RSA autentisering för OWA i TMG/ISA, steg för steg

Här nedan följer en komplett guide hur du konfigurerar RSA för TMG.

Vi förutsätter att vi har tre servrar 1 st. TMG, 1 st. Exchange Server med OWA (CAS) på och 1 st. RSA Server.

1. Skapa ett agent host record på RSA servern
   1. Starta RSA Database Administration – Host Mode (RSA Authentication Manager – Host Mode)
   2. På “Agent Host” menyn väljer du “Add Agent Host”.
   3. I “Name”-fältet skriver du namnet på TMG servern. IP adressen ska fyllas i automatiskt när du byter fält, annars fyller du i IP adressen manuellt.
   4. I “Agent Type” väljer du “Net OS Agent”
   5. Klicka på [Select] för att välja Site
   6. Verifiera att “Node Secret Created” inte är ifylld. Är den det, kryssa ur den.
   7. 
   8. Klicka på [Create Node Secret File…]
   9. Klicka på [Browse…] och välj lämplig plats (filen bör heta nodesecret.rec)
   10. Fyll i Lösenord och klicka på [OK]
   11. Klicka [OK]
   12. På Agent Host menyn väljer du Generate Configuration Files…
   13. Välj “One Agent Host” och klicka på [OK]
   14. Välj TMG servern som du just skapat och klicka på [OK]
   15. Spara filen som “sdconf.rec” på lämplig plats. Det är viktigt att filen heter just “sdconf.rec”
   16. Kopiera filerna sdconf.rec och nodesecret.rec till C:\Windows\System32 katalogen på TMG Servern om det är ett x86 system och till C:\Windows\SysWOW64 katalogen om det är ett x64 system
   17. Kopiera filen agent_nsload.exe från “RSA installationsbibliotek”\prog till samma bibliotek som de andra två filerna.
2. Konfigurera TMG Servern för RSA
   1. Logga in som local admin på TMG Servern
   2. starta ett CMD (Command Prompt) fönster som administratör (högerklicka och välj “Run as Administrator”)
   3. Byt katalog till den katalog du lade filerna ovan (C:\Windows\System32 eller C:\Windows\SysWOW64)
   4. Kör kommandot agent_nsload.exe -f nodesecret.rec -p PassWord där du byter ut PassWord mot lösenordet du angav när du skapade node secret filen på RSA Servern
   5. Nu ska det ha skapats en fil med namnet “SECURID” utan extension i samma bibliotek som du körde kommandot från. Verifiera att filerna sdconf.rec och SECURID kan läsas av “Network Service”.
   6. Sätt rättigheter på sdconfig katalogen i installationsbiblioteket för TMG/ISA Server (C:\Program Files (x86)\Microsoft ISA Server\) så att “Networks Service” har modify. Detta krävs för att TMG ska kunna skriva i biblioteket.
   7. Kopiera sdconf.rec och SECURID till sdconfig katalogen i installationsbiblioteket för TMG/ISA Server (C:\Program Files (x86)\Microsoft ISA Server\)
   8. Verifiera att registervärdet “PrimaryInterfaceIP” finns under nycklarna “HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\” (för x86) och “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SDTI\AceClient\” (för x64). Värdet ska TMG:ns interna IP adress som Value data:. Lägg till värdet på båda ställena på x64 maskiner för säkerhets skull. Detta värde behövs för att RSA agenten ska hitta till RSA servern.
   9. Sätt rättighet på AceClient nycklarna ovan så att “Network Service” har fulla rättigheter (behövs för att TMG ska kunna skriva här)
   10. För att tillåta trafik mellan TMG och RSA går du in i TMG konsolen (Forfront TMG Management) och högerklickar på “Firewall Policy” och väljer “Edit System Policy…” Markera “RSA SecurID” under “Authentication Services” och verifiera att “Enable this configuration group” är ikryssat. Gå till fliken “To” och verifiera att “Internal” eller minst RSA servern ligger där.
   11. Verifiera routing mellan TMG och RSA Server så att trafiken kommer fram.
   12. Ladda ner Microsofts testverktyg för RSA Det gör du här
   13. Packa upp zip-filen till installationsbiblioteket för TMG/ISA Server (C:\Program Files (x86)\Microsoft ISA Server\). Nu ska sdtest.exe finnas i katalogen.
   14. Gå nu tillbaka till RSA servern och starta RSA ACE/Server Log Monitor som ligger i startmenyn för RSA ACE Server. Klicka [OK] i rutan som visas (se bilden). Vi ska använda log monitorn för att verifiera att att allt fungerar som det ska.
   15. 
   16. Gå tillbaka till TMG Servern och kör SDTEST.exe (som du kopierade i steg 13) som administratör (högerklicka och välj “Run as Administrator”), förhoppningsvis visas nu lite information om servern som ska användas. Det är viktigt att köra som administratör annars fungerar inte nästa steg.
   17. Klicka på [RSA ACE/Server Test Directly] och ange namn och passcode (pin+tokenCode) för ett giltigt konto som du vet fungerar. Du bör få “Authentication Successful” (om inte, körde du verkligen som administratör?)
   18. Verifiera i RSA loggen på RSA Servern att du fått “Passcode accepted”
   19. Starta om “Microsoft Firewall” tjänsten eller hela TMG Servern.
3. Konfiguration av weblyssnare  och publiceringsregel som ska använda RSA
   1. Gå in på web-lyssnaren (web listener) som du ska använda för OWA. Gå till fliken “Authentication” och verifiera att det står “HTML Form Authentication” som metod. Kryssa i rutan “Collect additional delegation…” om du vill att användaren ska ange både RSA information och AD inloggning på samma ställe. Kryssa i “RSA SecurID”
   2. Gå in på publiceringsregeln för OWA. Gå till fliken “Authentication Delegation” och välj “NTLM authentication”
   3. Gå in på fliken “Users” och verifiera att endast “All Authenticated Users” är med i listan
4. Test av konfiguration
   1. Gå in på den externa inloggningssidan för OWA och ange namn, PIN+tokenCode och AD lösenord
   2. 
   3. Laddas OWA nu så är allt klart.
   4. Det bör också ha skapats en fil till under sdconfig biblioteket.
   5. Verifiera i loggen på RSA Servern att du fått “Passcode accepted”

Bra referensartiklar finns här

http://blogs.technet.com/isablog/archive/2008/02/07/walk-through-for-rsa-securid-authentication-for-isa-server-2006-part-1-rsa-authentication-manager-server-configuration.aspx

http://blogs.technet.com/isablog/archive/2008/02/07/walk-through-for-rsa-securid-authentication-for-isa-server-2006-part-2-isa-array-members-preparation.aspx

http://blogs.technet.com/isablog/archive/2008/02/07/walk-through-for-rsa-securid-authentication-for-isa-server-2006-part-3-configure-isa-authentication-and-delegation.aspx