13: Administering RSA RADIUS
301
RSA Authentication Manager 8.1 Administrator’s Guide
Verifying RSA RADIUS Replication
To ensure proper communication between the RADIUS primary and RADIUS 
replicas, verify the following:
• The Authentication Manager instances are connected to the network.
• All hostnames and IP addresses are correctly configured so that the primary 
instance can resolve the replica instances by hostname and IP address, the replica 
instances can resolve the primary instance by hostname and IP address.
• The firewalls between primary and replica instances allow communication on 
ports 1812 and 1813.
• The system clocks on primary and replica instances are within ten minutes of each 
other. If the difference in time is greater than ten minutes the RADIUS primary 
cannot replicate data to the RADIUS replica.
Replica
Cannot 
determine 
status
Communication between the 
RADIUS primary server and 
the RADIUS replica is not 
working.
Verify that the primary instance 
running the RSA RADIUS 
service is up.
Verify that the replica instance 
running the RSA RADIUS 
service is up and can connect to 
the primary instance. 
For more information, see 
Verifying RSA RADIUS 
Replication
on page 301.
Initiating Data 
Transfer
The RADIUS primary is 
attempting to start 
replication of data to the 
replica.
None.
Out-of-Sync
Changes to data on the 
RADIUS primary need to be 
replicated to the replica 
server.
If periodic replication is enabled, 
none. If periodic replication is 
not enabled, initiate replication.
Synchronized
The data on the RADIUS 
primary server and the 
replica server is the same. 
The replica has the most 
current RADIUS data.
None.
Unreachable
The RADIUS primary server 
cannot connect to the replica 
server.
Verify that the primary and 
replica instances can connect. 
For more information, see 
Verifying RSA RADIUS 
Replication
on page 301.
Server
Status
Description
Action
How to change pdf file to powerpoint - SDK control service:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
How to change pdf file to powerpoint - SDK control service:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
302
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
You can check the replication status of a RADIUS server in the RADIUS Servers page 
of the Security Console. 
Enable Periodic RADIUS Replication
When you enable periodic replication, every 15 minutes the RADIUS primary server 
checks for changes to the RADIUS data and, when changes are found, replicates the 
RADIUS data to all of the available RADIUS replica servers in your deployment. 
After replicating the data, the primary server verifies that each RADIUS replica server 
is up-to-date. If a RADIUS replica server fails to update, the RADIUS primary server 
logs a message to the system log and to the Critical System Event Notification system, 
which can be configured to send e-mail messages to designated personnel.
Procedure
1. In the Security Console, click Setup > System Settings.
2. Under Advanced Settings, click RADIUS.
3. Under RADIUS Replication Configuration, for Periodic RADIUS 
Replication, select Enable periodic RADIUS Replication every 15 minutes.
4. Click Save.
Initiate Replication to RADIUS Replica Servers
You can initiate replication of the RADIUS database from the primary RADIUS 
server to all the replica RADIUS servers in your deployment. For example, you might 
initiate replication to all replica RADIUS servers when you add an important 
RADIUS client to your network.
Procedure
1. In the Security Console, click RADIUS > RADIUS Servers.
2. Click Initiate Replication.
Configure RSA RADIUS to Use System-Generated PINs
RSA RADIUS does not allow system-generated PINs by default. If you choose to 
allow system-generated PINs, authentication will fail unless you change the RADIUS 
configuration file, securid.ini, on each RADIUS server to allow system-generated 
PINs, and then restart RADIUS.
Before You Begin
You must be a Super Admin.
Procedure
1. Log on to the Operations Console on the RSA Authentication Manager instance 
hosting the RADIUS server.
2. Click Deployment Configuration > RADIUS Servers.
3. If prompted, enter your Super Admin User ID and password.
SDK control service:Online Convert PowerPoint to PDF file. Best free online export
area. Then just wait until the conversion from Powerpoint to PDF is complete and download the file. The perfect conversion tool.
www.rasteredge.com
SDK control service:VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
list below is mainly to optimize PDF file with multiple Program.RootPath + "\\" 3_optimized.pdf"; 'create optimizing 150.0F 'to change image compression
www.rasteredge.com
13: Administering RSA RADIUS
303
RSA Authentication Manager 8.1 Administrator’s Guide
4. Select the server hosted on this instance, and click Manage Server Files from the 
context menu.
