RSA SecurID

針對 RSA SecurID 身份驗證配置 VPN 由以下步驟組成：

· 在 ISA Server 中配置 VPN 客户端訪問。要想允許遠程 VPN 客户端使用 ISA Server 訪問內部網絡，必須啓用 VPN 客户端訪問。啓用 VPN 客户端訪問時，ISA Server 將啓用一個名為“允許 VPN 客户端到防火牆”的系統策略規則，以允許初始訪問。還需要指定客户端用於連接 VPN 到 ISA Server 計算機而應當使用的隧道協議，和允許的遠程 VPN 客户端連接的最大數量。用户需創建一個包含想要允許其訪問 VPN 的遠程客户端的 VPN 客户端組，並指定將如何分配這些客户端的 IP 地址。

· 安裝 RSA ACE/Server 。RSA ACE/Server 一種可管理用户身份驗證過程的身份驗證服務器。更多信息，請參見RSA Security 站點。

· 將 ISA Server 配置為 RSA ACE/Agent 。RSA ACE/Agent 可保護用户的內部資源。在想要使用 RSA ACE/Server 身份驗證保護的每個資源上安裝該代理。

· 啓用系統策略規則以允許從 ISA Server 計算機到 RSA ACE/Server 計算機的訪問。RSA SecurID 系統策略規則默認允許從本地主機網絡（ISA Server 計算機）到內部網絡的訪問。默認情況下禁用該規則。用户需要啓用該規則並指示一台特定的 RSA ACE/Server 計算機而非整個內部網絡。

· 配置 EAP (RSA SecurID) 身份驗證。用户可在“ISA Server 管理”中配置各種 VPN 身份驗證方法，包括帶有智能卡或其他證書的可擴展身份驗證協議 (EAP)。不能使用該接口啓用帶有 RSA SecurID 的 EAP 身份驗證。而應使用“路由和遠程訪問”控制枱來啓用帶有 RSA SecurID 的 EAP 身份驗證。

要想配置 VPN 客户端訪問，請執行以下步驟。

1.單擊“ISA Server 管理”的“虛擬專用網絡 (VPN)”節點。

2.在詳細信息窗格中，單擊“VPN 客户端”選項卡。

3.在“任務”選項卡上，單擊“配置 VPN 客户端訪問”。

4.在“VPN 客户端屬性”對話框的“常規”選項卡上，單擊“啓用 VPN 客户端訪問”。在“允許的 VPN 客户端最大數量”中，鍵入同時存在的 VPN 客户端連接的最大數量。

5.在“協議”選項卡上，選擇用於連接 VPN 客户端將使用的隧道協議。選擇“啓用 L2TP/IPSec”。

6.如果正使用基於 Active Directory 目錄服務域的身份驗證，則在“組”選項卡上，單擊“添加”，然後添加“VPN 客户端”域組。

注意 針對 Active Directory 身份驗證在域控制器上創建一個包含 VPN 客户端的域組。

7.在“任務”選項卡上，單擊“定義地址分配”。

8.在“地址分配”選項卡上，選擇將用於將 IP 地址分配到遠程 VPN 客户端的方法。可選擇從 DHCP 服務器動態分配地址到客户端，或從靜態地址池分配地址到客户端。

9.在 ISA Server 詳細信息窗格中，單擊“應用”以應用更改。

注意

· 啓用 VPN 客户端訪問時將啓用一個名為“允許 VPN 客户端流量到 ISA Server”的系統策略規則。

· 有關配置 VPN 客户端訪問的詳細信息，請參見VPN 漫遊客户端和隔離控制.

重要 可能需要在更改 VPN 配置後重新啓動 ISA Server 計算機。要想查看是否需要重新啓動 ISA Server 計算機，在“ISA Server 管理”中展開 ISA Server 計算機節點，單擊“監視”。在詳細信息窗格的“警報”選項卡上，查找顯示為“需要重新啓動 ISA Server 計算機”的警報。該警報的警報信息將顯示為“更改 VPN 配置需要重新啓動計算機”。如果看到該警報，將需要重新啓動 ISA Server 計算機。

安裝和配置 RSA ACE/Server

按照 RSA ACE/Server 文檔中描述的方法安裝 RSA ACE/Server。

要想將 ISA Server 計算機配置為 RSA ACE/Agent，請執行以下步驟。

· 將位於 RSA ACE/Server 計算機上 ACE\Data 文件夾中的 Sdconf.rec 文件複製到 ISA Server 計算機上的 %windir%\system32 文件夾中。

如果使用早於 RSA ACE/Server 5.0 的 RSA ACE/Server 版本，請執行以下步驟。

1.在 RSA ACE/Server 計算機上，單擊“開始”，單擊“程序”，單擊“RSA/”ACE Server，然後單擊“數據庫管理 - 主機模式”。

2.在“代理主機”菜單上，單擊“添加代理主機”。

3.在“名稱”中，鍵入 ISA Server 計算機的名稱。

4.在“網絡地址”中，鍵入 ISA Server 計算機的 IP 地址（如果沒顯示）。

5.在“代理主機”中，單擊“生成配置文件”，單擊“一個代理主機”，單擊“確定”，雙擊 ISA Server 計算機的名稱，將 Sdconf.rec 文件保存在該計算機上的一個文件夾中。

