RSA

作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.

RSA SecurID 6.1 Linux Agent (RSA Authentication Agent 5.3.4 for PAM) 配置手册

前言：

身份认证是信息安全的基础。如何证明身份有很多种方法，常见的身份认证手段就是密码，但是密码一般都是静态的。当密码泄露或传播后，就有可能导致基于密码身份认证方式的无效。从而引发各种安全风险，比如非法授权，越权，帐户生存周期不可控，审计结果虚假或无意义等等。因此，出现了采用动态密码的强身份认证技术，双因素认证体系。

RSA 公司介绍：

RSA是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。

RSA 以信息为中心的安全保护做法能够在信息的整个生命周期中保护其完整性和机密性，不管信息移动到哪里，被谁访问，如何使用。RSA 在以下领域中提供了业界领先的解决方案：身份保证和访问控制、加密和密钥管理、法规遵从性和安全信息管理，以及欺诈保护。

2006年9月，RSA Security被EMC公司（1979年成立）收购，成为RSA，EMC安全事业部。收购RSA的同时，EMC还收购了Network Intelligence，为RSA带来了行业领先的信息安全和事件管理（SIEM）解决方案，并将其整合到RSA事业部。

RSA 双因素认证原理：

电子令牌，内置了电池和芯片，电池一般可用2-3年。芯片与RSA认证服务器采取同一种算法，并且与UTC时间相关联。电子令牌是通过种子文件（Token File，XML文件格式）导入到RSA认证服务器中，在同一个标准时间，令牌所显示的数字与RSA认证服务器所计算出来的数字是一致的。

电子令牌第一次使用，需要用户自己来创建一个属于自己的静态密码，称之为PIN码，PIN码会在RSA认证服务器上加密保存。当用户创建PIN码后，认证的最终过程为：用户的PIN码 + 电子令牌显示的动态密码。

这就是双因素的定义：你知道什么？+ 你拥有什么？ = 你是谁！

RSA SecurID 6.1 Linux Agent 配置：

RSA Authentication Manager 6.1 可以安装在 Windows / Linux / UNIX 平台. 本文主要是配置安装 Linux 32bit/64bit 平台的 RSA Authentication Agent 5.3.4 for PAM. 关于 RSA Authentication Manager 6.1 服务器端的安装. 有兴趣可以关注 Reistlin.Com 后续文章.

1, 安装环境说明:

RSA Authentication Agent 支持众多 Linux 发行版: Redhat, Centos, Debian

这里我以 Red Hat Enterprise Linux AS release 4 (Nahant Update 7) 举例

openssh 版本必须 5.0p1 或更新, 推荐版本 [openssh-5.4p1.tar.gz]

openssl 版本必须 0.96 或更新, 推荐版本 [openssl-0.9.8n.tar.gz]

zlib 版本必须 1.2.1 或更新, 推荐版本 [zlib-1.2.4.tar.gz]

2, 检查安装环境:

操作系统:

uname -a Linux redhat.localdomain 2.6.9-78.EL #1 Wed Jul 9 15:27:01 EDT 2008 i686 i686 i386 GNU/Linux

openssh 版本:

ssh -V
OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003

openssl 版本:

openssl version -a
OpenSSL 0.9.7a Feb 19 2003
built on: Mon Oct 22 05:08:11 EDT 2007
platform: linux-elf
options: bn(64,32) md2(int) rc4(idx,int) des(ptr,risc1,16,long) blowfish(idx)
compiler: gcc -fPIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DOPENSSL_NO_IDEA -DOPENSSL_NO_MDC2 -DOPENSSL_NO_RC5 -DOPENSSL_NO_EC -I/usr/kerberos/include -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -m32 -march=i686 -mtune=pentium4 -Wa,–noexecstack -DSHA1_ASM -DMD5_ASM -DRMD160_ASM
OPENSSLDIR: “/usr/share/ssl”
注意: OPENSSLDIR 在升级 openssh 编译参数中需要引用

3, 升级 openssh (如果 openssh 版本不是 5.0p1+, 需要升级)

升级指引: [ http://www.reistlin.com/blog/1122 ]

4, 安装 RSA Authentication Agent 5.3.4 for PAM

# 解压缩 AuthenticationAgent_534_PAM_263_030608.tar
tar xvf AuthenticationAgent_534_PAM_263_030608.tar

# 执行 RSA Linux Agent 安装脚本
./install_pam.sh

# 安装信息
ARE YOU A CUSTOMER ORDERING THIS RSA PRODUCT FROM RSA SECURITY INC., FROM EITHER NORTH AMERICA, SOUTH AMERICA OR THE PEOPLE’S REPUBLIC OF CHINA (EXCLUDING HONG KONG): (y/n) Y

# 许可信息
LICENSE AGREEMENT

*****************************************************
If Customer accepts the above License Terms and Conditions, please enter “A” for Accept. By selecting this acceptance option, Customer agrees to be bound by such License Terms and Conditions stated abo
ve.

If Customer does not choose to be bound by the above License Terms and Conditions, please enter “D” for Decline and the installation procedure will terminate immediately. Please contact the party Custo
mer purchased this license from for refund and return information relating to the non-acceptance of the License Terms and Conditions.

*****************************************************

# 同意 License 信息
Do you accept the License Terms and Conditions stated above? (Accept/Decline) [D] A

# sdconf.rec 文件路径 (默认)
Enter Directory where sdconf.rec is located [/var/ace]

# RSA Authentication Agent 安装路径 (默认)
Please enter the root path for the RSA Authentication Agent for PAM directory [/opt]

# 开始安装
The RSA Authentication Agent for PAM will be installed in the /opt directory.
pam/
pam/doc/
pam/doc/PAMAgent.pdf
pam/lib/
pam/lib/pam_securid.so
pam/bin/
pam/bin/acestatus
pam/bin/acetest
\nChecking /etc/sd_pam.conf:\n
VAR_ACE does not exist – entry will be appended
ENABLE_GROUP_SUPPORT does not exist – entry will be appended
INCL_EXCL_GROUPS does not exist – entry will be appended
LIST_OF_GROUPS does not exist – entry will be appended
AUTH_CHALLENGE_USERNAME_STR does not exist – entry will be appended
AUTH_CHALLENGE_RESERVE_REQUEST_STR does not exist – entry will be appended
AUTH_CHALLENGE_PASSCODE_STR does not exist – entry will be appended
AUTH_CHALLENGE_PASSWORD_STR does not exist – entry will be appended

*************************************************************
* You have successfully installed RSA Authentication Agent 5.3 for PAM
*************************************************************

附注：关于 RSA SecurID 的后续设置工作的文档，我会继续完善，有兴趣深入了解的请联系我：Reistlin.Com。