5. In the Configuration Files tab, select the securid.ini file, and click Edit from the 
context menu.
6. Find the following line:
AllowSytemPins = 0
The 0 indicates that system-generated PINs are not allowed. To allow 
system-generated PINS, change the setting to the following:
AllowSystemPins = 1
The 1 indicates that system-generated PINs are allowed.
7. Click Save and Restart RADIUS.
8. Restart the RADIUS server for the changes to take effect.
Restart a RADIUS Server
RSA RADIUS servers start automatically when the RSA Authentication Manager 
starts. You need to restart the RADIUS server in the following situations:
• After changing the port assignments on a RADIUS server.
• After making changes to RADIUS server files (.ini, .dct, or .aut).
• After replacing the RADIUS server certificate.
• If the RADIUS server stops.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Operations Console that is on the RSA Authentication Manager instance 
hosting the RADIUS server, click Deployment Configuration > RADIUS 
Servers.
2. If prompted, enter your Security Console User ID and password, and click OK.
3. Click the RADIUS server that you want to restart, and select Restart Server from 
the context menu.
4. In the Restart RADIUS Server page, under Confirmation, select Yes, restart 
RADIUS Server, and click Restart Server.
SDK control service:C# PDF File Compress Library: Compress reduce PDF size in C#.net
list below is mainly to optimize PDF file with multiple Program.RootPath + "\\" 3_optimized.pdf"; // create optimizing 150F; // to change image compression
www.rasteredge.com
SDK control service:VB.NET PDF File Merge Library: Merge, append PDF files in vb.net
Microsoft Office Word, Excel and PowerPoint data to PDF form. Merge PDF with byte array, fields. Merge PDF without size limitation. Append one PDF file to the end
www.rasteredge.com
304
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
RSA RADIUS Server Maintenance
You can maintain and modify RSA RADIUS servers for such purposes as servicing a 
host system, improving authentication response time, or recovering if a RADIUS 
server becomes unavailable. This section describes the following maintenance tasks:
• RSA RADIUS Server File Customizatio
n
• Edit RADIUS Server Files
RADIUS is installed on a primary or replica instance and configured to run on the 
same instance with Authentication Manager. You can modify the RADIUS server 
configuration using the Operations Console on the primary or replica instance.
RSA RADIUS uses the same hostname and IP address as the RSA Authentication 
Manager. To change the hostname or IP address of the RADIUS server, you must 
change the hostname and IP address of the RSA Authentication Manager.
For information, see Appendix A, Changing the Instance Network Settings
.
RSA RADIUS Server File Customization
Each RSA RADIUS server has a set of configuration, initialization, and dictionary 
files for customizing the server within its working environment. For many situations, 
the default files provide sufficient functions without any modification. However, you 
may need to modify these files if any of the following situations apply to your 
deployment:
• You are modifying logging options, for example accounting attributes.
• You are configuring a RADIUS client that has special attribute names that need to 
be included in RADIUS profiles. Dictionary files provided with the RADIUS 
client must be added to each RADIUS server that will handle requests from that 
client. You may need to edit the mapping.ini file to properly associate attribute 
names across different RADIUS clients. 
Use the Operations Console to view the RADIUS server files (the configuration, 
initialization and dictionary files) and open the files for editing. For a detailed 
explanation of the syntax used in the configuration files, see the 
RSA Authentication Manager 8.1 RADIUS Reference Guide.
Edit RADIUS Server Files
You may need to modify one or more RSA RADIUS server files. For example, you 
may need to edit these files if you are modifying logging options or configuring a 
RADIUS client that has special attribute names that need to be included in the 
RADIUS profiles.
Edits apply only to the RADIUS server on which you make the changes. 
Important: 
Be cautious when editing the configuration files. The changes that you 
make are not validated, and the existing file is overwritten with the new content. For a 
detailed explanation of the syntax used in the configuration files, see the 
RSA Authentication Manager 8.1 RADIUS Reference Guide.
SDK control service:C# PDF File Split Library: Split, seperate PDF into multiple files
Application. Best and professional adobe PDF file splitting SDK for Visual Studio .NET. outputOps); Divide PDF File into Two Using C#.
www.rasteredge.com
SDK control service:C# PDF File Merge Library: Merge, append PDF files in C#.net, ASP.
