安盟认证代理Windows版V5.5

安装

安盟  ACE/Agent   5.5  Windows版支持Windows 2000/XP/2003操作系统的本地保护

（LOCAL）和远程访问（RAS）保护。管理员可以通过配置使用安盟    ACE/Agent  5.5

Windows版来对访问本地桌面计算机、通过路由和远程访问服务器（  RRAS）或者通过

Windows 平台的Internet  Authentication Server (IAS)  访问网络的用户认证。

安盟  ACE/Agent   5.5  Windows版不支持下述认证：

z

Web访问

z  网络访问

.

注意：不要将安盟  ACE/Agent 5.5   Windows版安装在已经安装了安盟    ACE/Agent 4.x或

者新一点版本的启用了网络保护或者   Web保护功能，并且想继续使用这些功能的

Windows平台上。安装安盟   ACE/Agent 5.5   Windows版只能实现本地保护（ LOCAL）

和远程访问（RAS）保护。

配置

当你使用  Am   Security  EAP来配置远程用户的客户端时，在属性栏选择高级安全设置按

钮，从下拉菜单中选择   Am Security EAP。

认证

如果通过Am   Security  EAP (Extensible   Authentication  Protocol)进行认证，但是安盟认证

服务器ACE/Server不接受用户的新PIN码，同时又没有新PIN码被拒绝或接受的信息，

或者只有拒绝访问这条信息。在这种情况下，你应该检查安盟    ACE/Server新PIN是被

©2004 安盟 版权所有

Part #2525

安盟认证代理  V5.5自述文件

接受还是被拒绝。这个版本不允许采用   Am Security  EAP进行组保护。另外，只有下述

情况可以进行本地或者远程拨号访问认证：

z  本地计算机上Security  Accounts    Manager组的用户，包括

−  本地组的所有用户

−  在一个本地组内的域全局组所有用户

z  一个域内用户登录的域本地组包括：

−  本地组的所有用户

−  在一个本地组内的域全局组所有用户

z  一个域内用户登录的域全局组，包括所有域用户。

不支持域信任组。

安盟建议用户测试所有组环境来确定可以正确使用安盟    SecurID。

安盟建议用户启用预留口令来设置本地保护认证，以确保在网络出现问题时不至于无

法进入系统。

在Windows XP  机器上，如果你配置本地保护认证时选用“用户位于”或者“所有用

户除了”可能会导致在重新启动计算机时所有用户进入系统时要求进行认证，这是由

于安盟  ACE/Agent  5.5 从Windows XP 获取组信息延迟造成的。非采用安盟   SecurID

认证的用户可以采取下属步骤：

1.  在安盟  SecurID认证窗口上点击取消，然后在访问拒绝的窗口上点击确定。

2.  重新登录，第二次用户可以按   Windows方式登陆。

安盟认证代理Web客户端V5.5

本文包含安盟认证代理 Web客户端 V5.5的最新信息。

安盟认证代理   Web客户端自述文件包含下列部分：

•   产品文挡

•   技术要点

•

Windows  平台须知

•   技术支持信息

注：如需其它更多关于浏览器、无线设备和多域环境的设置，请参见“安盟 Web认证代理   ACE/

Web Agent 5.5安装和配置手册”的“故障排除”章节的“第三方软件须知”和“多域配置”。

产品文挡

以下文件包含在安盟认证代理目录下：

z  安盟认证代理   Web安装配置手册

©2004 安盟 版权所有

Part #2525

安盟认证代理  V5.5自述文件

技术要点

•

Windows 2003平台

如果启动   Microsoft   Outlook    Web  Access   (OWA)单点登录，注意用户不会得到修改

Windows口令的提示，即使您设定“下次登录修改口令”。单点登录起用后，用户访问基于

WEB 的应用时仅通过安盟   SecurID 的身份认证，而通常情况下需要通过  Windows登录。

•

Windows 2000.  平台

由于安盟   WEB认证代理与其它合法代理软件共享文件，因此安装程序将下列文件保存

在%SystemRoot%\System32\目录下：

o

o

o

o

o

o

o

o

o

aceclnt.dll

Amcookieapi.dll

sdagentrt.dll

sdconf.rec

sdcontrl.cpl

sdcontrl_sdmmc.cpl

sdmsg.dll

sdtest.exe

sdui.dll

