Safeword 2008 installatie i.c.m. OTPv2 mobile-tokens en configuratie voor een USG
referentie Z251C

Deze instrukties zijn alleen voor de OTPv2 Mobile (OTP-MOBI) tokens. Kijk voor instructies i.c.m. de OTPv2 hardware-tokens op DEZE pagina.

N.B. De nieuwste versie van de SafeWord software zorgt ervoor dat de onderstaande procedure niet meer volledig gevolgd kan worden. Als u toch onderstaande instructies wenst te volgen om het pakket te kunnen installeren, dient u ervoor te kiezen om tijdens de installatie, bij Stap 3, NIET op "Download new version" te klikken en pas na succesvolle installatie het pakket te updaten.

  1. Systeemeisen
  2. Installatie IAS (Internet Authentication Service)
  3. Installatie Safeword 2008
  4. SafeWord 2008 activeren
  5. OTP MOBI tokens importeren
  6. OTP token toekenen aan een gebruiker
  7. USG toestemming verlenen voor authenticatie op de SafeWord 2008
  8. USG instellen voor gebruik met SafeWord 2008
  9. RDP Web Applicatie middels OTP tokens

 

1. Systeemeisen

 

2. Installatie IAS (Internet Authentication Service)

IAS is een onderdeel van Windows Server. IAS biedt onder andere RADIUS functionaliteit dit is vereist voor het toepassen van OTP token in combinatie met een USG.

  • Ga naar Start > Control Panel > Add or Remove Programs.
  • Klik op Add/Remove Windows Components.
  • Selecteer de regel Networking Services.
  • Klik op Details.
  • Vink de optie Internet Authentication Service aan.
  • Klik op OK.

Het is mogelijk dat er om de Windows Server 2003 installatie CD-ROM gevraagd wordt.
  • Klik op Next.
  • Nadat de installlatie afgerond is klik op Finish.

 

3. Installatie Safeword 2008

Start na het downloaden de setup van de software.

Indien de server verbinding heeft met het Internet, zal er gezocht worden naar updates voor Safeword 2008 en vragen of deze geinstalleerd mogen worden.
  • Antwoord met Yes.
  • Vul het het Safeword 2008 Software Serial Number in. Deze vindt u achter op de doos en is ook terug te vinden op de activation certificate. (In dit voorbeeld wordt serienummer VALA-DISS-UPPO-RTNL ingevoerd.
  • Klik op OK.
De installatie Wizard wordt gestart
  • Klik op Next.
  • Klik op Yes.
  • Geef in het volgende scherm aan op welke locatie de software geinstalleerd moet worden. In dit voorbeeld wordt de standaard locatie C:\Program Files\Aladdin\SafeWord aangehouden.
    Onthou deze locatie, voor de activatie is deze van belang.
  • Klik op Next.
  1. Vink de volgende opties aan:
    • Servers
      • SafeWord Server
    • Mangement
      • Management Snap-in for Active Directory
    • Agents
      • IAS-NPS (RADIUS) Agent
  2. Vink alle overige opties uit.
  3. Klik vervolgens op Next.
  • Geef een locatie aan waar de programmagroep van SafeWord aangemaakt moet worden. In dit voorbeeld wordt de standaard waarde aangenomen, namelijk direct in het Start menu.
  • Klik op Next.
Een samenvatting van alle te installeren onderdelen wordt getoont.
  • Klik op Next.
  • Kies voor de optie I will manage users in Active Directory.
  • Klik op Next.
  • Vul in het veld Encryption Key (16 characters) een encryptiesleutel in van 16 tekens.
  • Vul bij Signing Key (16 characters) een signeersleutel in van 16 tekens.
  • Klik op Next.
  • Vul bij Internet Domain het domein in van de Active Directory. Het domein in deze voorbeeld is otpv2server.local.
  • Klik op Next.
Er zijn aanpassing gedaan aan de Internet Authentication Service en er wordt gevraagd om de service te herstarten.
  • Klik op Yes.

