Safeword 2008 installatie i.c.m. OTPv2 hardware-tokens en configuratie voor een USG
referentie Z248D

Deze instrukties zijn alleen voor de OTPv2 hardware-tokens. Kijk voor instructies i.c.m. de OTPv2 Mobile-tokens (OTP-MOBI) op DEZE pagina.

N.B. De nieuwste versie van de SafeWord software zorgt ervoor dat de onderstaande procedure niet meer volledig gevolgd kan worden. Als u toch onderstaande instructies wenst te volgen om het pakket te kunnen installeren, dient u ervoor te kiezen om tijdens de installatie, bij Stap 3, NIET op "Download new version" te klikken en pas na succesvolle installatie het pakket te updaten.

  1. Systeemeisen
  2. Installatie IAS (Internet Authentication Service)
  3. Installatie Safeword 2008
  4. SafeWord 2008 activeren
  5. OTP tokens importeren
  6. OTP token toekenen aan een gebruiker
  7. USG toestemming verlenen voor authenticatie op de SafeWord 2008
  8. USG instellen voor gebruik met SafeWord 2008
  9. RDP Web Applicatie middels OTP tokens

 

1. Systeemeisen

 

2. Installatie IAS (Internet Authentication Service)

IAS is een onderdeel van Windows Server. IAS biedt onder andere RADIUS functionaliteit. Dit is vereist voor het toepassen van een OTP token in combinatie met een USG.

  • Ga naar Start > Control Panel > Add or Remove Programs.
  • Klik op Add/Remove Windows Components.
  • Selecteer de regel Networking Services.
  • Klik op Details.
  • Vink de optie Internet Authentication Service aan.
  • Klik op OK.

Het is mogelijk dat er om de Windows Server 2003 installatie CD-ROM gevraagd wordt.
  • Klik op Next.
  • Zodra de installatie afgerond is, klik dan op Finish.

 

3. Installatie Safeword 2008

Methode 1: Installatie met behulp van Autorun.

Methode 2: Inhoud van de SafeWord 2008 CD-ROM kopieren naar de server en van daaruit starten

Indien de server verbinding heeft met het Internet, zal er gezocht worden naar updates voor Safeword 2008 en vragen of deze geïnstalleerd mogen worden.
  • Antwoord met Yes.
  • Vul het het Safeword 2008 Software Serial Number in. Deze vindt u achter op de doos en is ook terug te vinden op de activation certificate. (In dit voorbeeld wordt serienummer VALA-DISS-UPPO-RTNL ingevoerd.
  • Klik op OK.
De installatie Wizard wordt gestart
  • Klik op Next.
  • Klik op Yes.
  • Geef in het volgende scherm aan op welke locatie de software geïnstalleerd moet worden. In dit voorbeeld wordt de standaard locatie C:\Program Files\Aladdin\SafeWord aangehouden.
    Onthou deze locatie, voor de activatie is deze van belang.
  • Klik op Next.
  1. Vink de volgende opties aan:
    • Servers
      • SafeWord Server
    • Mangement
      • Management Snap-in for Active Directory
    • Agents
      • IAS-NPS (RADIUS) Agent
  2. Vink alle overige opties uit.
  3. Klik vervolgens op Next.
  • Geef een locatie aan waar de programmagroep van SafeWord aangemaakt moet worden. In dit voorbeeld wordt de standaard waarde aangenomen, namelijk direct in het Start menu.
  • Klik op Next.
Een samenvatting van alle te installeren onderdelen wordt getoond.
  • Klik op Next.
  • Kies voor de optie I will manage users in Active Directory.
  • Klik op Next.
  • Vul in het veld Encryption Key (16 characters) een encryptiesleutel in van 16 tekens.
  • Vul bij Signing Key (16 characters) een signeersleutel in van 16 tekens.
  • Klik op Next.
  • Vul bij Internet Domain het domein in van de Active Directory. Het domein in deze voorbeeld is otpv2server.local.
  • Klik op Next.
Er zijn aanpassingen gedaan aan de Internet Authentication Service en er wordt gevraagd om de service te herstarten.
  • Klik op Yes.

De installatie wordt weer voortgezet. Dit kan enkele minuten duren.
De installatie is voltooid.
  • Klik op Finish.

 

4. SafeWord 2008 activeren

Om SafeWord 2008 te kunnen gebruiken moet de software geactiveerd worden. Hiervoor moet een SafeNet account gemaakt worden. Met een SafeNet account kunnen key files en een import bestand voor de OTP tokens gegenereerd worden.

LET OP: De key file en het import bestand worden eenmalig uitgegeven. Bewaar de bestanden goed!

