16: Advanced Administration
421
RSA Authentication Manager 8.1 Administrator’s Guide
Next Steps
The Super Admin Restoration utility also resets the Security Console authentication 
policy to LDAP_Password/RSA Password. In order for this change to take effect, use 
the Operations Console to flush the cache. For instructions, see Flush the Cache
on 
page 376.
RSA Authentication Manager Updates
RSA issues product updates periodically for RSA Authentication Manager in the form 
of patches and service packs. RSA recommends applying product updates as they 
become available to ensure that the deployment is secure and efficient. For each 
product update, RSA provides release notes that contain important information about 
applying the update. To avoid problems, you should read all of the information in the 
release notes before you apply the update.
To receive e-mail notifications of new product updates, log on to RSA SecurCare 
Online
and subscribe to RSA SecurCare Notes & Security Advisories for 
Authentication Manager.
You download product updates from RSA SecurCare Online
. Updates are provided 
in the form of an ISO image. RSA recommends that you do not burn the ISO image to 
a physical DVD or CD. Instead, save the ISO image in a directory that is accessible to 
the deployment.
You use the Operations Console to apply product updates on each primary and replica 
instance. After you download a product update, you specify the location of the ISO 
image. You can apply an individual update through your local browser, or you can 
scan for stored updates in an NFS share, a Windows shared folder, or a DVD/CD. 
After scanning, you can select an individual update to apply.
Note: 
Apply updates to embedded third-party products only as part of RSA-delivered 
updates. For example, RSA provides the required updates to the virtual appliance and 
hardware appliance operating system.
If the deployment includes a web tier, you must update the web tier when you update 
the version of Authentication Manager. Authentication Manager displays an update 
button in the Operations Console for each web tier that is not up-to-date. For 
instructions, see Update the Web-Tier
on page 186.
View Software Version Information
Procedure
In to the Security Console, click Software Version Information.
Convert pdf to editable powerpoint online - Library control class:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to editable powerpoint online - Library control class:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
422
16: Advanced Administration
RSA Authentication Manager 8.1 Administrator’s Guide
Verify an IP Address or Hostname
Use the Operations Console to run operating system commands to verify an IP address 
or hostname. 
Procedure
In to the Operations Console home page, click Administration > Network > 
Network Tools.
For more information, see the Operations Console Help topic, “Verify an IP Address 
or Hostname.”
Library control class:C# PDF Convert to Text SDK: Convert PDF to txt files in C#.net
leading methods to convert target PDF document to other editable file formats RasterEdge.XDoc.PowerPoint.dll. How to Use C#.NET Demo Code to Convert PDF to Text
www.rasteredge.com
Library control class:C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
NET program. Convert PDF to multiple MS Word formats such as .doc and .docx. Create editable Word file online without email. Password
www.rasteredge.com
17: Administering Trusted Realms
423
RSA Authentication Manager 8.1 Administrator’s Guide
17
Administering Trusted Realms
Trusted Realms
A deployment is an RSA Authentication Manager installation that consists of a 
primary instance and, optionally, one or more replica instances. 
A realm is an organizational unit that includes all of the objects managed within a 
single deployment, such as users and user groups, tokens, password policies, and 
agents. Each deployment has only one realm. 
For example, a corporation with headquarters in London has an office in New York. 
The London office and the New York office each has a deployment of Authentication 
Manager. The objects managed in each deployment constitute a realm: the London 
realm and the New York realm.
Two or more realms can have a trust relationship, which gives users on one realm 
permission to authenticate to another realm and access the resources on that realm.
For example, the London realm has a trust relationship with the New York realm. This 
means that the New York realm “trusts” users from the London realm and gives users 
from the London realm the same privileges as users in the New York realm. When 
users from the London office are in New York, they are able to able to authenticate at 
the New York office like all of the other New York users.
You create a trust relationship by performing the following tasks:
• Add an external realm as a trusted realm.
• Specify an agent to authenticate trusted users from the trusted realm. 
• Specify the trusted users. You may not want to give all users from the trusted 
realm permission to authenticate on your realm, so you designate which users 
from the trusted realm are trusted users. Only trusted users have permission to 
authenticate.
A trust relationship can be either a one-way trust or a two-way trust. In a one-way 
trust, only trusted users on one realm are allowed to authenticate on the other realm.
For example, if the trust relationship between London and New York is one way, 
either trusted London users can authenticate on New York or trusted New York users 
can authenticate on London. In a two-way trust, trusted users on each realm can 
authenticate on the other. For example, if the trust relationship between London and 
New York is two way, London users can authenticate on New York and New York 
users can authenticate on London.
