はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

RSA SecurID ワンタイムパスワード認証

評価報告書

資料№ NTS-08-R-022 (Rev.0 )

2008年7月22日

アラクサラネットワークス株式会社

ネットワークテクニカルサポート

■注意事項

はじめに

　本資料に記載の内容は、弊社が特定の環境において、基本動作や接続動作を確認したもので

　あり、すべての環境で機能・性能・信頼性を保証するものではありません。

■商標一覧

　RSA、RSAロゴ、SecurIDについてはRSA Security Inc.の米国およびその他の国における商標もし

　くは登録商標です。

　Windowsは、米国およびその他の国における米国Microsoft Corp. の登録商標です。

　その他記載の会社名、製品名はそれぞれの会社の商標もしくは登録商標です。

■関連資料

　・AX製品マニュアル（AX1200S/AX2400S）

　･AX認証ソリューションガイド

　１．サマリ

　　　1-1．概要と結果

　　　1-2．評価構成

　　　1-3．トークン

　２．基本設定

　　　2-1．設定ステップ

　　　2-2．事前設定確認

　　　2-3．RSA RADIUS設定

　　　2-4．Agent Host設定

　　　2-5．AX設定

　　　　

３．Web認証

　　　3-1．認証手順（ハードウェアトークン）

　　　3-2．認証手順（ソフトウェアトークン）

　　　3-3．認証ログ確認

付録

　　　1．デバッグ方法

　　　2．AXコンフィグレーションファイル

目次

1-1．概要と結果

■概要

１．サマリ

■検証結果一覧

検証結果

認証方式 VLANモード トークン種別 AX2430S AX1230S 備考

ハードウェアトークン

○

○

ソフトウェアトークン

○

○

ハードウェアトークン

○

○

ソフトウェアトークン

○

○

動的VLAN HTTPS（SSL通信） 可能 固定VLAN Web認証 ※表中の○は認証可能なことを示します。 本資料は、RSAセキュリティ株式会社のワンタイム・パスワード「RSA SecurID」と、AXシリーズのWeb認証機能 を用いたシステム構築が可能かを検証し、その結果及び構築のポイントを報告しています。

1-2．評価構成

１．サマリ

■評価構成

検証に使用した機器 用途 製品名 バージョン 備考 認証サーバ L3スイッチ、DHCPサーバ 認証スイッチ ② AX1230S 認証クライアント

② Windows Vista WebブラウザはIE7.0を使用 RSA SecurID Appliance ･Authentication Manager Ver6.1.2

･RSA RADIUS Server Ver6.1

Authentication Manager と　　 RSA RADIUS Serverは同一装置 で構成しています。

AX３６３０S Ver10.7 ① AX2430S Ver10.7 Ver1.3.D

① Windows XP Professional(SP2) WebブラウザはIE6.0を使用 Business(SP1)

■検証機器

認証サーバ L3スイッチ DHCPサーバ 認証スイッチ 認証クライアント① 認証クライアント② トークン トークン _{192.168.100.254 10.51.0.3} 10.510.0254 192.168.100.11 DHCP DHCP ※検証したトークンについては次ページにて示します。

■RSA SecurID Token

１．サマリ

1-3．トークン

RSA SecurIDトークンには対応するプラットフォームやバージョンにより複数種類のトークンが存在します。 本検証では以下の表に記載したトークンで実施しました。 種別 製品名 検証OS イメージ ハードウェア 　トークン RSA SecurID 700 Windows XP Windows Vista

RSA SecurID Token for

Windows Desktops　Ver3.0.7 Windows XP

RSA SecurID Token for

Windows Desktops　Ver4.0 Windows Vista

ソフトウェア 　トークン

2-1．設定ステップ

２．基本設定 ①初期設定（認証サーバ） ②ユーザの追加 ⑤Agent Hostの設定 ③トークンの割り当て ④RSA RADIUSの設定 ⑥Web認証/RADIUSポートの設定 RSA SecurID Appliance

の設定 AXシリーズの設定 2-3節参照 2-4節参照 2-5節参照 2-2節参照 RSA SecurIDとAXシリーズによるシステム構築時の設定ステップを示します。 本資料では、設定ステップの中でAXの設定に関連がある構築のポイント（④、⑤、⑥）を中心に 記載しています。尚、ソフトウエアトークンを使用する場合は、構築のポイント③の前にクライアントへ のソフトウエアトークン用ソフトのインストールが必要です。

■設定ステップ

2-2．事前設定確認

２．基本設定

設定ステップ 設定項目 設定内容

「Authentication Manager」のアップロード バージョン 6.1 paｔch２

トークンレコードのインポート ･ハードウェアトークンレコード ･ソフトウェアトークンレコード

②

ユーザ作成 User01：ハードウェアトークンを割り当て User02：ソフトウェアトークンを割り当て 時刻設定 NTP未使用 IPアドレス設定 10.51.0.3/24