6.將 Sdconf.rec 文件複製到 ISA Server 計算機上的 %windir%\system32 文件夾中。

要想驗證 ISA Server 可對 RSA ACE/Server 計算機進行身份驗證，請執行以下步驟。

1.將安裝光盤“Tools”文件夾中的 sdtest.exe 複製到 ISA Server 安裝文件夾中。接着從命令提示符處鍵入“ISA_installation_folder\sdtest.exe”。

2.在“RSA SecurID 身份驗證信息”中，單擊“直接測試 RSA ACE/Server”。

3.在“RSA SecurID 身份驗證”中，在“輸入用户名”和“輸入密碼”中分別鍵入用户名和密碼。

4.當出現“身份驗證成功”消息時單擊“確定”。

啓用系統策略規則以允許 ISA Server 計算機訪問 RSA SecurID 服務器

RSA SecurID 系統策略規則默認允許從本地主機網絡（ISA Server 計算機）到內部網絡的訪問。默認情況下禁用該規則。要想啓用該規則並指定一台特定的 RSA ACE/Server 計算機而非內部網絡，請執行以下步驟。

1.在 Microsoft ISA Server 管理控制枱樹中，右鍵單擊“防火牆策略”節點，然後單擊“編輯系統策略”。

2.在“配置組”列表中，單擊“身份驗證服務”部分的“RSA SecurID”。

3.在“常規”選項上，單擊“啓用”。

4.在“到”選項卡上，單擊“添加”打開“添加網絡實體”對話框。

5.要想將 RSA SecurID 服務器定義為一個網絡實體，請執行以下操作：

1.單擊“新建”菜單，然後單擊“計算機”。

2.在“新建計算機規則元素”對話框的“名稱”中，鍵入一個名稱來標識 SecurID 服務器。

3.在“計算機 IP 地址”中，鍵入該服務器的 IP 地址。

4.還可在“描述”對話框中添加描述，然後單擊“確定”。

6.在“添加網絡實體”對話框的“計算機”中選擇 RSA SecurID 服務器名稱。單擊“添加”，然後單擊“關閉”。

7.在“到”選項卡上，選擇“內部”，然後單擊“刪除”。然後單擊“確定”。

8.在 ISA Server 詳細信息窗格中，單擊“應用”以應用新的訪問規則。

要想中止 ISA Server 控制服務，請執行以下步驟。

1.單擊“開始”，單擊“運行”，然後在“運行”對話框中，鍵入“cmd”。

2.在命令提示符窗口中，鍵入“net stop isactrl”。注意還將中止 ISA Server 防火牆服務 (FWSRV) 和其他依賴 isactrl 服務的 ISA Server 服務。

要想在 ISA Server 計算機上配置“路由和遠程訪問”，請執行以下步驟。

1.單擊“開始”，指向“所有程序”，選擇“管理工具”，然後單擊“路由和遠程訪問”。

2.在“路由和遠程訪問”節點中，右鍵單擊 ISA Server 計算機的名稱，然後單擊“屬性”。

3.在“安全”選項卡上，單擊“身份驗證方法”。

4.在“身份驗證方法”對話框中，確保啓用了“可擴展身份驗證協議 (EAP)”。然後單擊“確定”。

5.在“路由和遠程訪問”節點上，單擊“遠程訪問策略”。

6.在詳細信息窗格中，雙擊“ISA Server 默認策略”。

7.在“設置”選項卡上，單擊“編輯配置文件”。

8.在“身份驗證”選項卡上，單擊“EAP 方式”。

9.在“選擇 EAP 提供程序”對話框中，單擊“添加”。

10.在“添加 EAP”對話框中，選擇“RSA SecurID”，然後關閉這些對話框。

要想重新啓動 ISA Server 服務，請執行以下步驟。

1.單擊“開始”，單擊“運行”，然後在“運行”對話框中，鍵入“cmd”。

2.在命令提示符窗口中，鍵入以下命令：

· 鍵入“net start isactrl”重新啓動 ISA Server 控制服務。鍵入“net start fwsrv”重新啓動 ISA Server 防火牆服務。鍵入“net start isasched”重新啓動 ISA Server 作業調度程序服務。無需啓動路由和遠程訪問服務。防火牆服務重新啓動時自動啓動路由和遠程訪問服務。

檢驗嘗試連接帶有 RSA SecurID 身份驗證的 VPN 客户端。

注意 當啓用運行 Microsoft Windows Server 2003 的計算機上的 SecurID 身份驗證時，網絡服務帳户必須擁有以下注冊表項的讀取/寫入權限：HKLM\Software\SDTI\ACECLIENT。此外，網絡服務帳户必須擁有位於 %SystemRoot%\system32\ 的 Sdconf.rec 文件的讀取權限。