  • Ga naar https://partner.safenet-inc.com.
  • Klik op de register.
  • Volg de instructies op de website om een SafeNet account aan te maken.
  • Log vervolgens in de SafeNet portal.
  • Klik op de optie SafeWord Activation.
  • Vul in het veld SafeWord Software Serial Number het serienummer van uw SafeWord software in.
  • Klik op Continue.
  • Vul in het veld SafeWord Software Serial Number het serienummer van uw SafeWord software in.
  • Vul in het veld Token Group ID (1) het serienummer in van de token groep ID nummer.
  • Klik op Submit.
LET OP: de key file en het import bestand worden maar eenmalig beschikbaar gesteld. Bewaar de bestanden goed!
  • Download de key file (in dit voorbeeld VALA-DISS-UPPO-RTNL.html).
  • Download het token import bestand (in dit voorbeeld VALA-DISO-TPTO-KENS.zip).
  • Hernoem de key file naar key.html.
  • Kopieer de key file naar <INSTALLATIE-MAP-SAFEWORD>\SERVERS\AdminServer\activation. In dit voorbeeld moet de key file gekopieerd worden naar C:\Program Files\Aladdin\SafeWord\SERVERS\AdminServer\activation.

Vervolgens moet er een aanpassing gemaakt worden in het SafeWord 2008 configuratie bestand

  • Ga naar <INSTALLATIE-MAP-SAFEWORD>\SERVERS\Shared.
    In dit voorbeeld is dat C:\Program Files\Aladdin\SafeWord\SERVERS\Shared
  • Open het bestand sccservers.ini.
  • Zoek de regel Pin_Before_Password=off in het bestand sccservers.ini op.
  • Verander de regel in Pin_Before_Password=on.
  • Sla de wijzigingen in het bestand sccservers.ini op.

Nu moeten alle onderdelen herstart worden.

  • Ga naar Start > Administrative Tools > Services.
  • Selecteer de service Internet Authentication Service.
  • Stop deze service.
  • Herstart de SafeWord Database Server.
Windows zal melden dat er meerdere services herstart zullen worden (dit zijn de overige onderdelen van SafeWord).
  • Klik op Yes.
Controleer of de SafeWord 2008 geactiveerd is.
  • Ga naar <INSTALLATIE-MAP-SAFEWORD>\SERVERS\AdminServer\activation. In dit voorbeeld is dat C:\Program Files\Aladdin\SafeWord\SERVERS\AdminServer\activation.
  • Verifieer dat de key file key.html hernoemd is naar key.activated.html.

Controleer of alle services van SafeWord 2008 correct gestart zijn

  • Ga naar Start > All Programs > Aladdin > SafeWord > Configuration > Server Configuration.
  • Ga naar het tabblad Server Status.
  • De volgende onderdelen moeten op Active staan:
    • SafeWord Authentication Engine
    • SafeWord Administration Service
    • SafeWord Database Server
  • Sluit af met Cancel.

Vervolgens moet de Internet Authentication Service weer ingeschakeld worden.

  • Ga naar Start > Administrative Tools > Services.
  • Selecteer de service Internet Authentication Service.
  • Start deze service.

 

5. OTP tokens importeren

Bij het activeren van de software op https://partner.safenet-inc.com zijn er twee bestanden gedownload: de key file en het import bestand van de tokens. Het import bestand van de token is een ZIP-bestand.

  • Zoek het import bestand van de tokens op.
  • Pak dit bestand uit.
De volgende twee bestanden zullen uitgepakt worden:
  • alpineUser.dat
  • importAlpine.dat
  • Ga naar Start > Administrative Tools > Active Directory Users and Computers.
  • Klik op SafeWord.
SafeWord wordt voor het eerst opgestart en zal vragen om een administration password in te stellen.
  • Vul bij Password en Verify password een wachtwoord in.
  • Vink de optie Remember this password. De optie niet aanvinken kan ook, bij elke handeling in SafeWord zal om het wachtwoord gevraagd worden.
  • Klik op OK.
SafeWord maakt de melding dat de administration password ingesteld is.
  • Klik op OK.
  • Ga naar Active Directory Users and Computers > Domein van de Active Directory > SafeWord > Import/Backup/Restore.
  • Klik op Browse.
  • Ga naar de map waar het import ZIP-bestand uitgepakt is.
  • Selecteer het bestand importAlpine.dat.
  • Klik op OK.
  • Klik vervolgens op Import.
SafeWord geeft aan dat de tokens geïmporteerd zijn.
  • Klik op OK.

De tokens zijn nu klaar voor gebruik.

 

6. OTP token toekenen aan een gebruiker

  • Ga naar Start > Administrative Tools > Active Directory Users and Computers.
  • Ga naar Active Directory Users and Computers > domein van de Active Directory > Users.
  • Klik met de rechtermuisknop op de gebruiker waar een OTP token aan toegekend moet worden.
  • Klik vervolgens op Properties.
  • Open het tabblad SafeWord.
  • Klik op de knop Wizard.
  • Selecteer de optie Hardware token.
  • Klik op Next.
  • Vul het serienummer van de OTP token. Deze is te vinden op de achterzijde van de OTP token. In dit voorbeeld wordt 0000000A0A01 genomen.
  • Klik op Assign.
Stel op de OTP token vervolgens een PIN in.
  • Vul in het veld PIN (append to token passcode) een code in. De code mag uitsluitend uit cijfers bestaan.
  • Klik op Apply.
Test vervolgens de werking van de token.
  • Vul in het veld Passcode de PIN + OTP in. In dit voorbeeld is de PIN 1234. De OTP in dit voorbeeld is 123456. Het resulterende passcode wordt dus 1234123456.
  • Klik op Test.
SafeWord zal melden dat de authenticatie gelukt is.
  • Klik op OK om de dialoogvenster te sluiten.

