はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

資料 NTS-08-R-022 (Rev.0 ) RSA SecurID ワンタイムパスワード認証 評価報告書 2008 年 7 月 22 日アラクサラネットワークス株式会社ネットワークテクニカルサポート Copyright 2008 ALAXALA Networks Corp. All rights reserved. 1

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標もしくは登録商標です Windows は 米国およびその他の国における米国 Microsoft Corp. の登録商標です その他記載の会社名 製品名はそれぞれの会社の商標もしくは登録商標です 関連資料 AX 製品マニュアル (AX1200S/AX2400S) AX 認証ソリューションガイド 2

目次 1. サマリ 1-1. 概要と結果 1-2. 評価構成 1-3. トークン 2. 基本設定 2-1. 設定ステップ 2-2. 事前設定確認 2-3.RSA RADIUS 設定 2-4.Agent Host 設定 2-5.AX 設定 3.Web 認証 3-1. 認証手順 ( ハードウェアトークン ) 3-2. 認証手順 ( ソフトウェアトークン ) 3-3. 認証ログ確認 付録 1. デバッグ方法 2.AX コンフィグレーションファイル 3

1. サマリ 1-1. 概要と結果 概要 本資料は RSA セキュリティ株式会社のワンタイム パスワード RSA SecurID と AX シリーズの Web 認証機能を用いたシステム構築が可能かを検証し その結果及び構築のポイントを報告しています 検証結果一覧 検証結果 認証方式 VLAN モードトークン種別 AX2430S AX1230S 備考 Web 認証 固定 VLAN 動的 VLAN ハードウェアトークン ソフトウェアトークン ハードウェアトークン ソフトウェアトークン HTTPS(SSL 通信 ) 可能 表中の は認証可能なことを示します 4

1. サマリ 1-2. 評価構成 評価構成 トークン 認証クライアント1 DHCP 認証スイッチ L3スイッチ DHCPサーバ 認証サーバ トークン認証クライアント2 DHCP 192.168.100.11 192.168.100.254 10.510.0254 10.51.0.3 検証機器 認証サーバ 検証に使用した機器 用途製品名バージョン備考 RSA SecurID Appliance Authentication Manager Ver6.1.2 RSA RADIUS Server Ver6.1 Authentication Manager と RSA RADIUS Server は同一装置で構成しています L3 スイッチ DHCP サーバ AX3630S Ver10.7 認証スイッチ 認証クライアント 1 AX2430S Ver10.7 2 AX1230S Ver1.3.D 1 Windows XP Professional(SP2) WebブラウザはIE6.0を使用 2 Windows Vista Business(SP1) WebブラウザはIE7.0を使用 検証したトークンについては次ページにて示します 5

1. サマリ 1-3. トークン RSA SecurID Token RSA SecurID トークンには対応するプラットフォームやバージョンにより複数種類のトークンが存在します 本検証では以下の表に記載したトークンで実施しました 種別製品名検証 OS イメージ ハードウェア トークン RSA SecurID 700 Windows XP Windows Vista ソフトウェア トークン RSA SecurID Token for Windows Desktops Ver3.0.7 RSA SecurID Token for Windows Desktops Ver4.0 Windows XP Windows Vista 6

2. 基本設定 2-1. 設定ステップ 設定ステップ RSA SecurID と AX シリーズによるシステム構築時の設定ステップを示します 本資料では 設定ステップの中で AX の設定に関連がある構築のポイント (4 5 6) を中心に記載しています 尚 ソフトウエアトークンを使用する場合は 構築のポイント 3 の前にクライアントへのソフトウエアトークン用ソフトのインストールが必要です 1 初期設定 ( 認証サーバ ) 2 ユーザの追加 2-2 節参照 RSA SecurID Appliance の設定 3 トークンの割り当て 4RSA RADIUS の設定 2-3 節参照 5Agent Host の設定 2-4 節参照 AX シリーズの設定 6Web 認証 /RADIUS ポートの設定 7 2-5 節参照

2. 基本設定 2-2. 事前設定確認 事前設定確認 2-1. 設定ステップ のステップ 1~3 について本検証での設定内容を以下の表に示します 設定ステップ設定項目設定内容 時刻設定 NTP 未使用 1 IP アドレス設定 10.51.0.3/24 Authentication Manager のアップロードバージョン 6.1 patch2 2 3 トークンレコードのインポート ユーザ作成 ソフトウェアトークンのインストール ( ハードウエアトークンを使用する場合は不要 ) ハードウェアトークンレコード ソフトウェアトークンレコード User01: ハードウェアトークンを割り当て User02: ソフトウェアトークンを割り当て XP:RSA SecurID Token for Windows Desktops Ver3.0.7 Vista:RSA SecurID Token for Windows Desktops Ver4.0 8

