SWANStorサーバでRSA Securid認証を利用する場合の設定方法について説明します。
検証済みRSA Ace/Serverバージョン5.0、5.5
1)設定上の留意点
RSA Ace/Serverに関しての詳細は、同ソフトウェアのマニュアルを参照してください。この項では、SWANStor サーバがRSA SecureIDと連携する上での留意点を説明します。
1-1) エージェントホストの作成
SWANStor サーバがインストールされたPC用にエージェントホストを作成します。
下はエージェントホストの追加画面の例となります。
[Network address]
SWANStorサーバがインストールされたPCのIPアドレスを指定してください。
[Agent Type]
通常は[Net OS Agent]を選択してください。
[Encryption Type]
SDI、DESどちらを選択しても構いません。
[User Activation]
をクリックして、SWANStor サーバを利用するユーザを追加していきます。
[Create Node Secret File]
SWANStorサーバにはノードセキュリティファイルをマニュアルでインポートする機能はないので、[Create Node Secret File] は使用しません。設定は行わないでください。
エージェントホストが追加されたら、[Agent Host] メニューから[Generate Configuration files…]を選択し、sdconf.rec ファイルを生成します。
1-2) SWANStor サーバ側の設定
上で生成した、sdconf.recをSWANStor サーバがインストールされているPCへインポートし、必要な設定を行います。
1-2-1) 生成したsdconf.recファイルをインポート
SWANStorサーバマシンの次のフォルダへ移動します。
Windows版: システムルート\system32 の下
(デフォルトではC:\WINNT\system32)
Linux版:/usr/local/swanstor/serverの下
1-2-2) sdopts.recファイルを作成する(Linux版SWANStorのみ)。
Linix版のSWANStor ではsdconf.recファイルをコピーしたserverフォルダに次のような一行のエントリを持つファイルを作成し、sdopts.recという名前で保存します。
CLIENT_IP=192.168.12.4
このIPアドレスはエージェントホストの追加の時に使ったSWANStorサーバがインストールされているマシンのIPアドレスです。
1-2-3) アクセス検証
上記までの作業が完了したら、SWANStor サーバのサービスを再起動します。
RSAトークンを使用しログインに成功すると、ACEサーバはNode SecretファイルをAgentに分配し、以降のアクセスではこのSecret情報が使用されます。SWANStor サーバからの認証依頼に成功すると、securidというファイルとsdstatus.12という2つのファイルが、sdconf.recをコピーした上記のフォルダに生成されます。
また、ACEサーバのAgent Hostの状態(Edit Agent Hostで先の画面を開く)は、[Node Secret Created]がチェックされた状態に遷移します。
1-3)エージェントホストの設定変更
SWANStor のエージェントホストの設定を変更する際は、次のことに注意してください。
Agent Typeなどを変更する場合、「Node Secret Created」のチェックは必ずはずしてOKボタンをクリックする必要がありますが、更にSWANStor サーバのsecuridファイルとsdstatus.12ファイルは必ず削除してください。このほかに、次のいずれかの手順が必要となる場合があります。
- SWANStor サーバのプロセスの再起動
- RSAサーバのAgent Hostを一旦削除した上で再度作成する。
1-4)
ACEサーバのLogモニタを起動する。画面上「Node verification failed」が出ている場合は、3)示した手順でAgentの情報を更新することで解決します。
下がLogモニタ画面の例となります。
2) ログイン
次の手順でログイン作業を行います。
ア) SWANStor ゲートウエイPortal に接続してサーバ名を入力。
イ) ログイン名、パスワードを入力。
ログイン名はRSA ACE/Server で登録したユーザ名です。
パスワードはそのユーザに登録したPINとそのユーザに振り割ったトークンに表示しているコードを合わせたもを入力します。Ace/ServerではPasscodeと呼ばれます(PIN、Passcodeの詳細はAce/Serverの取り扱い説明書をご覧ください)。
例:
サーバ名: swanstorserver
ログイン名: 5440
パスワード(Passcode): 1234232493 (例では1234がPIN、232493はトークンコードです)
携帯電話でのアクセスは、
ユーザ名:5440@swanstorserver
パスワード(Passcode):1234232493
でログインしてください。
3)New PIN モードの設定
Ace/Serverの設定により、新規ユーザがログインする場合やPIN情報がクリアされたユーザがログインする場合、トークンに表示されているコードをSWANStorのパスワードとして入力してログインすることによって、SWANStor のログイン画面がNew PIN モードに移行します。
*トークンがNew PIN モードに設定されていて、PINがクリアしていない場合には、ユーザは元のPIN と、トークンに現在表示されているトークンコードを組み合わせたPasscodeを入力しなければなりません。
New PINモードの設定には次の2つの種類があります。
(3-1) システム生成
RSA ACE/Serverにて[スタート] > [プログラム] > [RSA ACE/Server] > [Configuration Management] の順にクリックします。次の画面が表示されます。
PIN OptionsのAlphanumeric PINs allowedにだけチェックを入れます。
SWANStor Portal からNew PIN操作に入ると、次の画面が表示されます。
ここで、“変更“ボタンを押すと、次の画面が表示されます。
ここで、先のシステムが作成したPIN+割り当てられたトークンに現在表示されているコードを入力して、“変更“ボタンを押すと認証が完了SWANStorのスタートページ画面に入ります。
(3-2) User生成
RSA ACE/Serverにて[スタート] > [プログラム] > [RSA ACE/Server] > [Configuration Management] の順にクリックします。次の画面が表示されます。
PIN Optionsの User-created PINs requiredにチェックを入れます。
SWANStor Portal からNew PIN操作に入ったら、次の画面が表示されます。
ここで、自分が作成したPINを入力して“変更“ボタンを押して、次の画面が表示されます。
ここで、Passcode(先に作成したPIN+現在表示されているコード)を入力して、“変更“ボタンを押して、Start画面に入ります。
4) Next Tokencodeモードの設定
ログインの試行が連続して(デフォルト値は3回)失敗すると、トークンはネクスト トークンコードモードに設定されます。このモードでは、2つの連続するPasscodeを正しく入力しないと、アクセスが許可されません。
SWANStor Portal からNext Tokencode mode操作に入ったら、次の画面が表示されます。
ここで、先に入力し割り当てられたトークンに表示されたコードの次のコードを入力して、“変更“ボタンを押して、Start画面に入ります。