) auf dem debian-Rechner, allerdings wird im Monitorlog nichts angezeigt. Die NetScreen habe ich jetzt als eine Site hinzugefügt und den debian-Rechner als Agent-Host mit der o.g. Site. Den Benutzer habe ich unter "User Activations" hinzugefügt. Agent Types habe ich alles durchprobiert. Der Rechner antwortet auch nicht an das VPN-Gateway. Beide Komponenten sind innerhalb eines Netzes über öffentliche IPs erreichbar.

Kann mir jemand von euch sagen, wo der Schuh klemmt?

Vielen Dank und Grüße
Schramme
__________
Entweder es klappt
oder es klappt zusammen.

#27 Hallo RSA-gefolderte,

nachdem man ja die RSA-Docs wirklich in die Tonne schmeißen kann, bringt mich das hier gepostete HOWTO schon ein wenig weiter. Schon großen Dank dafür.
Ich bin derzeit am Einrichten der RSA-Trial-Version (RSA Authentication Manager 6.1) mit 2 Keyfobs, weil ich das ganze erstmal vorher testen will.
Ziel soll sein, das man sich bei der VPN-Einwahl mit dem Token authentifiziert
Das HOWTO habe ich bis zum Ende von "Konfiguration des AgentHost" durchgeführt.
Anschließend wollte ich mal testen, ob schon was funktioniert.
Hierfür habe ich folgendes ausgeführt:
start>program>rsa security>RSA Authentication Manager Remote Mode

Wenn ich mich jetzt mit meinem Benutzer und Tokencode anmelde, bekomme ich immer den Fehler: "cannot connect with the administration server".
Wie kann man sonst auf der Machine testen, ob es funktioniert oder nicht.

kleiner Überblick über meine Konfig:
-Token sind auf Tokencode eingestellt und zugewiesen.
-Usersychronisation mit AD funktioniert ebenfalls.
-RSA läuft auf einem eigenständigen Serversystem (win2003SRV).
-DC habe ich als AgentHost eingetragen.
-Als "assignten acting server" vom "agenthost" habe ich die RSA-Kiste drin.
-Routing und RAS sind nicht aktiviert
-Token habe ich aucchon resynchronisiert

Kommt jemanden der Fehler bekannt vor, oder weiß vielleicht jemand von euch, was ich vergessen habe einzurichten ?

In der Registry gibt es bei mir auch nicht den Ordner SDTI in HKEY_LOCAL_MACHINE – SOFTWARE.

Vielen Dank schon mal

#28 Moin zusammen!

Seit letzer Woche haben wir nun einen RSA Server und SecurID-Tokens. In der Domäne alles wunderbar, doch sobald ein User sein Laptop vom Netzwerk nimmt um z.B. zu Hause zu arbeiten, kann er sich nicht mehr anmelden, da er anscheinend keine Verbindung mehr zum DC hat.

Obwohl ich vorher extra geprüft habe, er hat 30 Offline Tage voll aufgeladen...Die Tokennummer nimmt er ohne Probleme, nur beim Passwort weigert er sich strikt...

Bitte um Rat

#29 Hallo,
Ich hab meinen RSA Authentication Server auf einer eigenen Maschine, den DC auf einer eigenen Maschine und den Agent Host auf dem Webserver installiert. Das ganze wird für das Citrix Web Interface eingesetz. Die normale Authentifizierung funktioniert. Aber wenn ich jetzt eine Test Authentifizierung am Agent Host durchführe kommt folgenden Fehler Meldung:

Das vom RSA SecurID Agent gespeicherte Kennwort kann nicht aktualisiert werden. Stellen Sie sicher, dass Sie die richtigen Versionen von RSA SecurID Agent und Authentication Server verwenden und dass diese Programme die Integration mit Windows-Kennwörtern unterstützen. [Protokoll-ID: db805cf5]

Ich hab aber die Windwos Kennwort Integration auf beiden Server aktiviert.
Weiß wer zufällig woran hier der Fehler liegt??

Danke im Voraus

nike87

#30 Weiß jemand wie man eine VPN Verbindung für Ubuntu Linux zum Firmennetz erstellt?

Ich habe folgende Info erhalten, nämlich wie / daß die Windows clients VPN via RSA EAP client connecten.

Zudem sind die Windows clients Domain Mitglieder und verfügen sowohl über ein Computer als auch ein User Zertifikat.

Wäre nett, wenn jemand verraten kann wie man das für einen Linux client hinbekommt.