Merge Microsoft Office Word, Excel and PowerPoint data to PDF form. Append one PDF file to the end of another and save to a single PDF file.
www.rasteredge.com
13: Administering RSA RADIUS
305
RSA Authentication Manager 8.1 Administrator’s Guide
Before You Begin
You must have Super Admin and Operations Console administrator credentials.
Procedure
1. Log on to the Operations Console on the RSA Authentication Manager instance 
hosting the RADIUS server.
2. Click Deployment Configuration > RADIUS Servers.
3. If prompted, enter the Super Admin User ID and password, and click OK.
4. Select the RADIUS server hosted on this instance, and select Manage Server 
Files from the context menu.
5. On the Manage Server Files page, do one of the following:
• Click the Configuration Files tab to see the configuration files, such as .conf, 
.aut, and .ini.
• Click the Dictionary Files tab to see the RADIUS dictionary files.
6. Select the file that you want to edit, and select Edit from the context menu.
7. Edit the text file, and click Save.
8. Click Save & Restart RADIUS Server for the changes to take effect.
Next Steps
You must copy to other RADIUS servers any edits that must be synchronized across 
the environment, such as edits to .dct files. To copy edits to another RADIUS server in 
the deployment, select the appropriate RADIUS server from the Manage RADIUS 
Server page, and copy or make the edits to the replica.
RADIUS Clients
A RADIUS client is a RADIUS-enabled device at the network perimeter that enforces 
access control for users attempting to access network resources. 
A RADIUS client can be one of the following:
• VPN server
• Wireless access point
• Network access server supporting dial-in modems
• Dial-in modem
A RADIUS client sends a user’s access request to the RADIUS server. The RADIUS 
server forwards the request to RSA Authentication Manager for validation.
If Authentication Manager validates the access request, the RADIUS client accepts 
the user’s request for network access. Otherwise, the RADIUS client rejects the user’s 
request for network access.
SDK control service:VB.NET PDF File Split Library: Split, seperate PDF into multiple
Professional VB.NET PDF file splitting SDK for Visual Studio and .NET framework 2.0. Split PDF file into two or multiple files in ASP.NET webpage online.
www.rasteredge.com
SDK control service:How to C#: Overview of Using XDoc.PowerPoint
Tell C# users how to: create a new PowerPoint file and load PowerPoint; merge, append, and split PowerPoint files; insert, delete, move, rotate, copy and paste
www.rasteredge.com
306
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
You can configure RADIUS clients with or without an assigned authentication agent. 
The difference between the two methods is in the level of access control and logging 
you want to have. 
RADIUS client with an agent. Adding an agent to a RADIUS client allows 
Authentication Manager to determine which RADIUS client is used for 
authentication and to save this information in log files. 
When you add a RADIUS client, you have the option to create an associated 
agent. If you manually configure an agent with the same hostname and IP address 
as the RADIUS client, the agent is automatically recognized as a RADIUS client 
agent.
For more information, see A
dd a RADIUS Client
.
RADIUS client without an agent. Without an assigned RADIUS client agent, 
Authentication Manager cannot track which RADIUS client sends authentication 
requests and you cannot assign a profile to the client. The RADIUS server simply 
confirms that the shared secret from the RADIUS client matches the shared secret 
stored in RSA RADIUS, and then forwards the request without any client 
information to Authentication Manager. 
All authentication requests appear to be coming from the RADIUS server through 
its assigned authentication agent. While using this method, if you add an agent to 
a RADIUS client in the Security Console, Authentication Manager does not 
associate the agent with the client, so it does not apply any of the agent properties 
that you specify to the client.
To allow the system to authenticate users from clients with no assigned agent, you 
must set the SecurID.ini file parameter CheckUserAllowedByClient to 0. By default, 
this parameter is set to 1, which allows the system to authenticate users from clients 
with an assigned agent. For more information, see the 
RSA Authentication Manager 8.1 RADIUS Reference Guide.
If you need to add a large number of RADIUS clients to Authentication Manager, you 
might not want to assign agents to RADIUS clients. For example, you are an ISP 
administrator and need to add and configure one thousand network access servers with 
the RSA RADIUS server. Instead of adding an agent to each RADIUS client, you 
select ANY RADIUS client, and enter the same shared secret for each RADIUS 
client. When an ANY client sends a network request to its associated RADIUS server, 
the RADIUS server confirms the shared secret and forwards the request without any 
client information to Authentication Manager.