2. 基本設定 2-3.RSA RADIUS 設定 (1/3) RSA RADIUS 設定 RSA SecurID の RSA RADIUS では RADIUS クライアント と プロファイル の作成を行い その後 Authentication Manager にて作成したプロファイルをユーザに割り当てます RSA RADIUS 設定画面の表示 スタート RSA Authentication Manager Host Mode を起動 メインメニューから RADIUS を展開し Manage RADIUS Server をクリック RSA RADIUS 設定画面を表示します RADIUS クライアント 左画面 RADIUS Clients を選択し上部にある操作メニューから Add をクリックし以下の情報を入力します Name : 任意 ( 本例では AX1230S 等 ) IP Address : 認証スイッチの IP アドレス Shared secret : シークレットキー ( 本例では alaxala ) その他の項目はデフォルトのまま OK ボタンをクリックし RADIUS クライアントが追加されていることを確認します 9

2. 基本設定 2-3.RSA RADIUS 設定 (2/3) プロファイル ( 認証条件 ) の設定 左画面 Profiles を選択し 操作メニュー Add をクリックし Name には任意の名前 ( 本例では VLAN100 ) を入力します Attributes 項目の Check list タブを選択 Add をクリックし以下のアトリビュートと値を入力 OK をクリックし追加します Attribute: User-Name Value: 認証ユーザ ( 本例では user01 ) OK ボタンで Add Profile 画面を閉じ作成したプロファイルが追加されていることを確認します 動的 VLAN 使用時のプロファイル作成 固定 VLAN 使用時はこの設定は必要ありません動的 VLAN モード使用時は Return list タブを選択し以下のアトリビュートと値を追加します Attribute:Tunnel-Medium-Type Value: 802 Attribute:Tunnel-Type Value: VLAN Attribute:Tunnel-Private-Group-ID Value:300 ( 本例では VLAN300 を使用しています ) 10

2. 基本設定 2-3.RSA RADIUS 設定 (3/3) ユーザへプロファイルの割り当て RSA RADIUS を右上の で閉じます メインにニューの RADIUS を展開し Add Profile をクリックします Profile Name に RSA RADIUS の Profile で指定した名前を入力します ( 本例では VLAN100 ) 入力後 OK で閉じます 次にメインメニュー User を展開し Edit User をクリックします 既に登録済みのユーザ ( 本例では user01 ) を指定し Edit User 画面を表示します 画面左下の Assign Profile をクリックし 先程作成したプロファイル ( 本例では VLAN100 ) を選択したら OK で閉じます 11

2. 基本設定 2-4.Agent Host 設定 Agent Host の設定 認証スイッチを保護対象として登録 アクセスを許可するユーザを制御します AgentHost の設定 スタート RSA Authentication Manager Host Mode を起動します メインメニューから Agent Host を展開し Add Agent Host をクリックします Add Agent Host 画面で以下の項目を入力 または選択します Name: 任意 ( 本例では AX1230S ) Network address: 認証スイッチの IP アドレス Agent type:communication Server Open to All Locally Known Users にチェック その他はデフォルトのまま OK ボタンで閉じます ユーザへ Agent Host の割り当て メインメニューの User を展開し Edit User をクリックします 既に登録済みのユーザ ( 本例では user01 ) を指定し Edit User 画面を表示します 画面下の Agent Host Activations をクリックし該当の Agent Host 選択 割り当てが完了していることを確認し OK をクリックして閉じます 12

2. 基本設定 2-5.AX 設定 AX 設定 ここでは RSA SecurID と AX シリーズの Web 認証でシステムを構築する際に 設定のポイントとなる AX のコンフィグレーションを示します ポート番号の指定 (RADIUS) RSA SecurID Appliance では AX の RADIUS ポートを UDP/1645 に指定する必要があります 以下のコマンドを用いて設定して下さい (AX2430S,AX1230S で共通 ) (config)# radius-server host 10.51.0.3 auth-port 1645 key alaxala auth-port パラメータ省略時はデフォルトの 1812 番となるので 1645 番を指定します 本例では RADIUS の IP アドレスに 10.51.0.3 RADIUS シークレットに alaxala を使用しています その他に RSA SecurID と AX の Web 認証システムを構築する際に AX のコンフィグレーションで特別な設定はありません 本資料で記載していない AAA や Web 認証 に関連するコンフィグレーションは AX シリーズのマニュアルや認証ソリューションガイドなどを参照して下さい 13

