5: Integrating LDAP Directories
121
RSA Authentication Manager 8.1 Administrator’s Guide
Password Policy for Active Directory
Active Directory has a default password policy that is more strict than the default 
Authentication Manager password policy. This can lead to errors such as “Will Not 
Perform” when adding and updating users. 
To manage password policies with Active Directory identity sources, do one of the 
following:
• Make your Authentication Manager password policy password requirements more 
strict. See Chapter 4, Configuring Authentication Policies
.
• Relax the complexity requirements in the Windows 2003, 2008, or 2008 R2 
Group Policy Object Editor. For more information, see your Active Directory 
documentation.
Note: 
The Authentication Manager default password policy is already stricter than the 
default password policy of the Oracle Directory Server.
Custom Attribute Mapping
If you are using custom attributes, after adding the identity source, you need to 
explicitly map identity attribute definitions to physical attribute names in an LDAP 
directory identity source schema.
All user fields must map to non-null fields. However, the User ID can be mapped to 
any unique attribute for a user. 
For complete mapping instructions, see the following Help topics in the Security 
Console.
Security Console Help Topic
Description
“User Attributes”
Overview of internal and default user attributes.
“Add Identity Attribute Categories”
Instructions for grouping related identity attributes 
together in categories. When you add identity 
attribute definitions, you assign each attribute to a 
category.
For example, Address can be an attribute category 
used to group together the fields for Street, City, 
State, and Country. 
The default category is Attributes.
“Add Identity Attribute Definitions”
Instructions for mapping custom user attributes.
How to convert pdf to ppt for - SDK application API:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
How to convert pdf to ppt for - SDK application API:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
122
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Identity Source User Attributes
To view LDAP data in the Security Console, you must map the Authentication 
Manager fields to corresponding fields in the LDAP directory. These fields are called 
attributes. There are two types of user attributes:
• Core attributes
• Custom attributes
Core Attributes
Core attributes include basic user attributes such as User ID, first name, and last name. 
You map these when you use the Operations Console to create an identity source.
Mapping the fields in the directory to the fields in Authentication Manager allows you 
to use the Security Console to view user and user group data stored in the directory. 
For example, when you create an identity source, you map the Authentication 
Manager User ID field to the appropriate field in the LDAP directory. You map core 
attributes when creating an identity source in the Operations Console.
All user fields must map to non-empty fields. For example, with Active Directory, 
User ID is mapped to sAMAccountName by default, but it can be mapped to any 
unique non-empty attribute for a user. 
If you have multiple identity sources, try to map your attributes consistently. For 
example, if you map User ID to sAMAccountName in one identity source, do the 
same for your other identity sources.
Custom Attributes
In addition to the core attributes, you can define custom attributes, called identity 
attribute definitions, that contain information tailored to your organization. You can 
map these custom attributes to fields in the LDAP directory, allowing Authentication 
Manager to display these attribute values from the directory. You can use custom 
attributes to provide support information to your Help Desk personnel.
The attribute definition indicates whether the value should be stored in the directory or 
in the internal database. If stored in the directory, the field must already exist in the 
directory.
Use the Security Console to create and map custom attributes.
Unique Identifier Attribute
When you create an identity source and map the core attributes, you must map the 
Unique Identifier field. This field helps Authentication Manager map internal 
database records to their corresponding LDAP Directory records. Authentication 
Manager uses this field to find users whose distinguished name (DN) has changed. 
The default Unique Identifier is one of the following:
• For Active Directory, the default attribute is ObjectGUID. 
• For Oracle Directory Server (and Sun Java Directory Server), the default attribute 
is nsUniqueID. 
Map the Unique Identifier field on the Add New Identity Source page in the 
Operations Console. For more information, see Add an Identity Source
on page 115.
SDK application API:Online Convert PowerPoint to PDF file. Best free online export
Download Free Trial. Convert a PPTX/PPT File to PDF. Easy converting! We try to make it as easy as possible to convert your PPTX/PPT files to PDF.
www.rasteredge.com
SDK application API:How to C#: Convert PDF, Excel, PPT to Word
How to C#: Convert PDF, Excel, PPT to Word. Online C# Tutorial for Converting PDF, MS-Excel, MS-PPT to Word. PDF, MS-Excel, MS-PPT to Word Conversion Overview.
www.rasteredge.com
5: Integrating LDAP Directories
123
RSA Authentication Manager 8.1 Administrator’s Guide
The Unique Identifier attribute must meet these requirements:
• The attribute must contain unique data for each user. For example, an employee 
ID number or badge number that is unique for each user in your deployment.
