Data Domain – Konfigurieren und Aktivieren der Multifaktor-Authentifizierung

Konfigurieren und Aktivieren der Multifaktor-Authentifizierung für DDOS ab 7.5 

Schritte
1. Wählen Sie Administration > Access > Authentication aus.
Die Ansicht Authentifizierung wird angezeigt.
2. Erweitern Sie den Bereich Multifaktor-Authentifizierung.
3. Klicken Sie auf Konfigurieren.
Das Dialogfeld RSA SecurID-Serverauthentifizierung wird angezeigt.
4. Geben Sie die RSA-Konfigurationswerte an:

ein. Geben Sie im Feld Server-URL die RSA-Server-URL an.
b. Geben Sie im Feld Clientschlüssel den RSA-Clientschlüssel an.
c. Geben Sie im Feld Client-ID die RSA-Client-ID an.
d. Ändern Sie im Feld Verbindungs-Timeout ggf. den Wert für das Verbindungs-Timeout.
e. Ändern Sie im Feld Lese-Timeout ggf. den Wert für das Lese-Timeout.
f. Geben Sie im Feld Replikat-URLs optional Replikat-URLs für den RSA-Server an.

5. Klicken Sie auf OK.
6. Klicken Sie auf + Hinzufügen , um das RSA-Serverzertifikat auszuwählen und zum Schutzsystem hinzuzufügen.
7. Klicken Sie auf OK.
8. Klicken Sie auf Aktivieren.
9. Geben Sie die Security Officer-Zugangsdaten an:
a. Geben Sie im Feld Username den Nutzernamen des Security Officer an.
b. Geben Sie im Feld Password das Kennwort des Security Officer an.
10. Klicken Sie auf Weiter.
11. Geben Sie im Feld Password das Kennwort des Systemadministrators an.
12. Klicken Sie auf Fertigstellen.
13. Klicken Sie ggf. auf Edit , um die RSA-Konfigurationswerte zu ändern.

Deaktivieren der Multifaktor-Authentifizierung

Schritte
1. Wählen Sie Administration > Access > Authentication. Die Ansicht „Authentifizierung“ wird angezeigt.
2. Erweitern Sie den Bereich Multifaktor-Authentifizierung.
3. Klicken Sie auf Deaktivieren. Das Dialogfeld RSA SecurID deaktivieren wird angezeigt.
4. Geben Sie die Zugangsdaten des Security Officer an:

ein. Geben Sie im Feld Username den Nutzernamen des Security Officer an.
b. Geben Sie im Feld Password das Kennwort des Security Officer an.
c. Geben Sie im Feld Passcode den RSA-Passcode des Security Officer an.

5. Klicken Sie auf Weiter.
6. Geben Sie die Zugangsdaten des Systemadministrators an:

ein. Geben Sie im Feld Password das Kennwort des Systemadministrators an.
b. Geben Sie im Feld Passcode den RSA-Passcode des Systemadministrators an.

7. Klicken Sie auf Fertig stellen.

 

Konfigurieren und Aktivieren der Multifaktorauthentifizierung für DDMC ab 7.11 

Voraussetzungen
Die Multifaktor-Authentifizierung fügt dem Schutzsystem eine zusätzliche Sicherheitsebene hinzu, indem Nutzer einen RSA SecurID-Passcode eingeben müssen, bevor sie sich beim System anmelden können. Im Bereich Multifaktor-Authentifizierung kann der Nutzer die Multifaktor-Authentifizierung konfigurieren, aktivieren, bearbeiten und deaktivieren. Nur AdministratorInnen können MFA in DDMC konfigurieren und müssen dabei immer das Kennwort des Systemadministrators eingeben.

Fügen Sie vor der Konfiguration von MFA die Nutzer des Schutzsystems zu RSA Authentication Manager hinzu.
Es gelten die folgenden DD-spezifischen Anforderungen:
● Fügen Sie für lokale, NIS- oder AD-Nutzer den Nutzer zuerst zur internen RSA-Datenbank hinzu.
● Für LDAP-Benutzer:

○ Fügen Sie die externe Identifizierungsquelle zur RSA Operation Console hinzu.
○ Verknüpfen Sie die externe Identitätsquelle in der RSA Security Console.
○ Vor der Aktivierung von MFA ist ein Troubleshooting-Nutzer erforderlich. Der Troubleshooting-Nutzer kann sich bei DDMC anmelden, um das System zu bearbeiten oder zurückzusetzen. Diese Rolle hat keinen Passcode und führt keine anderen Funktionen aus.

● Erstellen Sie eine eindeutige Nutzer-ID für alle NutzerInnen in RSA Manager, bevor Sie MFA konfigurieren:

○ Erstellen Sie für lokale Nutzer die Nutzer-ID im Format <DDMC-Nutzername>@<DDMC-Seriennummer>.
HINWEIS: Führen Sie den Befehl system show serialno aus, um die Seriennummer des Systems abzurufen.
○ Hängen Sie die Seriennummer des Systems nicht an die Benutzer-IDs für AD- oder NIS-Benutzer an.
○ In Bezug auf Berechtigungen können nur Admin und Admin- XYA.