Library control class:C# Create PDF Library SDK to convert PDF from other file formats
PDF document from Microsoft Office Word, Excel and PowerPoint. Create and save editable PDF with a blank page Preview PDF documents without other plug-ins.
www.rasteredge.com
Library control class:VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
Convert PDF document to DOC and DOCX formats in Visual Basic control to export Word from multiple PDF files in Create editable Word file online without email.
www.rasteredge.com
424
17: Administering Trusted Realms
RSA Authentication Manager 8.1 Administrator’s Guide
The following figure shows a one-way trust. London has added New York as a trusted 
realm. This allows Alice, who is a trusted user in the New York realm, to authenticate 
to the London realm when she is in London on business.
While in London, Alice attempts to access London’s virtual private network (VPN) 
using her New York realm credentials (user name and passcode). London’s VPN 
server is protected by an agent that is configured to provide trusted realm 
authentications. This agent does not recognize Alice and looks for Alice in other 
realms. After the agent finds Alice in the New York realm, the New York realm 
verifies Alice’s credentials, authenticates Alice, and tells the agent to grant Alice 
access. 
The following figure shows a two-way trust. London has added New York as a trusted 
realm, and New York has added London as a trusted realm. This allows Alice, who is 
a trusted user in the New York realm, to authenticate to the London realm, and Bob, 
who is a trusted user in the London realm, to authenticate to the New York realm.
Library control class:VB.NET PDF Convert to Text SDK: Convert PDF to txt files in vb.net
control for batch converting PDF to editable & searchable RasterEdge.XDoc.PowerPoint. dll. ' pdf convert to txt DocumentConverter.ToDocument("C:\\test.pdf", "C
www.rasteredge.com
Library control class:VB.NET Create PDF from Word Library to convert docx, doc to PDF in
VB.NET How-to, VB.NET PDF, VB.NET Word, VB.NET Excel, VB.NET PowerPoint, VB.NET Tiff, VB Convert multiple pages Word to fillable and editable PDF documents.
www.rasteredge.com
17: Administering Trusted Realms
425
RSA Authentication Manager 8.1 Administrator’s Guide
Creating a Trust Relationship
Two or more realms can have a trust relationship, which gives users on one realm 
permission to authenticate to another realm and access the resources on that realm. 
You use the Security Console to create and manage trust relationships between these 
realms: 
• Two Authentication Manager 8.0 or 8.1 realms 
• An Authentication Manager 8.0 or 8.1 realm and an Authentication Manager 7.1 
realm
Procedure 
1. Add a trusted realm. For instructions, see Add a Trusted Realm
on page 425.
2. Configure an agent for trusted realm authentication. For instructions, see 
Configure an Agent for Trusted Realm Authentication
on page 426.
3. Add a trusted user. For instructions, see Add a Trusted User
on page 429.
4.  (Optional) Add a trusted user group. For instructions, see Add a Trusted User 
Group
on page 430.
5. (Optional) Add trusted users to a trusted user group. For instructions, see Add 
Trusted Users to a Trusted User Group
on page 430.
Add a Trusted Realm
You create a trust relationship by adding an external realm as a trusted realm. A trust 
relationship allows users to authenticate between these realms:
• Two RSA Authentication Manager 8.0 or 8.1 realms 
• An Authentication Manager 8.0 or 8.1 realm and an Authentication Manager 7.1 
realm
Before You Begin
• You and the administrator of the realm you are adding as a trusted realm need to 
perform this procedure at the same time. 
• You and the administrator of the realm you are adding as a trusted realm need to 
be able to communicate while you perform this procedure.
Procedure
1. In the Security Console, click Administration > Trusted Realms > Add New.
2. Under Generate Trust Package, click Generate & Download. 
3. After the trust package is generated, use a secure method to exchange your trust 
package with the trust package from the trusted realm administrator. Wait until 
you receive the trust package before you continue.
4. In the Trust Package from Trusted Realm field, enter the path to the trust 
package that you just received by browsing to the package file, and click Open.
Library control class:VB.NET Create PDF from Excel Library to convert xlsx, xls to PDF
Create fillable and editable PDF documents from Excel in Create searchable and scanned PDF files from Excel in VB Convert to PDF with embedded fonts or without
www.rasteredge.com
Library control class:C# Create PDF from Excel Library to convert xlsx, xls to PDF in C#
Create fillable and editable PDF documents from Excel in both Create searchable and scanned PDF files from Excel. Convert to PDF with embedded fonts or without
www.rasteredge.com
426
17: Administering Trusted Realms
RSA Authentication Manager 8.1 Administrator’s Guide
5. Click Next.
6. Verify the trust package confirmation codes with the trusted realm administrator. 
Go to the next step only after verifying the confirmation codes.
7. Click Confirm and Next.
8. In the Trusted Realm Name field, enter a unique, user-friendly name that 
identifies the trusted realm, for example, London office.
9. For Authentication Status, select Authenticate Trusted Users if you want your 
realm to authenticate users from the trusted realm.