③

ソフトウェアトークンのインストール_{(ハードウエアトークンを使用する場合は不要)}

XP：RSA SecurID Token for Windows 　　　　　 　 　Desktops Ver3.0.7

Vista：RSA SecurID Token for Windows　 　

　　　 Desktops Ver4.0

①

「2-1．設定ステップ」のステップ①～③について本検証での設定内容を以下の表に示します。

■事前設定確認

2-3．RSA RADIUS設定（1/3）

２．基本設定

■RSA RADIUS設定

　RSA SecurID のRSA RADIUSでは「RADIUS クライアント」と「プロファイル」の作成を行い、その後Authentication 　Managerにて作成したプロファイルをユーザに割り当てます。

●RSA RADIUS設定画面の表示

　「スタート」→「RSA Authentication Manager Host Mode」を起動。　　　　　　　　 　メインメニューから「RADIUS」を展開し「Manage　RADIUS Server」を　　　　　　　 　クリック、「RSA RADIUS」設定画面を表示します。

●RADIUSクライアント

　左画面「RADIUS Clients」を選択し上部にある操作メニューから　　 　「Add」をクリックし以下の情報を入力します。 　･Name　：　任意（本例ではAX1230S等）　　　　　　 　･IP Address　:　認証スイッチのIPアドレス　　　　　　　 　･Shared secret　:　シークレットキー（本例では“alaxala”） 　その他の項目はデフォルトのまま「OK」ボタンをクリックし　　　　　　 　RADIUSクライアントが追加されていることを確認します。

2-3．RSA RADIUS設定（2/3）

２．基本設定

●プロファイル（認証条件）の設定

　左画面「Profiles」を選択し、操作メニュー「Add」をクリックし、 　「Name」には任意の名前（本例では“VLAN100”）を入力 します。　　 　Attributes項目の「Check list」タブを選択、「Add」をクリックし 以下のアトリビュートと値を入力、「OK」をクリックし追加します。 　･Attribute：「User-Name」、Value：認証ユーザ　　　　　　 　　　　　　（本例では“user01”） 　「OK」ボタンで「Add Profile」画面を閉じ作成したプロファイルが　 　追加されていることを確認します。

●動的VLAN使用時のプロファイル作成

　※固定VLAN使用時はこの設定は必要ありません　　　　　　　　　 　　 動的VLANモード使用時は「Return list」タブを選択し　　　　　　 　　 以下のアトリビュートと値を追加します。 　　 ･Attribute：Tunnel-Medium-Type、Value：“802” 　　　　　　　　 　　 ･Attribute：Tunnel-Type、Value：“VLAN” 　　　　　　 　　 ･Attribute：Tunnel-Private-Group-ID、Value：300　　　　　　　　 　　　（本例ではVLAN300を使用しています）

2-3．RSA RADIUS設定（3/3）

２．基本設定

●ユーザへプロファイルの割り当て

　RSA RADIUSを右上の「×」で閉じます。メインにニューの 　「RADIUS」を展開し「Add Profile」をクリックします。

･「Profile Name」にRSA RADIUSのProfileで指定した名前を 　入力します。（本例では“VLAN100”）　　　　　　　 　入力後「OK」で閉じます。　　　　 　次にメインメニュー「User」を展開し「Edit User」をクリックします。 　既に登録済みのユーザ（本例では“user01”）を指定し 　「Edit User」画面を表示します。 　画面左下の「Assign Profile」をクリックし、先程作成したプロファイル 　（本例では“VLAN100”）を選択したら「OK」で閉じます。　　　　　　　　 　

2-4．Agent Host設定

２．基本設定

●AgentHostの設定

　「スタート」→「RSA Authentication Manager Host Mode」を起動します。

　メインメニューから「Agent Host」を展開し「Add Agent Host」をクリックします。 　「Add Agent Host」画面で以下の項目を入力、または選択します。

･Name：任意（本例では“AX1230S”）

･Network address：認証スイッチのIPアドレス 　･Agent type：Communication Server

　･「Open to All Locally Known Users」にチェック 　その他はデフォルトのまま「OK」ボタンで閉じます。

●ユーザへAgent Hostの割り当て

　メインメニューの「User」を展開し「Edit User」をクリックします。 　既に登録済みのユーザ（本例では“user01”）を指定し

　「Edit User」画面を表示します。　　　　　　　　

　画面下の「Agent Host Activations」をクリックし該当のAgent Host選択、 　割り当てが完了していることを確認し「OK」をクリックして閉じます。　　　　

■Agent Hostの設定

2-5．AX設定

２．基本設定

●ポート番号の指定（RADIUS）

RSA SecurID Applianceでは、AXのRADIUSポートをUDP/1645に指定する必要があります。 以下のコマンドを用いて設定して下さい。（AX2430S,AX1230Sで共通）

･(config)# radius-server host 10.51.0.3 auth-port 1645 key “alaxala“

　※auth-portパラメータ省略時はデフォルトの1812番となるので1645番を指定します。 　※本例ではRADIUSのIPアドレスに10.51.0.3、RADIUSシークレットに“alaxala”を使用しています。

