ここでは、SecurID ACE/Server リソースアダプタの使用に関連する情報を提供します。 次のトピックで構成されています。
UNIX では RSA C API がサポートされないため、SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするプロセスは単純ではありません。このアダプタでパススルー認証を実行するには、次のようなコンポーネント間の対話が必要になります。
Identity Manager <--> SecurID Unix リソースアダプタ <--> SecurID Windows アダプタ <--> Sun Identity Manager Gateway <--> RSA ACE Agent for Windows <--> RSA UNIX Server
SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするときは、設定および実装で次の点に注意してください。
Sun Identity Manager Gateway と RSA ACE Agent Host は、同じ Windows ホスト上にある必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
UNIX RSA サーバー自体がクライアントとして表示される場合、ユーザーの認証に使用するアカウントは UNIX リソースで定義されている必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
SecurID ACE/Server UNIX アダプタで、「ACE サーバー認証リソース」リソースパラメータの値を指定する必要があります。この値は、有効な SecurID ACE/Server (Windows 用) アダプタで指定されたリソース名と一致している必要があります。
SecurID の認証ポリシーでは、UNIX SecurID サーバーが RSA ACE Agent for Windows を認識する必要があります。sdconf.rec ファイルを Windows ホスト上に配置し、正しく設定する必要があります。
ユーザーがパススルー認証を使用するには、RSA ACE Agent for Windows をアクティブにしてください。
Identity Manager を、SecurID ACE/Server または SecurID ACE/Server UNIX のログインモジュールを使用するように設定する必要があります。
認証対象のユーザーは、Identity Manager ロールと組織で設定されている必要があります。
どちらの SecurID リソースアダプタでも、デフォルトのスキーママップは、管理者が 1 つのトークンを指定できるように設定されます。InstallDir\samples\forms ディレクトリにある SecurID User Form を使用する場合は、次の手順を実行して最大 3 つのトークンを有効にします。
次の SecurID User Form のセクションを編集します。
<FieldLoop for=’tokenNum’> <expression> <ref>oneTokenList</ref> </expression> |
oneTokenList を threeTokenList に変更します。
User Form を Identity Manager に読み込みます。
SecurID ACE/Server スキーママップの左側で、次の Identity Manager ユーザー属性の名前を変更します。
元の Identity Manager ユーザー属性 |
変更後の Identity Manager ユーザー属性 |
---|---|
tokenClearPin |
token1ClearPin |
tokenDisabled |
token1Disabled |
tokenLost |
token1Lost |
tokenLostPassword |
token1LostPassword |
tokenLostExpireDate |
token1LostExpireDate |
tokenLostExpireHour |
token1LostExpireHour |
tokenLostLifeTime |
token1LostLifeTime |
tokenPinToNTC |
token1PinToNTC |
tokenPinToNTCSequence |
token1PinToNTCSequence |
expirePassword |
token1NewPinMode |
password |
token1Pin |
tokenResync |
token1Resync |
tokenFirstSequence |
token1FirstSequence |
tokenNextSequence |
token1NextSequence |
tokenSerialNumber |
token1SerialNumber |
tokenUnassign |
token1Unassign |
2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
Identity Manager ユーザー属性 |
リソースユーザー属性 |
---|---|
token2ClearPin |
token2ClearPin |
token2Disabled |
token2Disabled |
token2Lost |
token2Lost |
token2LostPassword |
token2LostPassword |
token2LostExpireDate |
token2LostExpireDate |
token2LostExpireHour |
token2LostExpireHour |
token2LostLifeTime |
token2LostLifeTime |
token2NewPinMode |
token2NewPinMode |
token2PinToNTC |
token2PinToNTC |
token2PinToNTCSequence |
token2PinToNTCSequence |
password |
token2Pin |
token2Resync |
token2Resync |
token2FirstSequence |
token2FirstSequence |
token2NextSequence |
token2NextSequence |
token2SerialNumber |
token2SerialNumber |
token2Unassign |
token2Unassign |
2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
Identity Manager ユーザー属性 |
リソースユーザー属性 |
---|---|
token3ClearPin |
token3ClearPin |
token3Disabled |
token3Disabled |
token3Lost |
token3Lost |
token3LostPassword |
token3LostPassword |
token3LostExpireDate |
token3LostExpireDate |
token3LostExpireHour |
token3LostExpireHour |
token3LostLifeTime |
token3LostLifeTime |
token3NewPinMode |
token3NewPinMode |
token3PinToNTC |
token3PinToNTC |
token3PinToNTCSequence |
token3PinToNTCSequence |
password |
token3Pin |
token3Resync |
token3Resync |
token3FirstSequence |
token3FirstSequence |
token3NextSequence |
token3NextSequence |
token3SerialNumber |
token3SerialNumber |
token3Unassign |
token3Unassign |
SecurId アダプタは、トークン型、ステータス、有効期限など、指定された特性セットに適合するトークンのリストを返すことができます。たとえば、ユーザーフォームの次の部分は、割り当てられていない 128 ビットトークンすべてのリストを返します。
<defvar name=’unassignedTokens’> <invoke name=’listResourceObjects’ class=’com.waveset.ui.FormUtil’> <ref>:display.session</ref> <s>ListTokensByField</s> <ref>resource</ref> <map> <s>field</s> <s>7</s> <s>compareType</s> <s>2</s> <s>value</s> <s>128</s> <s>templateParameters</s> <ref>accounts[$(resource)].templateParameters</ref> </map> <s>false</s> </invoke> </defvar>
field、compareType、および value の各文字列に代入できる値は、RSA Sd_ListTokensByField 関数のマニュアルに定義されています。詳細については、RSA 発行の『Customizing Your RSA ACE/Server Administration』を参照してください。
Identity Manager で英字を含むパスワードを使用していて、SecurID では PIN に英字が許可されない場合は、次のメッセージが表示されます。
SecurId ACE/Server: (realUpdateObject) Sd_SetPin Error Alpha characters not allowed
このエラーを解決するには、リソースの Identity Manager パスワードポリシーが英字を含めないように変更するか、またはリソースの PIN 制限が英字を許可するように変更します。
SecurID ACE/Server for Windows アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。
次のように、この属性を Resource オブジェクトに手動で追加する必要があります。
<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages: RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages: RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’> </ResourceAttribute>
この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。