C: Deploying IPv4/IPv6 Authentication Agents
461
RSA Authentication Manager 8.1 Administrator’s Guide
C
Deploying IPv4/IPv6 Authentication Agents
Overview 
An IPv4/IPv6 authentication agent is a software application that securely passes user 
authentication requests to and from RSA Authentication Manager. IPv4/IPv6 agents 
use IPv4 or IPv6 addresses and the HTTP and TCP protocols rather than the UDP 
protocol. 
Important: 
This release of Authentication Manager 8.1 includes a backward 
compatible software development kit (SDK). It does not include the IPv4/IPv6 agent.
The TCP agent protocol comprises of three core services:
• Configuration Service. Allows agents to retrieve and verify configuration 
data.
• Message Key Service. Allows agents to negotiate a key that can be used to 
encrypt subsequent authentications.
• Authentication Service. Processes authentication requests.
IPv4/IPv6 Agent Name 
Unlike the UDP agents, the IPv4/IPv6 agent uses a logical name to identify agents. An 
agent name is not required to be a fully qualified host name and does not require an IP 
address. Agents running on different physical hosts can share a logical agent name. It 
is also possible to have multiple logically named agents on a single physical host.
Convert pdf file to ppt online - Library application class:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf file to ppt online - Library application class:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
462
C: Deploying IPv4/IPv6 Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
Deploying an IPv4/IPv6 Authentication Agent
Before an authentication agent can communicate with RSA Authentication Manager, 
you must deploy the agent. 
Before You Begin
• Determine whether the authentication agent is restricted or unrestricted. For more 
information see Authentication Agent Types
on page 67.
• (Optional) Define IPv6 network settings on the primary and replica instances. 
IPv4/IPv6 authentication agents can use IPv4 or IPv6 addresses. If you are using 
IPv6 addresses, RSA strongly recommends configuring IPv6 network settings on 
more than one instance. Multiple instances provide deployment-level redundancy 
and failover authentication, if an instance becomes unresponsive.
For instructions, see Create IPv6 Network Settings on a Primary or Replica 
Instance
on page 465.
Procedure
1. Use the Security Console to generate a configuration file for the agent. This 
allows the agent to locate Authentication Manager servers. For instructions, see 
Generate the Authentication Manager Configuration File
.
2. Use the Security Console to add a record for the new agent to the internal 
database. In this step, you can specify whether you are creating a restricted agent. 
The agent record identifies the agent to RSA Authentication Manager. This 
process is called registering the agent. For instructions, see Add an Authentication 
Agent
. IPV4/IPv6 agents cannot register automatically. You must add them 
manually.
Note: 
You can create a single logical agent to reference multiple physical agents. 
For example, you can create a logical agent called Finance Laptop that can be 
used for multiple physical agents. This reduces the overhead required to maintain 
agents.
3. Configure an IPv4/IPv6 Agent
.
Configure an IPv4/IPv6 Agent
Configuring the IPv4/IPv6 agent is the second part of the two-step process to register 
the agent.
Before You Begin
• Generate the Authentication Manager Configuration File
on page 69
• Add an Authentication Agent
on page 70
Procedure
1. In the Security Console, click Setup > System Settings.
2. Under Authentication Settings, click Agents.
Library application class:Online Convert PowerPoint to PDF file. Best free online export
Online Powerpoint to PDF Converter. Download Free Trial. Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue
www.rasteredge.com
Library application class:How to C#: Convert PDF, Excel, PPT to Word
Program.RootPath + "\\" Output.docx"; // Load a PDF document How to C#: Convert Excel to Word. RootPath + "\\" Output.docx"; // Load an Excel (.xlsx) file.
www.rasteredge.com
C: Deploying IPv4/IPv6 Authentication Agents
463
RSA Authentication Manager 8.1 Administrator’s Guide
3. On the Agents page, click the link to configure IPv6 agents.
The IPv4/ IPv6 Agents page is displayed.
4. In the Authentication Servers section, do the following:
• Select All Instances to allow the IPv4/IPv6 agent to communicate with any 
primary or replica instance in the current deployment. The agent can select 
any instance for authentication requests, and any NIC configured for the 
selected instance.
• Select Specified Server Names or Addresses to choose the fully qualified 
hostnames or IP addresses of specific instances, or a DNS name that resolves 
to a list of instances.
In the Hostname or IP Addresses field, you can add or remove entries from 
the list of fully qualified hostnames and IP addresses. RSA strongly 
recommends entering more than one instance. Multiple instances provide 
redundancy and support failover authentication.
5. In the Authentication Service Port field, enter a port number between 1025 and 
49151. The default port number is 5500.
Important: 
If you change the port number, the agent cannot retrieve configuration 
data, until after a new configuration file, sdconf.rec, is updated on the agent. 
Configure your routers and firewalls to pass TCP traffic on the port.
6. In the Connection Timeout field, specify how long the agent waits while 
attempting to establish a connection to the server. The default value is 60 seconds.
7. In the Read Timeout field, specify how long the agent waits while attempting to 
retrieve data from a previously established connection. The default value is 60 
seconds.
8. (Optional) In the Import Certificate of the New Primary Server field, click 
Browse to locate and import a new root certificate. 