• The attribute must contain data for each user. The value cannot be empty. 
• The attribute value cannot change. If the value for a user changes, Authentication 
Manager cannot track the user. You cannot map any other fields to the attribute 
that you map to the Unique Identifier.
• The attribute name must not exceed 64 characters. 
• The attribute value must not exceed 42 characters.
Follow these guidelines when mapping unique identifiers:
• You must specify the Unique Identifier before you move or rename directory users 
who are viewed or managed through the Security Console. Otherwise, the system 
creates a duplicate record for the users that you move or rename, and disassociates 
them from data the system has stored for them.
• After you have mapped the Unique Identifier field, you cannot change it.
User Account Enabled State Attribute
Each identity source contains an attribute, called the User Account Enabled State, that 
indicates where Authentication Manager looks to determine whether a user account is 
enabled or disabled. Authentication Manager always checks the external directory of 
an LDAP identity source, but you can configure it to check the setting in the internal 
database as well.
The Enabled attribute reports the enabled or disabled state of a user’s account in 
Authentication Manager, as controlled in the Security Console. Unlike many other 
user attributes, you cannot alter the mapping of the Enabled attribute.
When you use the Operations Console to create an LDAP identity source, you can 
control how Authentication Manager determines whether a user is enabled for remote 
access. You can set the User Account Enabled State in either of two ways:
• When set to Directory, Authentication Manager consults the user’s enabled state 
in the LDAP directory only. 
Use the Directory setting if you want LDAP alone to control whether a user is 
enabled in Authentication Manager. Disabling a user account in Authentication 
Manager requires disabling the user account in the directory.
• When set to Directory and Internal Database, Authentication Manager consults 
both the LDAP directory and the Authentication Manager internal database to 
determine a user’s enabled state. 
Use the Internal Database setting if you want to disable the user in Authentication 
Manager, but allow the user to remain enabled in the LDAP. In this case, the user 
is not permitted to authenticate with Authentication Manager for remote access, 
but the state of the user’s LDAP account does not change. For example, the user 
can still log on to Windows because the Windows Domain account remains 
enabled.
For both settings, the user’s LDAP account must be enabled for the user to 
authenticate with Authentication Manager.
SDK application API:How to C#: Convert Word, Excel and PPT to PDF
How to C#: Convert Word, Excel and PPT to PDF. Online C# Tutorial for Converting MS Office Word, Excel and PowerPoint to PDF. How to C#: Convert PPT to PDF.
www.rasteredge.com
SDK application API:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
C# PDF Convert: How to Convert MS PPT to Adobe PDF Document. Provide Free Demo Code for PDF Conversion from Microsoft PowerPoint in C# Program.
www.rasteredge.com
SDK application API:C# TIFF: Learn to Convert MS Word, Excel, and PPT to TIFF Image
PPTXDocument doc = new PPTXDocument(@"demo.pptx"); if (null == doc) throw new Exception("Fail to load PowerPoint Document"); // Convert PPT to Tiff.
www.rasteredge.com
SDK application API:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
VB.NET PowerPoint processing control add-on can do PPT creating, loading We are dedicated to provide powerful & profession imaging controls, PDF document, image
www.rasteredge.com
6: Administering Users
125
RSA Authentication Manager 8.1 Administrator’s Guide
6
Administering Users
Common User Administration Tasks
You use the Security Console to provide and maintain authentication service for users. 
The Security Console enables you to perform the following common tasks:
• Manage user data
• Restrict access to specific resources
• Specify user access privileges
• Resolve user access problems
• Respond to user security issues
• Maintain user data
The administrative tasks that you can perform are defined by the scope of your 
administrative role. 
Add a User to the Internal Database
You can use the Security Console to add users to the internal database even if an 
LDAP directory is the primary identity source. Adding users directly to the internal 
database allows you to create a group of users different from those in identity source. 
For example, you might store a group of temporary contractors or a specific group of 
administrators in the internal database. You might also use the internal database to 
store a small number of users for a pilot project. 
User data in an LDAP directory is read-only. You must add users to the LDAP 
directory using the directory tools. However, you can use the Security Console to 
perform certain administrative functions, such as assigning tokens or enabling a user 
for risk-based authentication.
Procedure
1. In the Security Console, click Identity > Users > Add New.
2. In the Administrative Control section, from the Security Domain drop-down list, 
select the security domain where you want the user to be managed. The user is 
managed by administrators whose administrative scope includes the security 
domain you select.