De installatie wordt weer voortgezet. Dit kan enkele minuten duren.
De installatie is voltooid.
  • Klik op Finish.

 

4. SafeWord 2008 activeren

Om SafeWord 2008 te kunnen gebruiken moet de software geactiveerd worden. Hiervoor moet een SafeNet account gemaakt worden. Met een SafeNet account kunnen key files en import bestand voor de OTP tokens gegenereerd worden.

LET OP: De key file wordt eenmalig uitgegeven. Bewaar dit bestand goed!

  • Ga naar https://partner.safenet-inc.com.
  • Klik op de register.
  • Volg de instructies van de website om een SafeNet account aan te maken.
  • Log vervolgens in de SafeNet portal.
  • Klik op de optie SafeWord Activation.
  • Vul in het veld SafeWord Software Serial Number het serienummer van uw SafeWord software in.
  • Klik op Continue.
  • Vul in het veld SafeWord Software Serial Number het serienummer van uw SafeWord software in.
  • Klik op Submit.
LET OP: de key file wordt maar eenmalig beschikbaar gesteld. Bewaar dit bestand goed!
  • Download de key file (in dit voorbeeld VALA-DISS-UPPO-RTNL.html).
  • Hernoem de key file naar key.html.
  • Kopieer de key file naar <INSTALLATIE-MAP-SAFEWORD>\SERVERS\AdminServer\activation. In dit voorbeeld moet de key file gekopieerd worden naar C:\Program Files\Aladdin\SafeWord\SERVERS\AdminServer\activation.

Vervolgens moet er een aanpassing gemaakt worden in de SafeWord 2008 configuratie bestand

  • Ga naar <INSTALLATIE-MAP-SAFEWORD>\SERVERS\Shared.
    In dit voorbeeld is dat C:\Program Files\Aladdin\SafeWord\SERVERS\Shared
  • Open het bestand sccservers.ini.
  • Zoek de regel Pin_Before_Password=off in het bestand sccservers.ini op.
  • Verander de regel in Pin_Before_Password=on.
  • Sla de wijzigingen in het bestand sccservers.ini op.

Nu moeten alle onderdelen herstart worden.

  • Ga naar Start > Administrative Tools > Services.
  • Selecteer de service Internet Authentication Service.
  • Stop deze service.
  • Herstart de SafeWord Database Server.
Windows zal melden dat er meerdere services herstart zullen worden (dit zijn de overige onderdelen van SafeWord).
  • Klik op Yes.
Controleer of de SafeWord 2008 geactiveerd is.
  • Ga naar <INSTALLATIE-MAP-SAFEWORD>\SERVERS\AdminServer\activation. In dit voorbeeld is dat C:\Program Files\Aladdin\SafeWord\SERVERS\AdminServer\activation.
  • Verifieer dat de key file key.html hernoemt is naar key.activated.html.

Controleer of alle services van SafeWord 2008 correct gestart zijn

  • Ga naar Start > All Programs > Aladdin > SafeWord > Configuration > Server Configuration.
  • Ga naar het tabblad Server Status.
  • De volgende onderdelen moeten op Active staan:
    • SafeWord Authentication Engine
    • SafeWord Administration Service
    • SafeWord Database Server
  • Sluit af met Cancel.

Vervolgens moet de Internet Authentication Service weer ingeschakeld worden.

  • Ga naar Start > Administrative Tools > Services.
  • Selecteer de service Internet Authentication Service.
  • Start deze service.

 

5. OTP MOBI tokens importeren

Voor het importeren van de OTP MOBI tokens moet een activatecode aangevraagd worden op de SafeNet Portal

  • Ga naar https://partner.safenet-inc.com en login met uw SafeNet account
  • Klik op MobilePASS Activation
  • Vul het SafeWord 2008 Software Serial Number in.
  • Klik op Submit.
  • Vul de gegevens in van de OTP MOBI E-iCard in
  • Klik op Generate Activation Code.

