安盟身份认证系统代理客户端

安盟认证代理Windows版V5.5

安装

安盟  ACE/Agent   5.5  Windows版支持Windows 2000/XP/2003操作系统的本地保护

LOCAL)和远程访问(RAS)保护。管理员可以通过配置使用安盟    ACE/Agent  5.5

Windows版来对访问本地桌面计算机、通过路由和远程访问服务器(  RRAS)或者通过

Windows 平台的Internet  Authentication Server (IAS)  访问网络的用户认证。

安盟  ACE/Agent   5.5  Windows版不支持下述认证:

z

Web访问

网络访问

.

注意:不要将安盟  ACE/Agent 5.5   Windows版安装在已经安装了安盟    ACE/Agent 4.x

者新一点版本的启用了网络保护或者   Web保护功能,并且想继续使用这些功能的

Windows平台上。安装安盟   ACE/Agent 5.5   Windows版只能实现本地保护( LOCAL

和远程访问(RAS)保护。

配置

当你使用  Am   Security  EAP来配置远程用户的客户端时,在属性栏选择高级安全设置按

钮,从下拉菜单中选择   Am Security EAP

认证

如果通过Am   Security  EAP (Extensible   Authentication  Protocol)进行认证,但是安盟认证

服务器ACE/Server不接受用户的新PIN码,同时又没有新PIN码被拒绝或接受的信息,

或者只有拒绝访问这条信息。在这种情况下,你应该检查安盟    ACE/ServerPIN是被

©2004 安盟 版权所有

Part #2525


 

安盟认证代理  V5.5自述文件

接受还是被拒绝。这个版本不允许采用   Am Security  EAP进行组保护。另外,只有下述

情况可以进行本地或者远程拨号访问认证:

本地计算机上Security  Accounts    Manager组的用户,包括

 本地组的所有用户

 在一个本地组内的域全局组所有用户

一个域内用户登录的域本地组包括:

 本地组的所有用户

 在一个本地组内的域全局组所有用户

一个域内用户登录的域全局组,包括所有域用户。

不支持域信任组。

安盟建议用户测试所有组环境来确定可以正确使用安盟    SecurID

安盟建议用户启用预留口令来设置本地保护认证,以确保在网络出现问题时不至于无

法进入系统。

Windows XP  机器上,如果你配置本地保护认证时选用“用户位于”或者“所有用

户除了”可能会导致在重新启动计算机时所有用户进入系统时要求进行认证,这是由

于安盟  ACE/Agent  5.5 Windows XP 获取组信息延迟造成的。非采用安盟   SecurID

认证的用户可以采取下属步骤:

1.  在安盟  SecurID认证窗口上点击取消,然后在访问拒绝的窗口上点击确定。

2.  重新登录,第二次用户可以按   Windows方式登陆。

安盟认证代理Web客户端V5.5

本文包含安盟认证代理 Web客户端 V5.5的最新信息。

安盟认证代理   Web客户端自述文件包含下列部分:

•   产品文挡

•   技术要点

Windows  平台须知

•   技术支持信息

注:如需其它更多关于浏览器、无线设备和多域环境的设置,请参见“安盟 Web认证代理   ACE/

Web Agent 5.5安装和配置手册”的“故障排除”章节的“第三方软件须知”和“多域配置”。

产品文挡

以下文件包含在安盟认证代理目录下:

安盟认证代理   Web安装配置手册

©2004 安盟 版权所有

Part #2525


 

安盟认证代理  V5.5自述文件

技术要点

Windows 2003平台

如果启动   Microsoft   Outlook    Web  Access   (OWA)单点登录,注意用户不会得到修改

Windows口令的提示,即使您设定“下次登录修改口令”。单点登录起用后,用户访问基于

WEB 的应用时仅通过安盟   SecurID 的身份认证,而通常情况下需要通过  Windows登录。

Windows 2000.  平台

由于安盟   WEB认证代理与其它合法代理软件共享文件,因此安装程序将下列文件保存

%SystemRoot%\System32\目录下:

o

o

o

o

o

o

o

o

o

aceclnt.dll

Amcookieapi.dll

sdagentrt.dll

sdconf.rec

sdcontrl.cpl

sdcontrl_sdmmc.cpl

sdmsg.dll

sdtest.exe

sdui.dll

此外,安装程序将  088cb90e-206b-49f5-a285-e7c42c101c85    保存在:

%SystemRoot%\System32\Microsoft\Protect\S-1-5-18\   目录。

和一个   Windows标准安装程序,如%SystemRoot%\Installer\492c033.msi    

•   所有   Windows平台

如果您在不同域设置多服务器身份认证,必须同步跨域的   Web  服务器时间。否则,如

果时间不同情况出现  3次,系统将拒绝认证

如果起用事件日志跟踪(保存于  Event   Log 文件),必须做如下的配置以保证日志

文件不超过最大容量限制。方法:

1、在事件浏览器(   Event Viewer)中,右键点开“ Application Log,选择“属性”

Properties)。

2、在常用选项页,在日志大小栏目选择“根据需要覆盖”。

如果设置日志记录或跟踪,应将日志文件的指向系统根目录之外防止潜在的锁定。操

作如下:

1、编辑系统注册表,打开      HKEY_LOCAL_MACHINE   >     SOFTWARE  >

SDTI >   ACECLIENT.

2、在右边的面板中,右键点开并选择   New >   String  Value

3、重命名  TraceFile的值并双击弹出编辑对话框。

4、在  Value  data栏,输入包含路径的完整日志文件名称,点击确认。系统

在第一次使用时会自动生成日志文件。

©2004 安盟 版权所有

Part #2525


 

安盟认证代理  V5.5自述文件

Windows   平台须知

•   所有   Windows平台

在   POST 操作数据时,如果 web访问认证  cookies 过期,POST 操作会被口令输入提示页面

中断。

解决办法:在所有环境中,在虚拟   web服务器上设置  web访问认证   cookies的选项为“Cookies

Expire If Not   Used  Within the Specified Time。在 COM/ASP 环境,可以采用   ASP的  session 变量

取代在表单中使用  POST 方法传输数据。

当安盟   web认证代理配置微软代理服务器  (Microsoft  Proxy    Server)时,Web访问认证组件的

Prevent   Caching  of Protected  Pages on    Clients和“Cookies  Expired if    Not Used  Within the

Specified Time无效。

•   所有   Windows平台;Netscape  7.1

当在   web 访问认证的属性栏中,不选择“Prevent  Caching of Protected Pages  on Clients时,

web页面仍然不能被缓存,这是   Netscape 7.1的问题,目前不能解决。

Windows2003IIS6.0 平台

在   web访问认证属性中关闭“Disable   IIS Server if Agent Fails to Load选项,那么当 web  

理的动态连接库不能在  web 服务启动时正确启动,   IIS 拒绝任何对 web  服务器的访问直到

web 代理的动态连接库正常启动或  web访问代理关闭。

解决办法:在   web访问认证属性中打开“  Disable  IIS Server if Agent Fails to Load选项。

Windows 2000平台

如果   Windows2000 中使用活动目录服务,在 web访问认证属性中“  Enable   Group  Security

属性设置不起作用。

解决办法:

1、在代理主机的每个虚拟   web服务器上启用域    cookies.

2、在代理主机的每个虚拟   web服务器导入相同的域密文,以确保使用域    cookies 的相同代

理主机的虚拟主机使用相同的密文。

注意:确保没有两台代理主机使用同一域密文,否则它们都无法访问。

3、设置分离的安盟   ACE/Server  数据库。明确每台代理主机使用哪一个数据库响应各自的

认证请求。

4、在服务器数据库中为每个组建立纪录,在用户的站点上为每个组分配特定的服务器。否

则服务器会拒绝认证。

5、如果特定组内用户访问多个代理主机,请确保在步骤   4中已经设定的信息被正确传递到

各个代理主机。

以上设置表示:一个组可以被严格限定访问被保护的代理主机上的虚拟  web服务器。他们

的浏览器接受到的域 cookies 不能被其它代理主机采用,除非这些代理主机采用同一认证服务

器并且这些代理主机使用同样的域密文。


本网站由阿里云提供云计算及安全服务 Powered by CloudDream