SDK application API:VB.NET PowerPoint: Convert & Render PPT into PDF Document
VB.NET PowerPoint - Render PPT to PDF in VB.NET. How to Convert PowerPoint Slide to PDF Using VB.NET Code in .NET. Visual C#. VB.NET. Home > .NET Imaging SDK >
www.rasteredge.com
SDK application API:VB.NET PowerPoint: Read & Scan Barcode Image from PPT Slide
VB.NET PPT PDF-417 barcode scanning SDK to detect PDF-417 barcode image from PowerPoint slide. VB.NET APIs to detect and decode
www.rasteredge.com
126
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
3. In the User Basics section, do the following:
a. (Optional) In the First Name field, enter the user's first name. Do not exceed 
255 characters.
b. (Optional) In the Middle Name field, enter the user's middle name. Do not 
exceed 255 characters.
c. In the Last Name field, enter the last name of the user. Do not exceed 255 
characters.
d. In the User ID field, enter the User ID for the user. The User ID cannot 
exceed 48 characters. Make sure the User ID is unique to the identity source 
where you save the user. Do not use multi-byte characters, for example:
Note: 
If you are creating an account for an administrator who requires access 
to the Security Console, the User ID must be unique within the deployment.
e. (Optional) In the Email field, enter the user's e-mail address. Do not exceed 
255 characters.
f. (Optional) In the Certificate DN field, enter the user's certificate DN. The 
certificate DN must match the subject line of the certificate issued to the user 
for authentication. Do not exceed 255 characters.
4. In the Password section, do the following:
Note: 
This password is not used for authenticating through authentication 
agents.
a. In the Password field, enter a password for the user. Password requirements 
are determined by the password policy assigned to the security domain where 
the user is managed. This is the user’s identity source password, which may 
be different from alternate passwords provided by applications. For more 
information, see the Security Console Help topic “View a Password Policy.”
b. In the Confirm Password field, enter the same password that you entered in 
the Password field.
c. (Optional) Select Force Password Change if you want to force the user to 
change his or her password the next time the user logs on. You might select 
this checkbox, for example, if you assign a standard password to all new 
users, which you want them to change when they start using the system.
5. In the Account Information section, do the following:
a. From the Account Starts drop-down lists, select the date and time you want 
the user’s account to become active. The time zone is determined by local 
system time.
b. From the Account Expires drop-down lists, select the date and time you want 
the user’s account to expire, or configure the account with no expiration date. 
The time zone is determined by local system time.
6: Administering Users
127
RSA Authentication Manager 8.1 Administrator’s Guide
c. (Optional) Select Disabled if you want to disable the new account.
d. If a Locked Status option is selected, you can unlock the user by clearing all 
selected options.
6. (Optional) Under Attributes, enter the user’s mobile phone number in the Mobile 
Number (String) field.
7. Click Save.
User Status
To increase security, you can disable users who take an extended absence, and enable 
these users when they return to work. 
Before enabling or disabling users, know the following:
• Disabling a user does not delete that user from the identity source.
• When a user account is disabled, any tokens belonging to the user remain 
assigned. Disabling a user account does not unassign the user’s assigned tokens. 
• Authentication Manager verifies whether a user is enabled or disabled each time a 
user authenticates. If a user in a linked identity source is disabled, that user cannot 
authenticate. 
Disable a User Account
When you disable a user account, you suspend the user's permission to authenticate, 
which prohibits access to protected resources. Disabling a user does not delete the user 
from the identity source. To delete a user, see the Security Console Help topic “Delete 
a User.”
If you want to disable a user in an LDAP directory that is linked to RSA 
Authentication Manager, you must use the native LDAP directory interface.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user that you want to disable. Some fields are case 
sensitive.
3. Click the user that you want to disable, and select Edit.
4. Under Account Information, select Account is disabled.
5. Click Save.
Enable a User Account
When you enable a user account, the user can authenticate and access protected 
resources.
To authenticate users to a directory server, you must enable the user in both the 
directory server and in the Security Console. Only users who are enabled in the 
directory server can authenticate to the directory server.
128
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user that you want to enable. Some fields are case 
sensitive.
3. Click the user that you want to enable, and select Edit.
4. Under Account Information, clear Account is disabled.
5. Click Save.
Security Domains to Organize Users
After you create the security domain hierarchy and link the identity source to the 
system, all users are added to the top-level security domain. To help you organize 
users, manage the deployment, and limit administrative scope, you may want to move 
users to another security domain in the hierarchy.
Just as you have likely created security domains to match either your organization’s 
structure or geographic locations, you can use the Security Console to transfer users 
from each department or location to their respective security domains.
For example, if the top-level security domain is named SystemDomain, and you have 
lower-level security domains named Boston, New York, and San Jose, you would 
likely move users from SystemDomain to their respective security domains. 