In het veld Activation Code wordt een nummer gegenereerd. Deze ontvangt u ook per email.

LET OP: Ook deze code wordt maar eenmalig beschikbaar gesteld. Bewaar dit bestand goed!
  • Ga naar Start > Administrative Tools > Active Directory Users and Computers.
  • Klik op SafeWord.
SafeWord wordt voor het eerst opgestart en zal vragen om een administration password in te stellen.
  • Vul bij Password en Verify password een wachtwoord in.
  • Vink de optie Remember this password. De optie niet aanvink kan ook, bij elke handeling in SafeWord zal om het wachtwoord gevraagd worden.
  • Klik op OK.
SafeWord maakt de melding dat de administration password ingesteld is.
  • Klik op OK.
  • Klik op MobilePASS.
  • Selecteer de optie Software Tokens.
  • Klik op Confiigure Licensing.
  • Neem de informatie van de MobilePASS activation over.
  • Klik op Generate and Import.
Een melding verschijnt dat de tokens geimporteerd zijn

 

6. OTP token toekenen aan een gebruiker

  • Ga naar Start > Administrative Tools > Active Directory Users and Computers.
  • Ga naar Active Directory Users and Computers > domein van de Active Directory > Users.
  • Klik met de rechtermuisknop op de gebruiker waar een OTP token aan toegekend moet worden.
  • Klik vervolgens op Properties.
  • Open het tabblad SafeWord.
  • Klik op de knop Wizard.
  • Selecteer de optie Software token.
  • Klik op Next.
Er zal gevraagd worden om een Activation Code van MobilePASS software.

De MobilePASS software is te installeren voor verschillende smartphones en besturingsstystemen van desktop computers.

De software is beschikbaar op de App Market/Store van de betreffende smartphone en ook te downloaden van http://www.safenet-inc.com/support-downloads/mobilepass-download-page/.

Desktop computers kunnen de software downloaden van http://www.safenet-inc.com/support-downloads/mobilepass-download-page/.

In dit voorbeeld wordt een Windows PC versie van de MobilePASS software gebruikt.

  • Start de MobilePASS software.
  • Klik op Activate Now.
De MobilePASS software zal de Activation Code genereren.
  • Neem deze code over in de SafeWord Token Asignment Wizard.
  • Klik op Assign.
Op de MobilePASS software, klik op Confirm Activation.
Stel op de OTP token vervolgens een PIN in.
  • Vul in het veld PIN (append to token passcode) een code in. De code mag uitsluitend uit cijfers bestaan.
  • Klik op Apply.
  • Neem de PIN over op de MobilePASS software.
  • Klik op de MobilePASS software op OK.
  • De MobilePASS software zal om een bevestiging van de PIN vragen. Type hetzelfde PIN in en klik op OK.
Test vervolgens de werking van de token.
  • Vul in het veld Passcode de PIN + Passcode in. In dit voorbeeld is de PIN 1234. De Passcode in dit voorbeeld is 886244. Het resulterende passcode wordt dus 1234886244.
  • Klik op Test.
SafeWord zal melden dat de authenticatie gelukt is.
  • Klik op OK om de dialoogvenster te sluiten.

Indien de test meerdere keren achter elkaar faalt. Gebruik de optie Re-sync om de OTP token te synchroniseren. Probeer het vervolgens opnieuw.
  • Ga naar tabblad Dail-in.
  • Selecteer onder Remote Access Permission (Dail-in or VPN) voor de optie Allow access.
  • Klik op OK.
  • Ga naar Start > Administrative Tools > Services.
De volgende services moeten actief zijn. Start de services indien ze uitgeschakeld zijn:
  • Internet Authentication Service
  • SafeWord Administration Server
  • SafeWord Authentication Engine
  • SafeWord Database Server

 

7. USG toestemming verlenen voor authenticatie op de SafeWord 2008

Eerst moet het IP-adres van de USG toegevoegd worden als geldige client voor de RADIUS server.