此外，安装程序将  088cb90e-206b-49f5-a285-e7c42c101c85    保存在：

%SystemRoot%\System32\Microsoft\Protect\S-1-5-18\   目录。

和一个   Windows标准安装程序，如%SystemRoot%\Installer\492c033.msi    。

•   所有   Windows平台

如果您在不同域设置多服务器身份认证，必须同步跨域的   Web  服务器时间。否则，如

果时间不同情况出现  3次，系统将拒绝认证

如果起用事件日志跟踪（保存于  Event   Log 文件），必须做如下的配置以保证日志

文件不超过最大容量限制。方法：

1、在事件浏览器（   Event Viewer）中，右键点开“ Application Log”，选择“属性”

（Properties）。

2、在常用选项页，在日志大小栏目选择“根据需要覆盖”。

如果设置日志记录或跟踪，应将日志文件的指向系统根目录之外防止潜在的锁定。操

作如下：

1、编辑系统注册表，打开      HKEY_LOCAL_MACHINE   >     SOFTWARE  >

SDTI >   ACECLIENT.

2、在右边的面板中，右键点开并选择   New >   String  Value。

3、重命名  TraceFile的值并双击弹出编辑对话框。

4、在  Value  data栏，输入包含路径的完整日志文件名称，点击确认。系统

在第一次使用时会自动生成日志文件。

©2004 安盟 版权所有

Part #2525

安盟认证代理  V5.5自述文件

Windows   平台须知

•   所有   Windows平台

在   POST 操作数据时，如果 web访问认证  cookies 过期，POST 操作会被口令输入提示页面

中断。

解决办法：在所有环境中，在虚拟   web服务器上设置  web访问认证   cookies的选项为“Cookies

Expire If Not   Used  Within the Specified Time”。在 COM/ASP 环境，可以采用   ASP的  session 变量

取代在表单中使用  POST 方法传输数据。

当安盟   web认证代理配置微软代理服务器  (Microsoft  Proxy    Server)时，Web访问认证组件的

“Prevent   Caching  of Protected  Pages on    Clients”和“Cookies  Expired if    Not Used  Within the

Specified Time”无效。

•   所有   Windows平台；Netscape  7.1

当在   web 访问认证的属性栏中，不选择“Prevent  Caching of Protected Pages  on Clients”时，

web页面仍然不能被缓存，这是   Netscape 7.1的问题，目前不能解决。

•

Windows2003、IIS6.0 平台

在   web访问认证属性中关闭“Disable   IIS Server if Agent Fails to Load”选项，那么当 web  代

理的动态连接库不能在  web 服务启动时正确启动，   IIS 拒绝任何对 web  服务器的访问直到

web 代理的动态连接库正常启动或  web访问代理关闭。

解决办法：在   web访问认证属性中打开“  Disable  IIS Server if Agent Fails to Load”选项。

•

Windows 2000平台

如果   Windows2000 中使用活动目录服务，在 web访问认证属性中“  Enable   Group  Security”

属性设置不起作用。

解决办法：

1、在代理主机的每个虚拟   web服务器上启用域    cookies.

2、在代理主机的每个虚拟   web服务器导入相同的域密文，以确保使用域    cookies 的相同代

理主机的虚拟主机使用相同的密文。

注意：确保没有两台代理主机使用同一域密文，否则它们都无法访问。

3、设置分离的安盟   ACE/Server  数据库。明确每台代理主机使用哪一个数据库响应各自的

认证请求。

4、在服务器数据库中为每个组建立纪录，在用户的站点上为每个组分配特定的服务器。否

则服务器会拒绝认证。

5、如果特定组内用户访问多个代理主机，请确保在步骤   4中已经设定的信息被正确传递到

各个代理主机。

以上设置表示：一个组可以被严格限定访问被保护的代理主机上的虚拟  web服务器。他们

的浏览器接受到的域 cookies 不能被其它代理主机采用，除非这些代理主机采用同一认证服务

器并且这些代理主机使用同样的域密文。