For more information about security domains, see Security Domain Overview
on 
page 43.
Move Users Between Security Domains
You can manually move users whose accounts are stored in the internal database to 
other security domains. You can also move user groups. 
When you move users to another security domain, the policies for the new security 
domain take effect immediately. Also, after you move users, only administrators with 
permissions to manage users in that security domain can manage the users you moved.
When you move users, consider that users who are enabled for risk-based 
authentication (RBA) before the move retain their RBA user settings after the move. If 
users are disabled for RBA before the move, the users remain disabled for RBA after 
the move.
You can automatically move LDAP directory users to other security domains by 
mapping directory objects, such as organizational units, to the security domain of your 
choice. Authentication Manager uses security domain mappings to add users to the 
appropriate security domain when new user records are added to the database. 
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the users that you want to move. Some fields are case 
sensitive.
6: Administering Users
129
RSA Authentication Manager 8.1 Administrator’s Guide
3. Select the users that you want to move.
4. From the Action menu, select Move to Security Domain, and click Go.
5. From the Move to Security Domain drop-down list, select the security domain 
where you want to move the user.
6. Click Move.
Duplicate User IDs
If two users with the same user name attempt to access the same protected resource, 
authentication will fail. This may occur if you link multiple identity sources to the 
same deployment and users with the same User ID exist in each identity source. In 
these cases, you have the following options:
• Map the User ID to another field where there are no duplicate values. For 
example, for an Active Directory identity source, you might be able to map to the 
UPN field or to a user’s email address.
• Change one of the User IDs in the identity source so that both User IDs become 
unique. This option may not be practical if the User ID is used for other 
applications.
• Assign authenticators to only one of the users with the duplicate User ID. This 
option is not practical if authenticators must be assigned to more than one user 
with the duplicate User ID.
• You can allow one user to authenticate with a logon alias, and you can prevent this 
user from authenticating with the default User ID.
User Authentication
You use the Security Console to manage user authentication. You can:
• Modify user authentication settings
• Resolve user access problems
The user authentication tasks that you can perform are defined by the scope of the 
administrative role. 
Manage User Authentication Settings
User authentication settings allow you to create exceptions to authentication policies 
for individual users. These settings also allow you to troubleshoot user authentication 
issues.
Before You Begin
You must have a restricted or unrestricted agent. If you plan to configure a logon alias, 
the user must belong to a user group that has access to a restricted agent or has been 
enabled on an unrestricted agent. 
130
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user that you want to manage.
3. From the search results, click the user that you want to manage.
4. From the context menu, click Authentication Settings.
5. If you want to assign a fixed passcode to the user, select the Fixed Passcode 
checkbox.
RSA recommends that you do not use fixed passcodes because they eliminate all 
the advantages of two-factor authentication.
6. Select the Clear Incorrect Passcodes checkbox to clear any incorrect passcodes. 
The count of incorrect passcodes is reset, and the user is not prompted for the next 
tokencode. However, if the user continues to enter incorrect passcodes and 
exceeds the number of failed logon attempts allowed by the lockout policy, the 
user is locked out of the system.
7. Select Clear cached copy of selected user's Windows credential to clear a 
cached version of a user's password.
If your deployment uses RSA SecurID for Windows, Authentication Manager 
saves a cached version of the user’s Windows logon password. This information 
may need to be cleared, if the Windows password has been changed in Active 
Directory.
8. If you want to assign a default shell to the user, enter it in the Default Shell field.
9. To configure a logon alias for the user:
a. Select whether you want to allow users to use their own User IDs and the 
alias. 
You can use this option to prevent a conflict between users who share the 
same default User IDs.
b. Select the user group to which you want to assign the alias.
c. In the User ID field, enter the User ID that you want to assign to the alias. In 
the Shell field, enter the shell that you want assigned to the alias. If you are 
using RADIUS, from the RADIUS Profile drop-down menu, select the 
RADIUS profile to assign to the alias. Click Add.
10. If you use RADIUS, select the RADIUS profile and RADIUS user attributes to 
assign to the user:
a. From the User RADIUS Profile drop-down menu, select a RADIUS profile 
to assign to the user.
If you set up logon aliases for the user and you do not specify a RADIUS 
profile for each alias in step 9
, Authentication Manager assigns the user 
RADIUS profile to each alias.
b. In RADIUS User Attributes, select the attribute that you want to assign to 
the user, enter the value for the attribute in the Value field, and click Add. 
RADIUS user attributes take precedence over attributes in a RADIUS profile.
Documents you may be interested
Documents you may be interested