■AX設定

ここではRSA SecurIDとAXシリーズのWeb認証でシステムを構築する際に、設定のポイントとなるAXのコンフィグ 　レーションを示します。 　※その他にRSA SecurIDとAXのWeb認証システムを構築する際にAXのコンフィグレーションで特別な設定は 　　 ありません。本資料で記載していないAAAやWeb認証、に関連するコンフィグレーションはAXシリーズの 　　 マニュアルや認証ソリューションガイドなどを参照して下さい。

3-1．認証手順（ハードウェアトークン）

３．Web認証

■認証手順

　ここではハードウェアトークンを使用してAXシリーズのWeb認証を実施する手順を記載します。

●ハードウェアトークン

　①クライアントPCにてブラウザを起動しAXシリーズの認証画面を　　　　　 　 　表示します。

　②user ID入力欄にAuthentication Manager にて登録済みの 　 ユーザを入力します。 　③ユーザのPINコード（4桁）＋ハードウェアトークンで表示されている トークンコード（6桁、図-1）の合計１０桁がパスコードとなります。 　 パスコード（10桁）をパスワード欄に入力し「Login」をクリックします。　　 　　　　　　 　④認証成功画面が表示されます。 図-１

●ソフトウェアトークン

　①クライアントPCにてRSA SecurID Token を起動します。　　　

　　（デフォルトではC:/Program Files/RSA Security/RSA 　　　SecurID Software Tokenにインストールされます。）

　②Authentication Manager にて登録済みユーザの 　　 PINコード（4桁）をRSA SecurID Tokenに入力し 　　 右横の矢印ボタンをクリックします。（図-１）

　③RSA SecurID Token にて8桁のパスコードが作成、 　　表示されていることを確認します。（図-2）　　　　

　④ブラウザを起動しAXシリーズの認証画面を表示します。 　⑤ユーザ名入力欄にAuthentication Manager にて登録済み 　　 のユーザを入力します。

　⑥RSA SecurID Token にて表示されている8桁のパスコード 　　 をパスワード欄に入力し「Login」をクリックします。 　⑦認証成功画面が表示されます。

3-2．認証手順（ソフトウェアトークン）

３．Web認証

■認証手順

　ここではソフトウェアトークンを使用してAXシリーズのWeb認証を実施する手順を記載します。 ※表示されているトークンコードは60秒毎にランダムに変化します。発行された 　　　　 　 トークンコードはデフォルト120秒以内は使用可能です。 図-１ 図-2

3-3．認証ログ確認（1/2）

３．Web認証

●操作手順

　　①「スタート」→「RSA Authentication Manager Host Mode」を起動します。 　　　 メインメニューから「Log」を展開し「Edit Log Extension Data」を選択し　 　 　 「Activity Log Extension」をクリックします。　

　　　　　　

　　②[Log Entry Selection Criteria]画面にて「OK」ボタンをクリックします。　 　　　

　　　

　　③認証ログを確認します。

■ Authentication Manager の認証ログの確認方法

3-3．認証ログ確認（1/2）

３．Web認証

■AXのWeb認証ログの確認方法

　　

･#show web-authentication login

　認証済みユーザの一覧が確認できます。

　また、ユーザ毎に認証端末のMACアドレス、ログイン時間、ログアウトまでの残り時間などが確認できます。

･#show web-authentication logging 　Web認証のログ表示コマンドです。

付録 １．

デバッグ方法

■RSA RADIUS 詳細システムログの取得

　　RADIUS システムログでは、サーバの起動または終了、ユーザの認証または拒否など、ログレベルに　　　 　 応じてRADIUS イベントをASCII テキスト ファイルに一連のメッセージとして記録します。　　　　　　 　　ここでは障害解析用にログレベルを変更し詳細なシステムログを取得する方法を紹介します。

●設定

　　①RSA RADIUSのインストールフォルダ内にあるradius.ini ファイルを　　　 　　　 テキストエディタなどで開きます。 　　②[Configuration] セクションにて以下の様にパラメータを編集します。 　　　･LogLevel=2 　　　･TraceLevel=2 　　③編集が完了したら保存して閉じます。 　　 　　④RSA RADIUSを再起動します。

●確認

　　①インストールフォルダ内にyyyymmdd.txtという日付のファイル名が作成 　　　されています。（例.20080707.txtなど）

付録 ２．AX

コンフィグレーションファイル

■AXコンフィグレーションファイル

　評価に使用した各認証スイッチのコンフィグレーションファイルは以下の通りです。 認証方式 認証モード AX2430S AX1230S 固定VLAN 動的VLAN Web認証 ※クリップマークをクリックするとコンフィグレーションファイルが開きます。

AX1230Sstatic.txt

AX1230Sdynamic.txt

AX2430Sdynamic.txt

AX2430Sstatic.txt