10. For Trusted Realm Status, select Enable Trusted Realm. When enabled, your 
realm can send authentication requests to the trusted realm.
11. For Create Trusted Users in Security Domain, select the security domain that 
will own users from the trusted realm.
After your realm authenticates users from the trusted realm, the users must belong 
to a security domain in your realm. The security domain that you select must be 
configured to use the internal database as an identity source.
12. In the Trusted User Name Identifier field, enter a unique identifier that your 
realm can recognize for the trusted user, and click Add. The unique identifier 
could be the user's domain name or e-mail address, such as 
jsmith@company.com. The value must be unique among trusted realms.
For example, suppose John Smith from Realm A is jsmith in his local realm. Your 
realm does not know the identity of jsmith. If you enter yourcompany.com in this 
field, John Smith will be identified within your realm as 
jsmith@yourcompany.com.
13. Click Save.
14. In the Security Console, click Administration > Trusted Realms > Manage 
Existing.
15. Test the network connection between the trusted realms. Click the name of the 
trusted realm, and from the context menu, select Test Trusted Realm.
Next Step
Before trusted realm authentication can take place, you must enable an agent to 
process authentication requests from trusted users. For more information, see 
Configure an Agent for Trusted Realm Authentication
on page 426.
Configure an Agent for Trusted Realm Authentication
You must specify which authentication agents are available for trusted realm 
authentication. 
On each agent in your realm, you specify one of the following:
• Not open to trusted users
• Open to all trusted users 
• Open only to trusted users in trusted user groups
17: Administering Trusted Realms
427
RSA Authentication Manager 8.1 Administrator’s Guide
For a one-way trust, the trusted realm administrator enables the agents for 
authentication in the trusted realm. For a two-way trust, you and the trusted realm 
administrator enable the agents in both your realms.
Before You Begin
• Add a trusted realm. For instructions, see Add a Trusted Realm
on page 425.
• Create a new agent configuration file that specifies 25 seconds for a response from 
the server. 
For instructions on creating a new agent configuration file, see the Security 
Console Help topic “Generate the Authentication Manager Configuration File.”
Procedure
1. In the Security Console, click Access > Authentication Agents > Manage 
Existing.
2. Use the search fields to find the agent that you want to configure.
3. From the search results, click the authentication agent that you want to configure.
4. From the context menu, click Edit.
5. Do one of the following:
• If you do not want trusted users to access this agent:
a. Under Trusted Realm Settings, ensure that Enable Trusted Realm 
Authentication is not selected.
b. Click Save.
• If you want trusted users to access this agent:
a. Under Trusted Realm Settings, select Enable Trusted Realm 
Authentication. 
b. For Trusted User Authentication, select one of the following:
– Open to all Trusted Users. This option automatically designates users 
from a trusted realm as trusted users after successful authentication.
– Only Trusted Users in Trusted User Groups with access to the agent 
can authenticate. These trusted users and trusted user groups are 
manually created by the administrator.
c. Click Save.
428
17: Administering Trusted Realms
RSA Authentication Manager 8.1 Administrator’s Guide
Duplicate Agent Record for Access Control
You can control which users have access to an authentication agent in the trusted 
realm by adding a duplicate authentication record of the agent in the trusted realm. A 
duplicate authentication record allows you to restrict user access to members of a 
group. Only the users you assign to this group are able to access the agent in the 
trusted realm.
For example, suppose that you are the London administrator for a company that has a 
trusted relationship between two realms: New York and London. The New York realm 
has an unrestricted VPN agent called “VPN1.” You want to restrict which London 
users can access VPN1, so you create a duplicate agent record of this agent record, 
also called “VPN1,” in the London realm. This agent record contains the same data as 
the agent record in the New York realm, including IP address. You make VPN1 a 
restricted agent, and create a user group called “VPN users.” Only London members 
of VPN users have permission to access VPN1 in New York. 
You assign the user “jsmith” to the VPN users group. When jsmith travels to New 
York and attempts to access VPN1 on the New York realm, the New York realm does 
not recognize the user jsmith, and forwards the following information to the London 
realm: user name, agent name, and passcode. The London realm recognizes the user 
name and agent name, and immediately checks to see if the agent is restricted. 
Because the agent is restricted, and jsmith is a member of VPN users, the 
authentication request is approved and the New York realm allows jsmith to 
authenticate.
If you create a duplicate agent record, it is important to know if the corresponding 
agent in the trusted realm has trusted user groups. If a trusted user group in the 
duplicate agent record does not contain the same users as the group on the agent on the 
trusted realm, users might not be able to authenticate. Note the following:
• In the above example, assume that VPN1 in the trusted realm has a trusted user 
group associated with it. If jsmith is not a member of the trusted user group, he 
cannot authenticate, even though he is a member of his realm’s corresponding user 
group.
