Data Domain – Konfigurera och aktivera flerfaktorautentisering
Summary: Multifaktorautentisering introducerades i DDOS 7.5 och DDMC i 7.11 och lägger till ett extra säkerhetslager i skyddssystemet. Det kräver att säkerhetsansvarig och systemadministratör anger ett RSA SecurID-lösenord innan vissa destruktiva kommandon eller konfigurationsändringar tillåts. Panelen Multifaktorautentisering låter användaren konfigurera, aktivera och inaktivera multifaktorautentisering. ...
Instructions
Konfigurera och aktivera flerfaktorautentisering för DDOS från 7.5
Trappsteg
1. Välj Autentisering av administrationsåtkomst >> .
Vyn Autentisering visas.
2. Expandera panelen Multi-Factor Authentication.
3. Klicka på Konfigurera.
Dialogrutan RSA SecurID Server Authentication visas.
4. Ange RSA-konfigurationsvärdena:
a. I fältet Server-URL anger du RSA-serverns URL.
b. I fältet Klientnyckel anger du RSA-klientnyckeln.
c. I fältet Klient-ID anger du RSA-klient-ID.
d. I fältet Tidsgräns för anslutning kan du ändra värdet för anslutningens tidsgräns.
e. I fältet Tidsgräns för läsning kan du ändra värdet för Tidsgräns för läsning.
f. I fältet Replik-URL:er kan du välja att ange eventuella replik-URL:er för RSA-servern.
5. Klicka på OK.
6. Klicka på + Lägg till för att välja och lägga till RSA-servercertifikatet i skyddssystemet.
7. Klicka på OK.
8. Klicka på Aktivera.
9. Ange säkerhetsansvarigas inloggningsuppgifter:
a. I fältet Användarnamn anger du säkerhetstjänstemannens användarnamn.
b. I fältet Lösenord anger du lösenordet
till säkerhetsansvarig.10. Klicka på Nästa.
11. I fältet Password anger du sysadmin-lösenordet.
12. Klicka på Slutför.
13. Om det behövs klickar du på Edit för att ändra RSA-konfigurationsvärdena.
Avaktivera multifaktorautentisering
Trappsteg
1. Välj Autentisering av administrationsåtkomst >>. Vyn Autentisering visas.
2. Expandera panelen Multifaktorautentisering.
3. Klicka på Inaktivera. Dialogrutan Disable RSA SecurID visas.
4. Ange inloggningsuppgifter som säkerhetsansvarig:
a. I fältet Användarnamn anger du säkerhetstjänstemannens användarnamn.
b. I fältet Lösenord anger du lösenordet
till säkerhetsansvarig.c. I fältet Lösenord anger du RSA-lösenkoden för säkerhetsansvarig.
5. Klicka på Nästa.
6. Ange sysadmin-inloggningsuppgifterna:
a. I fältet Password anger du sysadmin-lösenordet.
b. I fältet Lösenord anger du sysadmin RSA-lösenkoden.
7. Klicka på Slutför.
Konfigurera och aktivera flerfaktorautentisering för DDMC från och med 7.11
Förutsättningar
Multifaktorautentisering lägger till ett extra lager av säkerhet i skyddssystemet genom att kräva att användarna anger ett RSA SecurID-lösenord innan de loggar in i systemet. Panelen Multifaktorautentisering låter användaren konfigurera, aktivera, redigera och inaktivera multifaktorautentisering. Endast administratörer kan konfigurera MFA på DDMC och måste alltid kräva systemadministratörens lösenord när de gör det.
Innan du konfigurerar MFA lägger du till skyddssystemanvändarna i RSA Authentication Manager.
Följande DD-specifika krav gäller:
● För lokala användare, NIS- eller AD-användare lägger du först till användaren i den interna RSA-databasen.
● För LDAP-användare:
○ Lägg till den externa identifieringskällan i RSA Operation Console.
○ Länka den externa identitetskällan i RSA-säkerhetskonsolen.
○ En felsökningsanvändare krävs innan MFA aktiveras. Felsökningsanvändaren kan logga in på DDMC för att redigera eller återställa systemet. Den här rollen har inget lösenord och utför inga andra funktioner.
● Skapa ett unikt användar-ID för varje användare n RSA Manager innan du konfigurerar MFA:
○ För lokala användare, skapa användar-ID i formatet <DDMC username>@<DDMC serienummer>.
NOTERA: Kör kommandot system show serialno för att få systemets serienummer.