Indien de test meerdere keren achter elkaar faalt, gebruik de optie Re-sync om de OTP token te synchroniseren. Probeer het vervolgens opnieuw.
  • Ga naar tabblad Dail-in.
  • Selecteer onder Remote Access Permission (Dail-in or VPN) voor de optie Allow access.
  • Klik op OK.
  • Ga naar Start > Administrative Tools > Services.
De volgende services moeten actief zijn. Start de services indien ze uitgeschakeld zijn:
  • Internet Authentication Service
  • SafeWord Administration Server
  • SafeWord Authentication Engine
  • SafeWord Database Server

 

7. USG toestemming verlenen voor authenticatie op de SafeWord 2008

Eerst moet het IP-adres van de USG toegevoegd worden als geldige client voor de RADIUS server.

  • Ga naar Start > Administrative Tools > Internet Authentication Service.
  • Klik met de rechtermuisknop op RADIUS Clients.
  • Klik op New RADIUS Client.
  • Vul in het veld Friendly name een naam in. Deze wordt gebruikt voor weergave in de Internet Authentication Service.
  • Vul in het veld Client address (IP or DNS) het IP-adres van de LAN interface van de USG in. De USG moet de SafeWord server kunnen bereiken. In dit voorbeeld wordt als voorbeeld het default LAN1 IP-adres 192.168.1.1 van de USG100 genomen.
  • Klik op Next.
  • Kies in het veld Client-Vendor voor de optie RADIUS-Standard.
  • Vul in het veld Shared secret en Comfirm shared secret een shared secret in. De shared secret moet straks in de USG ook ingevuld worden. In dit voorbeeld wordt abcdefgh als shared secret genomen.
  • Klik op Finish.

Vervolgens moet de Internet Authentication Service herstart worden.

  • Ga naar Start > Administrative Tools > Services.
  • Selecteer de service Internet Authentication Service.
  • Stop deze service.
  • Selecteer de service Internet Authentication Service.
  • Start deze service.

 

8. USG instellen voor gebruik met SafeWord 2008

  • Login op de USG met een admin-account
  • Ga naar Configuration > Object > AAA Server.
  • Open het tabblad RADIUS.
  • Wijzig het default radius.
  • Klik op Edit.
  • Vul in het veld Server Address het IP-adres in van de server waar SafeWord 2008 op geïnstalleerd is. In dit voorbeeld is dat 192.168.1.2.
  • Vul bij Authentication Port in 1812.
  • Vul bij Key de shared secret in. Bij het instellen van SafeWord 2008 is in dit voorbeeld abcdefgh als shared secret genomen.
  • Kies bij Group Membership Attribute voor de optie Filter-Id(11).
  • Klik op OK.

 

9. RDP Web Applicatie middels OTP tokens

Om SSL VPN in combinatie met OTP tokens te kunnen gebruiken moet RADIUS authentication toegevoegd worden aan de authenticatie methoden.

  • Ga naar tabblad Configuration > Object > Auth. Method.
  • Selecteer default.
  • Klik op Edit.
  • Klik op de knop Add.
  • Selecteer de methode group radius.
  • Klik op OK.

Nu de RADIUS authenticatie toegevoegd is, kan de RDP Webapplicatie gemaakt worden.

  • Ga naar Configuration > Object > SSL Application.
  • Klik op Add.
  • Kies bij Type voor de optie Web Application.
  • Kies bij Server Type voor de optie RDP.
  • Vul in het veld Name de naam in van de SSL Application. In dit voorbeeld is de naam Terminal_Server gebruikt.
  • Kies bij Server Address(es) voor de optie User Defined en vul het IP-adres in van de Terminal Server. In dit voorbeeld heeft de Terminal Server het IP-adres 192.168.1.3.
  • Klik op OK.

Nu moet er een SSL policy gemaakt worden waarin aangegeven wordt dat RADIUS-gebruikers gebruik mogen maken van de RDP Web applicatie.

  • Ga naar Configuration > VPN > SSL VPN.
  • Klik op Add.
  • Vink de optie Enable Policy aan.
  • Voeg het object radius-users toe aan de lijst Selected User/Group Objects.
  • Voeg het object Terminal_Server toe aan de lijst Selected Application Objects.
  • Klik op OK.

Nu kan er ingelogd worden met OTP tokens.

  • Vul in het veld User Name de gebruiker die wil inloggen met een OTP token. In dit voorbeeld heeft de gebruiker otpgebruiker een OTP token.
  • Vul in het veld Password de PIN in van de OTP token.
  • Vul in het veld One-Time Password de OTP waarde in. Dit is een een 6-cijferige code.
  • Klik op de knop
    SSL VPN.

De gebruiker zal nu geauthenticeerd worden met de SafeWord 2008 server.