• In the above example, assume that a second London user, “sbrown,” is a member 
of the trusted user group, but is not a member of his realm’s corresponding user 
group. Despite being a member of the trusted user group, sbrown cannot 
authenticate because his realm has not given him access to the agent.
Duplicate Agent Record for Resolving Aliases
If you use aliases for user groups, users might attempt to log on to an authentication 
agent in the trusted realm using their aliases. To ensure successful authentications in 
this case, add a duplicate record of the agent in the trusted realm with associated user 
groups and aliases to your realm. 
For example, suppose that your realm has a restricted VPN agent, “VPN2.” Only 
members of the VPN2 user group can access VPN2. In that user group, users have 
aliases, a special user name they use just for VPN2. For example, the user “jdoe” has 
the alias “jdoeVPN,” which he uses when he logs on to VPN2.
17: Administering Trusted Realms
429
RSA Authentication Manager 8.1 Administrator’s Guide
If jdoe attempts to authenticate to the trusted realm’s VPN agent, “VPN1” using his 
alias, “jdoeVPN,” the trusted realm does not recognize jdoe and sends his user name 
and agent information back to jdoe’s realm. Jdoe’s realm does not recognize the agent 
“VPN1” or the user name “jdoeVPN.” Therefore, access is denied and the user cannot 
authenticate.
If jdoe’s realm has a duplicate agent record, also called “VPN1” and VPN1 has an 
associated user group where jdoe is a member and has “jdoeVPN” as his alias, the 
problem is solved. Now when “jdoeVPN” tries to access VPN1 in the trusted realm, 
the trusted realm forwards the user name and agent information back to jdoe’s realm. 
Jdoe’s realm recognizes the agent name and the alias. Now jdoe can authenticate 
successfully.
Add a Trusted User
Only trusted users can access the agents enabled for trusted realm authentication. An 
authentication agent can be configured to automatically designate all users from a 
trusted realm as trusted users. You can manually add trusted users if more restriction is 
necessary. When you manually add trusted users, only the users you add are trusted 
users.
Before You Begin
• Add a trusted realm. For instructions, see Add a Trusted Realm
on page 425.
• Configure an agent for trusted realm authentication. For instructions, see 
Configure an Agent for Trusted Realm Authentication
on page 426.
Procedure
1. In the Security Console, click Administration > Trusted Realms > Trusted 
Users > Add New.
2. In the Trusted User ID field, enter the user's User ID.
3. From the Trusted Realm Name drop-down menu, select the trusted realm where 
the user belongs.
4. From the Security Domains drop-down menu, select the security domain where 
the policies for this trusted user are managed. 
Only administrators whose administrative scope includes the security domain you 
select can manage the user.
5. In the Default Shell field, enter the shell that users employ to access a UNIX 
machine.
6. Click Save.
430
17: Administering Trusted Realms
RSA Authentication Manager 8.1 Administrator’s Guide
Allow Trusted Users to Authenticate Using RSA RADIUS
To allow trusted users to authenticate using RSA RADIUS, you define these trusted 
users on the trusted realm before they authenticate. You may also set up a special 
RADIUS profile for trusted users. 
For more details about configuring RADIUS to handle trusted users, see Trusted User 
Assignment
on page 316.
For more information on associating trusted users with RADIUS attributes, see Map a 
RADIUS User Attribute Definition to an Identity Source Attribute
on page 321.
Add a Trusted User Group
A trusted user group restricts access to an agent that is enabled for trusted realm 
authentication. When you create a trusted user group and enable associated agents, 
only members of the trusted user group can access that authentication agent. 
By adding a trusted user group, only users who have a business need to access the 
resources protected by the agent are allowed to authenticate. For example, by creating 
a trusted user group for human resource workers, you can limit access to personnel 
records to those in the group.
Before You Begin
• Add a trusted realm. For instructions, see Add a Trusted Realm
on page 425.
• Configure an agent for trusted realm authentication. For instructions, see 
Configure an Agent for Trusted Realm Authentication
on page 426.
Procedure
1. In the Security Console, click Administration > Trusted Realms > Trusted 
User Groups > Add New.
2. In the Trusted User Group Name field, enter a unique name for the trusted user 
group. 
The trusted user group name must not exceed 255 characters.
3. From the Security Domain drop-down menu, select the security domain select 
the security domain where the policies for this trusted user group are managed.
Only administrators whose administrative scope includes the security domain you 
select can manage the trusted user group.
4. Click Save.
Add Trusted Users to a Trusted User Group
A trusted user group restricts access to an agent that is enabled for trusted realm 
authentication. When you create a trusted user group, only members of the trusted user 
group can access the agent that is enabled for trusted realm authentication. 
You can add new trusted users to an existing trusted user group.
Documents you may be interested
Documents you may be interested