  • Ga naar Start > Administrative Tools > Internet Authentication Service.
  • Klik met de rechtermuisknop op RADIUS Clients.
  • Klik op New RADIUS Client.
  • Vul in het veld Friendly name een naam in. Deze wordt gebruikt voor weergave in de Internet Authentication Service.
  • Vul in het veld Client address (IP or DNS) het IP-adres van de LAN interface van de USG in. De USG moet de SafeWord server kunnen bereiken. In dit voorbeeld wordt als voorbeeld het default LAN1 IP-adres 192.168.1.1 van de USG100 genomen.
  • Klik op Next.
  • Kies in het veld Client-Vendor voor de optie RADIUS-Standard.
  • Vul in het veld Shared secret en Comfirm shared secret een shared secret in. De shared secret moet straks in de USG ook ingevuld worden. In dit voorbeeld wordt abcdefgh als shared secret genomen.
  • Klik op Finish.

Vervolgens moet de Internet Authentication Service herstart worden.

  • Ga naar Start > Administrative Tools > Services.
  • Selecteer de service Internet Authentication Service.
  • Stop deze service.
  • Selecteer de service Internet Authentication Service.
  • Start deze service.

 

8. USG instellen voor gebruik met SafeWord 2008

  • Login op de USG met een admin-account
  • Ga naar Configuration > Object > AAA Server.
  • Open het tabblad RADIUS.
  • Wijzig het default radius.
  • Klik op Edit.
  • Vul in het veld Server Address het IP-adres in van de server waar SafeWord 2008 op geinstalleerd is. In dit voorbeeld is dat 192.168.1.2.
  • Vul bij Authentication Port in 1812.
  • Vul bij Key de shared secret in. Bij het instellen van SafeWord 2008 is in dit voorbeeld abcdefgh als shared secret genomen.
  • Kies bij Group Membership Attribute voor de optie Filter-Id(11).
  • Klik op OK.

 

9. RDP Web Applicatie middels OTP tokens

Om SSL VPN in combinatie met OTP tokens te kunnen gebruiken moet RADIUS authentication toegevoegd worden aan de authenticatie methoden.

  • Ga naar tabblad Configuration > Object > Auth. Method.
  • Selecteer default.
  • Klik op Edit.
  • Klik op de knop Add.
  • Selecteer de methode group radius.
  • Klik op OK.

Nu de RADIUS authenticatie toegevoegd is, kan de RDP Web applicatie gemaakt worden.

  • Ga naar Configuration > Object > SSL Application.
  • Klik op Add.
  • Kies bij Type voor de optie Web Application.
  • Kies bij Server Type voor de optie RDP.
  • Vul in het veld Name de naam in van de SSL Application. In dit voorbeeld is de naam Terminal_Server gebruikt.
  • Kies bij Server Address(es) voor de optie User Defined en vul het IP-adres in van de Terminal Server. In dit voorbeeld heeft de Terminal Server het IP-adres 192.168.1.3.
  • Klik op OK.

Nu moet er een SSL policy gemaakt worden waarin aangegeven wordt dat RADIUS-gebruikers gebruik mogen maken van de RDP Web applicatie.

  • Ga naar Configuration > VPN > SSL VPN.
  • Klik op Add.
  • Vink de optie Enable Policy aan.
  • Voeg het object radius-users toe aan de lijst Selected User/Group Objects.
  • Voeg het object Terminal_Server toe aan de lijst Selected Application Objects.
  • Klik op OK.

Nu kan er ingelogd worden met OTP tokens.

  • Vul in het veld User Name de gebruiker die wil inloggen met een OTP token. In dit voorbeeld heeft de gebruiker otpgebruiker een OTP token.
  • Vul in het veld Password de PIN in van de OTP token.
  • Vul in het veld One-Time Password de OTP waarde in. Dit een een 6-cijferige code.
  • Klik op de knop SSL VPN.

De gebruiker zal nu geauthenticeerd worden met de SafeWord 2008 server.