Add a RADIUS Client
You must add a RADIUS client to the deployment for each RADIUS device that is 
configured to use RSA SecurID as its authentication method. The RADIUS client 
sends authentication requests to the RSA RADIUS server, which then forwards the 
request to Authentication Manager. 
If you want to use risk-based authentication (RBA), RBA must be enabled for the 
agent associated with the RADIUS client.
13: Administering RSA RADIUS
307
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click RADIUS > RADIUS Clients > Add New.
In the Client Name field, enter the name of the client, for example, VPN-London. 
You can enter letters, digits, hyphens (–), and underlines(_). Spaces, tabs, @ signs, 
most symbols, and non-printable characters are not allowed. This field is limited 
to 50 characters.
If you do not want RSA Authentication Manager to track which RADIUS client 
sends authentication requests (for example, because you want to quickly add 
many RADIUS clients), you do not need to enter a name. 
2. (Optional) In the ANY Client field, select 
If you select this option, you also need to disable proxy authentication so that the 
RADIUS server does not authenticate on behalf of this RADIUS client. For more 
information, see RADIUS Clients
on page 305.
After you save the client, you cannot change its name. If you want to rename the 
client, you must delete it and then add a new client with the new name.
3. In the IP Address field, enter the IP address of the RADIUS client, for example, 
111.222.33.44.
You cannot enter an IP address if you select ANY Client in the previous step 
because the IP address is not applicable.
4. In the Make/Model drop-down list, select the type of RADIUS client. If you are 
unsure of the make and model of the RADIUS client, select Standard Radius.
The RADIUS server uses the make and model to determine which dictionary of 
RADIUS attributes to use when communicating with this client.
5. In the Shared Secret field, enter the authentication shared secret (case-sensitive 
password) that you specified during the RADIUS client installation and 
configuration.
The RADIUS client uses the same shared secret when communicating with the 
RADIUS primary server or RADIUS replica server.
6. If you want to use a different shared secret (other than the one specified in step 5
for accounting transactions between the RADIUS client and RADIUS server, 
select Accounting.
In the Accounting Shared Secret field, enter the accounting shared secret that 
you entered during the RADIUS client installation and configuration. The 
RADIUS client uses the same shared secret when communicating with the 
RADIUS primary server or RADIUS replica server.
7. Select Client Status to specify how many seconds the RADIUS server maintains 
the client connection without receiving a keepalive packet from the RADIUS 
client.
In the Inactivity Time field, enter the number of seconds. Enter a slightly higher 
value than the keepalive value specified in the RADIUS client configuration. If 
you choose a time frame that is too short, the server might close valid connections. 
For more information, see the RADIUS client documentation.
8. In the Notes field, enter any notes for this client, for example, “Located at London 
site.”
308
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
9. To save your changes, do one of the following:
• Click Save and Create Associated RSA Agent. This choice allows 
Authentication Manager to determine which RADIUS agent is used for 
authentication and to log this information. This option is required if you want 
to use risk-based authentication (RBA).
• Click Save only if you have disabled proxied authentication (by setting the 
securid.ini file parameter CheckUserAllowed ByClient to 0). In this case, 
you cannot assign a profile to this client, and all authentications appear to 
Authentication Manager as though they are coming from the RADIUS server.
Next Steps
• If you created an associated RSA agent for this RADIUS client, you must 
configure the agent. For instructions, see the Security Console Help topic “Add a 
RADIUS Client Agent” and begin at step 8.
• Once configured, replication takes place every 15 minutes. If you want to 
manually initiate replication to notify the RADIUS replica servers about this new 
client, see Initiate Replication to RADIUS Replica Servers
.
EAP-POTP Settings
Extensible Authentication Protocol (EAP) is an authentication framework that 
supports multiple authentication methods. This allows RADIUS to support new 
authentication methods without requiring any changes to the RADIUS protocol or 
RADIUS servers. EAP-POTP defines the method for one-time password 
(RSA SecurID) authentication and provides the following capabilities within 
RSA RADIUS:
• End-to-end protection of one-time password 
• Mutual authentication
• Session key derivation for 802.1x (wireless)
• Support for token exception cases (for example, New PIN or Next Token code)
• Fast session resumption if a wireless connection is lost
EAP-POTP settings define basic parameters for keying material (and keys) protecting 
one-time passwords used for authentication. 