3.Web 認証 3-1. 認証手順 ( ハードウェアトークン ) 認証手順 ここではハードウェアトークンを使用して AX シリーズの Web 認証を実施する手順を記載します ハードウェアトークン 1 クライアント PC にてブラウザを起動し AX シリーズの認証画面を表示します 2user ID 入力欄に Authentication Manager にて登録済みのユーザを入力します 3 ユーザの PIN コード (4 桁 )+ ハードウェアトークンで表示されているトークンコード (6 桁 図 -1) の合計 10 桁がパスコードとなります パスコード (10 桁 ) をパスワード欄に入力し Login をクリックします 図 -1 4 認証成功画面が表示されます 表示されているトークンコードは 60 秒毎にランダムに変化します 発行されたトークンコードはデフォルト 120 秒以内は使用可能です 14

3.Web 認証 3-2. 認証手順 ( ソフトウェアトークン ) 認証手順 ここではソフトウェアトークンを使用して AX シリーズの Web 認証を実施する手順を記載します ソフトウェアトークン 1 クライアント PC にて RSA SecurID Token を起動します ( デフォルトでは C:/Program Files/RSA Security/RSA SecurID Software Token にインストールされます ) 2Authentication Manager にて登録済みユーザの PIN コード (4 桁 ) を RSA SecurID Token に入力し右横の矢印ボタンをクリックします ( 図 -1) 3RSA SecurID Token にて 8 桁のパスコードが作成 表示されていることを確認します ( 図 -2) 図 -1 図 -2 4 ブラウザを起動し AX シリーズの認証画面を表示します 5 ユーザ名入力欄に Authentication Manager にて登録済みのユーザを入力します 6RSA SecurID Token にて表示されている 8 桁のパスコードをパスワード欄に入力し Login をクリックします 7 認証成功画面が表示されます 表示されているトークンコードは 60 秒毎にランダムに変化します 発行されたトークンコードはデフォルト 120 秒以内は使用可能です 15

3.Web 認証 3-3. 認証ログ確認 (1/2) Authentication Manager の認証ログの確認方法 ユーザのパスコード照合結果や認証結果を表示 認証失敗時は失敗理由も表示されます 操作手順 1 スタート RSA Authentication Manager Host Mode を起動します メインメニューから Log を展開し Edit Log Extension Data を選択し Activity Log Extension をクリックします 2[Log Entry Selection Criteria] 画面にて OK ボタンをクリックします 3 認証ログを確認します 16

3.Web 認証 3-3. 認証ログ確認 (1/2) AX の Web 認証ログの確認方法 #show web-authentication login 認証済みユーザの一覧が確認できます また ユーザ毎に認証端末のMACアドレス ログイン時間 ログアウトまでの残り時間などが確認できます #show web-authentication logging Web 認証のログ表示コマンドです 17

付録 1. デバッグ方法 RSA RADIUS 詳細システムログの取得 RADIUS システムログでは サーバの起動または終了 ユーザの認証または拒否など ログレベルに応じて RADIUS イベントを ASCII テキストファイルに一連のメッセージとして記録します ここでは障害解析用にログレベルを変更し詳細なシステムログを取得する方法を紹介します 設定 1RSA RADIUS のインストールフォルダ内にある radius.ini ファイルをテキストエディタなどで開きます 2[Configuration] セクションにて以下の様にパラメータを編集します LogLevel=2 TraceLevel=2 3 編集が完了したら保存して閉じます 4RSA RADIUS を再起動します 確認 1 インストールフォルダ内に yyyymmdd.txt という日付のファイル名が作成されています ( 例.20080707.txt など ) 18

付録 2.AX コンフィグレーションファイル AX コンフィグレーションファイル 評価に使用した各認証スイッチのコンフィグレーションファイルは以下の通りです 認証方式認証モード AX2430S AX1230S 固定 VLAN AX2430Sstatic.txt AX1230Sstatic.txt Web 認証 動的 VLAN AX2430Sdynamic.txt AX1230Sdynamic.txt クリップマークをクリックするとコンフィグレーションファイルが開きます 19