Informationen zu diesem Vorgang
MFA für die Anmeldung wird nur für die Anmeldung mit Nutzername und Kennwort über die Benutzeroberfläche unterstützt. Sie wird für SSH-, zertifikat- oder tokenbasierte Anmeldungen nicht unterstützt. RSA SecurID ist der einzige unterstützte MFA-Server.
HINWEIS: Für eine erfolgreiche Authentifizierung lokaler Nutzer muss der entsprechende Nutzer auf dem RSA SecurID-Server mit der ID username@serial-Nummer angelegt werden. Der Nutzername ist der Name des lokalen Nutzers.
Um sicherzustellen, dass Backupanwendungen ohne Passcode auf das System zugreifen können, bietet MFA für die Anmeldung eine Option zum Deaktivieren der MFA nur für den sysadmin-Nutzer.

Schritte
1. Wählen Sie das Zahnradsymbol >EinstellungenMultifaktor-Authentifizierung aus.
Die Ansicht Authentifizierung wird angezeigt.
2. Klicken Sie auf Konfigurieren.
Das Dialogfeld RSA SecurID-Serverauthentifizierung wird angezeigt.
3. Geben Sie die RSA-Konfigurationswerte an:

RSA SecurID-Serverkonfigurationswerte

Artikel	Beschreibung
Server-URL	Geben Sie die RSA-Server-URL an.
Schnittstelle	Geben Sie die Portnummer an.
Client-ID	Geben Sie den Authentifizierungs-Agent für die RSA-Client-ID an.
Clientschlüssel	Geben Sie den RSA-Clientschlüssel an. (Dies kann auch als Zugriffsschlüssel in der RSA-Authentifizierungs-API bezeichnet werden.)
Abfallzeit	Optional können Sie den Wert für das Verbindungs-Timeout ändern.
Lese-Timeout	Optional können Sie den Wert für das Lese-Timeout ändern.
Replikat-URLs	Geben Sie optional alle Replikat-URLs für den RSA-Server an.

4. Klicken Sie auf OK.
5. Klicken Sie auf + Hinzufügen , um das RSA-Serverzertifikat auszuwählen und zum Schutzsystem hinzuzufügen.
6. Klicken Sie auf OK.
7. Klicken Sie auf Aktivieren.
8. Geben Sie die Security Officer-Zugangsdaten an:
a. Geben Sie im Feld Username den Nutzernamen des Security Officer an.
b. Geben Sie im Feld Password das Kennwort des Security Officer an.
9. Klicken Sie auf Weiter.
10. Geben Sie im Feld Password das Kennwort des Systemadministrators an.
11. Klicken Sie auf Fertigstellen.
12. Testen Sie die Verbindung zum RSA SecurID-Server: Klicken Sie auf Test Connection.
ANMERKUNG: Das Testen der Verbindung ist für MFA für die Anmeldung obligatorisch. Wenn die Verbindung nicht getestet wird, können sich sysadmin- und Security Officer-Nutzer nicht beim System anmelden. Das Testen der Verbindung für andere Nutzer wird empfohlen, ist jedoch nicht erforderlich.

DDMC-Nutzerberechtigungen

Rolle	Berechtigung
Sysadmin (höchste DDMC-Administratorrolle)	Kann Passcodes für alle Nutzer und alle Administratoren testen.
Admin	Kann den eigenen Passcode und alle unten aufgeführten Nutzer testen.
Eingeschränkte Administratorrechte	Kann den eigenen Passcode und alle Nutzer testen.
user	Kann nur den eigenen Passcode testen.

13. Dell Technologies empfiehlt die Erstellung eines/einer MFA-Troubleshooting-NutzerIn für Situationen, in denen der RSA-Passcode nicht funktioniert. Der Zugriff auf das System ist erforderlich, um MFR zu deaktivieren oder Schritte zur Fehlerbehebung durchzuführen.
14. Klicken Sie ggf. auf Edit , um die RSA-Konfigurationswerte zu ändern.

ANMERKUNG: Wenn das System erkennt, dass MFA auf einem der Systeme, aber nicht in DDMC aktiviert ist, wird ein Warnbanner angezeigt. Wenn MFA auf einem oder mehreren verwalteten Systemen aktiviert ist, muss MFA auch in DDMC aktiviert sein. Andernfalls sind bestimmte Funktionen im Zusammenhang mit der DD-Konfiguration nicht verfügbar.

Deaktivieren der Multifaktor-Authentifizierung
Schritte
1. Wählen Sie Administration > Access > Authentication aus.
Die Ansicht Authentifizierung wird angezeigt.
2. Erweitern Sie den Bereich Multifaktor-Authentifizierung.
3. Klicken Sie auf Deaktivieren.
Das Dialogfeld RSA SecurID deaktivieren wird angezeigt.
4. Geben Sie die Zugangsdaten des Security Officer an: 5. Klicken Sie auf Weiter.
6. Geben Sie die Zugangsdaten des Systemadministrators an: 7. Klicken Sie auf Fertigstellen.
ANMERKUNG: Ein sysadmin-Kennwort ist erforderlich, um MFA zu deaktivieren.