The default values balance security (cryptographic strength) with system 
responsiveness and are considered satisfactory for most environments. You may 
increase or decrease EAP-POTP default values. However, even slight changes to 
values used for key generation may cause a large change in response time during 
authentication. EAP-POTP settings affect the entire deployment. 
Note: 
RSA RADIUS does not support the Filter-ID attribute when using EAP 
authentication methods.
13: Administering RSA RADIUS
309
RSA Authentication Manager 8.1 Administrator’s Guide
EAP-TTLS Configuration
You can configure the RSA RADIUS server to handle Extensible Authentication 
Protocol-Tunneled Transport Layer Security (EAP-TTLS) authentications. RSA 
RADIUS requires the following certificates to handle authentication requests made 
using the EAP-TTLS protocol:
• A server certificate for each RADIUS server, which is used by a RADIUS client 
to verify the identity of the RADIUS server. A server certificate is installed on 
each RADIUS server by default.
• A trusted root certificates, which is used by a RADIUS server to verify the 
identity of a RADIUS client. Root certificates are not installed on the RADIUS 
server by default. 
Replace a RADIUS Server Certificate
A RADIUS server certificate is presented to a RADIUS client by RSA RADIUS so 
that the client can verify the identity of the RADIUS server. You can use the 
Operations Console to replace the existing server certificate of a RADIUS Server with 
a different certificate. For example, you might prefer to assign a certificate that has 
your organization as its trusted root signer. RSA RADIUS does not replicate the server 
certificate. You must access each RADIUS server directly and perform the following 
procedure.
Before You Begin
• You must be a Super Admin. 
• Make sure you have a keystore (.pfx) file that contains the new server certificate 
and the associated private key. This file should be in PKCS #12 file format and 
contain the replacement certificate and private key only. If the keystore contains 
more than one certificate, the wrong certificate may be used as the replacement 
server certificate.
• Add a Trusted Root Certificate
to the system. Add the certificate used to sign the 
replacement server certificate. The signing certificate must be in DER format and 
have a .der extension. If the replacement certificate is self-signed, you do not need 
to add the signing certificate.
Procedure
1. On the primary instance Operations Console, click Deployment Configuration > 
RADIUS Servers.
2. If prompted, enter your Security Console User ID and password, and click OK.
3. Click the RADIUS server whose certificate you want to replace, and select 
Manage EAP Certificates from the context menu.
4. In the Manage EAP Certificates page, click the Server Certificate tab.
5. Under Replace Server Certificate, click Browse to locate the keystore file 
containing the replacement certificate and associated private key. 
You must select a keystore that is in PKCS #12 certificate store format, with a .pfx 
suffix. 
310
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
6. Enter the password for the keystore file containing the replacement certificate in 
the Keystore Password field.
7. Click Save & Restart RADIUS Server.
The RADIUS server must restart for the change to take effect.
8. Repeat this procedure for each RSA RADIUS server in the deployment.
Add a Trusted Root Certificate
A trusted root certificate is used by a RADIUS server to verify the identity of a 
RADIUS client. Use the Operations Console to add trusted root certificates for RSA 
RADIUS. By default, RSA RADIUS contains no trusted root certificates. You can add 
as many certificates as you need. You need to add a trusted root certificate on the 
primary instance only. RSA RADIUS replicates trusted root certificates to all RSA 
RADIUS servers in the deployment.
Before You Begin
• You must be a Super Admin.
• Verify that the certificate meets the following requirements:
– certificate is in DER format.
– certificate file has a .der extension.
Procedure
1. Log on to the Operations Console on the Authentication Manager primary 
instance.
2. Click Deployment Configuration > RADIUS Servers.
3. If prompted, enter your Super Admin User ID and password.
4. Select the primary RADIUS server, and click Manage EAP Certificates from the 
context menu.
5. In the Manage EAP Certificates page, click the Trusted Root Certificates tab.
6. Click Browse to locate and select the certificate that you want to add.
7. Click Add to add the certificate to the server.
8. When you are finished adding trusted root certificates, click Done.
Documents you may be interested
Documents you may be interested