在 Unified Access Gateway 版本 2111 及更高版本与 RSA Authentication Manager 之间设置 SecurID 时,您可能会遇到配置问题。您可以使用不同的过程诊断和修复配置问题。
从 Unified Access Gateway 版本 2111 开始,支持 RSA Authentication Manager (AM) 服务器的 RSA SecurID 身份验证使用最新的 REST API。早期 Unified Access Gateway 版本使用基于 sdconf.rec
文件的配置方法。
常见问题
防火墙阻止或路由问题要与用户的 RSA AM 服务器进行通信,Unified Access Gateway 可使用连接到 TCP 端口 5555 的 RSA SecurID 客户端。如果其中存在阻止此 TCP 端口的防火墙,或者 RSA AM 服务器无法访问,则 SecurID 身份验证将失败。有关更多信息,请参阅知识库文章 88002。
RSA Authentication Manager 上未启用 RSA API
默认情况下,RSA AM 服务器的 RSA SecurID 身份验证 API 部分中未启用启用身份验证 API 设置。有关更多信息,请参阅知识库文章 88003。
UAG 2111 及更高版本出现 RSA AM 证书问题
在 Unified Access Gateway 上配置 RSA SecurID 时,如果 RSA AM 服务器上的 SSL 证书是自签名证书,或者不是由受信任的证书颁发机构颁发的证书,则该证书可能不受信任。在这种情况下,需要从 RSA AM 服务器获取公共证书或颁发者证书,并将其上载到 Unified Access Gateway 以允许此信任。有关更多信息,请参阅知识库文章 88004。
在 UAG 中记录了失败原因代码 VERIFY_ERROR
当 Unified Access Gateway 尝试使用用户输入的凭据,针对 RSA AM 服务器进行 RSA SecurID 身份验证时,结果将记录在日志 .zip
集包含的 /opt/vmware/gateway/logs/eas.log
文件中。
要授予用户访问权限,Unified Access Gateway 必须从 RSA AM 收到 CREDENTIAL_VERIFIED
响应。但是,可能有多种情况会返回响应代码 VERIFY_ERROR
。有关更多信息,请参阅知识库文章 88005。