○ Lägg inte till systemets serienummer till användar-ID:n för AD- eller NIS-användare.
○ När det gäller behörigheter kan endast Admin och Admin- XYA.
Om denna uppgift
MFA för inloggning stöds endast för inloggning med användarnamn och lösenord från användargränssnittet. Det stöds inte för SSH, certifikat eller tokenbaserad inloggning. RSA SecurID är den enda MFA-servern som stöds.
NOTERA: För lyckad autentisering av lokala användare måste motsvarande användare skapas i RSA SecurID-servern med ID username@serial-nummer. Användarnamnet är namnet på den lokala användaren.
För att säkerställa att säkerhetskopieringsprogram kan komma åt systemet utan lösenord ger MFA för inloggning ett alternativ för att inaktivera MFA endast för sysadmin-användaren.
Trappsteg
1. Välj kugghjulsikonen >Inställningar Multifaktorautentisering.
Vyn Autentisering visas.
2. Klicka på Konfigurera.
Dialogrutan RSA SecurID Server Authentication visas.
3. Ange RSA-konfigurationsvärden:
RSA SecurID Serverkonfigurationsvärden
| Objekt | Beskrivning |
| Server-URL | Ange URL-adressen för RSA-servern. |
| Port | Ange portnummer. |
| Klient-ID | Ange autentiseringsagent för RSA-klient-ID. |
| Klientnyckel | Ange RSA-klientnyckeln. (Detta kan även kallas inloggningsnyckel i API:t för RSA-autentisering.) |
| Tidsgräns för anslutning | Du kan också ändra tidsgränsvärdet för anslutningen. |
| Tidsgräns för läsning | Du kan också ändra tidsgränsvärdet för läsning. |
| Replik-URL:er | Du kan också ange eventuella replik-URL:er för RSA-servern. |
4. Klicka på OK.
5. Klicka på + Lägg till för att välja och lägga till RSA-servercertifikatet i skyddssystemet.
6. Klicka på OK.
7. Klicka på Aktivera.
8. Ange säkerhetsansvarigas inloggningsuppgifter:
a. I fältet Användarnamn anger du säkerhetstjänstemannens användarnamn.
b. I fältet Lösenord anger du lösenordet
till säkerhetsansvarig.9. Klicka på Nästa.
10. I fältet Password anger du sysadmin-lösenordet.
11. Klicka på Slutför.
12. Testa anslutningen till RSA SecurID-servern: Klicka på Testa anslutning.
NOT: Testning av anslutningen är obligatoriskt för MFA för inloggning. Om anslutningen inte testas kan användare av systemadministratörer och säkerhetsansvariga inte logga in i systemet. Att testa anslutningen för andra användare rekommenderas men är inget krav.
DDMC-användarbehörigheter
| Roll | Tillåtelse |
| Sysadmin (högsta DDMC-administratörsrollen) | Kan testa lösenord för alla användare och alla administratörer. |
| Admin | Kan testa sitt eget lösenord och alla användare nedan. |
| Begränsad administration | Kan testa sitt eget lösenord och alla användare. |
| användare | Kan bara testa sitt eget lösenord. |
b. I fältet Användarnamn anger du det användarnamn som ska testas.
c. I fältet Lösenord anger du sysadmin RSA-lösenkoden.
d. Klicka på OK.
14. Om det behövs klickar du på Edit för att ändra RSA-konfigurationsvärdena.
NOT: Om systemet upptäcker att MFA är aktiverat på något av systemen, men inte är aktiverat på DDMC, visas en varningsbanderoll. Om MFA är aktiverat på ett eller flera hanterade system måste MFA också aktiveras på DDMC. Annars är vissa funktioner relaterade till DD-konfigurationen inte tillgängliga.
Avaktivera multifaktorautentisering
Steg
1. Välj Autentisering av administrationsåtkomst >>.
Vyn Autentisering visas.
2. Expandera panelen Multifaktorautentisering.
3. Klicka på Inaktivera.
Dialogrutan Disable RSA SecurID visas.
4. Ange inloggningsuppgifter som säkerhetsansvarig:
b. I fältet Lösenord anger du lösenordet
till säkerhetsansvarig.c. I fältet Lösenord anger du RSA-lösenkoden för säkerhetsansvarig.
6. Ange sysadmin-inloggningsuppgifterna:
b. I fältet Lösenord anger du sysadmin RSA-lösenkoden.
NOT: Ett sysadmin-lösenord krävs för att inaktivera MFA.
Additional Information