4

私はプロダクト マネージャーであり、開発者ではないので、私の質問がばかげている場合は優しくしてください。

私は現在、顧客の要件 (実際には 20 のように) に従って、当社のソフトウェアを RSA SecurID と統合しようとしています。記録のために、私はそうしたくありません。私の調査に基づいて、より優れた安価なソリューションが存在しますが、余談になります。

私たちが考えられる問題の 1 つは、Authentication Manager (「AM」) と直接通信できないことです。代わりに、この RSA エージェントを使用して、AM と通信するエージェントにコールを送信する必要があります。エージェントを呼び出すときは、AM と通信するために必要な情報 (証明書、アドレス、AM の最後の状態など) を含む、必要な特定のファイルのファイル パスもフィードします。当社のソフトウェアは共有 SaaS であり、これらすべての顧客ファイルをサーバーのハード ドライブにダンプすることはできません。理想的には、それらはデータベースにある必要がありますが、エージェントはオブジェクトのようにファイルが送信されることを受け入れず、それらが物理ファイル パスにあると想定します。

だから私の質問は:

  • RSA SecurID ソリューションに対して他の誰かが開発しましたか?
  • sdreq、nodesecret などの保存はどのように処理しましたか?
  • 一般に、ファイルがデータベース (.NET) にあるときに、プログラム ファイル パスをフィードする必要がある状況をどのように処理しますか?
4

1 に答える 1

5

SDK を使用する限り、SDTI プロトコルの実装はそれほど難しくありません。RSA の助けが必要です。たとえば、SDK をダウンロードするためだけに有効なライセンスが必要です。この SDKは、テスト用のサーバーを購入したときに入手できます。

トークンをサポートすることは、次のようないくつかの障害モードをサポートすることも意味します。

  • クロック スキューのあるトークン (トークンの再同期)
  • PIN を持たないトークン (PIN の入力を求める必要があります)
  • ユーザーが有効な情報を提供しない場合のすべてのやりとり (例: 新しい PIN が複雑さの要件を満たしていない)

Radius プロトコルを中間ソリューションとして実装することをお勧めします。私が知っている Authentication Manager のすべてのバージョンは、Radius プロトコルも実装しています。これは標準化されており、SecurID 以外のソリューションと連携する可能性があります。これにより、より迅速かつ安価に稼働できるようになります。Radius はネットワーク上での暗号化による保護という点では多少弱いですが、ノードの秘密を扱う必要はありません。

一方、選択した Radius クライアントによっては、高可用性をサポートするためにもう少し作業が必要になる場合があります。

そこにはいくつかの Radius .Net クライアント ライブラリがあり、この SO の質問は良い出発点です。

テスト セットアップには、NTRadPingと、テスト サーバーとして機能するネットワーク ポリシー ロールを備えたサーバー 2008 R2 が含まれます。

于 2013-11-04T13:44:26.193 に答える