Note: 
You are required to import a new root certificate only if you are migrating 
agents to a new deployment. This feature supports migrations from RSA 
Authentication Manager 8.0 to future versions of Authentication Manager.
9. Click Update.
Next Step
Load a New Node Secret
(optional)
Library application class:How to C#: Convert Word, Excel and PPT to PDF
Online C# Tutorial for Converting MS Office Word, Excel and How to C#: Convert PPT to PDF. sample code may help you with converting PowerPoint to PDF file.
www.rasteredge.com
Library application class:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
performance PDF conversion from Microsoft PowerPoint (.ppt and .pptx FILE_TYPE_UNSUPPORT: Console.WriteLine("Fail: can not convert to PDF, file type unsupport
www.rasteredge.com
464
C: Deploying IPv4/IPv6 Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
Load a New Node Secret
The node secret is a shared secret known only to the IPv4/IPv6 authentication agent 
and RSA Authentication Manager. Authentication agents use the node secret to 
encrypt authentication requests that they send to Authentication Manager. 
Authentication Manager uses the node secret to verify the identity of IPv4/IPv6 
authentication agents. IPv4/IPv6 authentication agents do not require a node secret. 
You can manually create a node secret in the Authentication Manager server and 
export it to the agent host. Once the node secret file is imported into the agent host 
machine, you must run the agent_nsload utility to extract the node secret file and 
store it appropriately. The node secret can be stored either in the default path or in a 
user-defined path.
The Node Secret Load utility, agent_nsload, is located in the RSA Authentication 
Manager 8.1 download kit.
Before You Begin
• On Windows 2008, Windows Vista, and Windows 7 or later, with the User 
Account Control feature enabled, the agent_nsload utility must be run from an 
elevated command prompt if the node secret is being stored at the default location, 
drive:\%windir%\system32.
• The sdconf.rec file must be present in the destination folder on the host machine.
Procedure
1. To extract the node secret to the default location, using the agent_nsload utility, 
type:
• On UNIX:
agent_nsload -f /default_dir/nodesecret.rec 
• On Windows:
agent_nsload -f C:\default_path\ nodesecret.rec 
To extract the node secret to a user-defined location, using the agent_nsload 
utility, type:
• On UNIX:
agent_nsload -f /VAR_ACE/nodesecret.rec -d 
/VAR_ACE/new_dir/
• On Windows:
agent_nsload -f C:<windows path>\System32\ 
nodesecret.rec -d C:\<windows path>\System32\new_dir\
2. When prompted, type the password and press Enter.
Library application class:C# TIFF: Learn to Convert MS Word, Excel, and PPT to TIFF Image
Excel, PPT to TIFF. Learn How to Change MS Word, Excel, and PowerPoint to TIFF Image File in C#. Overview for MS Office to TIFF Conversion. In order to convert
www.rasteredge.com
Library application class:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
slide, extract slides and merge/split PPT file without depending control add-on can do PPT creating, loading & profession imaging controls, PDF document, image
www.rasteredge.com
C: Deploying IPv4/IPv6 Authentication Agents
465
RSA Authentication Manager 8.1 Administrator’s Guide
Resolving Common IPv4/ IPv6 Issues
The following table lists common IPv4/IPv6 agent issues, their possible causes, and 
the corresponding resolutions.
Create IPv6 Network Settings on a Primary or Replica Instance
You can use the Operations Console on a primary or replica instance to create IPv6 
network settings that support IPv6-compliant agents. Authentication Manager 
supports the TCP agent protocol. By default, Authentication Manager port 5500 
supports IPv4- and IPv6-compliant agents. For all other services and ports, IPv4 is 
supported. Configuring IPv6 in the Operations Console does not enable its use for 
communications between the primary instance and replica instances.
Procedure
1. In the Operations Console, click Administration > Network > Appliance 
Network Settings.
2. Click Edit Network Settings.
Problem
Possible Cause
Resolution
Bootstrap.xml not found.
The sdconf.rec file is 
incorrect, missing or is in an 
inaccessible location.
Generate the Authentication 
Manager Configuration File
on page 69
Unable to retrieve 
configuration data
• The agent cannot connect 
to the server.
• Agent created on server.
• Verify communication 
between the agent and 
server
• Verify that the correct 
agent name exists on the 
server
Agent Credential Mismatch 
Error
The node secret is defined on 
the server and not on the 
agent, or vice versa.
D
eploying an IPv4/IPv6 
Authentication Agent
on 
page 462
Crypto algorithm 
unsupported.
The unlimited strength 
cryptography policy is not 
installed (Agent SDK).
Install the unlimited strength 
cryptography policy. For 
more information see 
http://www.oracle.com/tech
network/java/javase/downl
oads/jce-6-download-42924
3.html
Unable to perform 
Diffie-Hellman (DH) Key 
agreement
The RSA cryptographic 
provider is not installed. 
(Agent SDK)
Alter security providers by 
replacing the com.sun 
providers with com.rsa 
equivalents.
Library application class:Online Convert PDF file to Word. Best free online PDF Conversion
Online PDF to Word Converter. Download Free Trial. Convert a PDF File to Word. Just upload your file by clicking on the blue button
www.rasteredge.com
Library application class:VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
Save PPT File. Contrary to PowerPoint document inputting and loading, users can certainly export and save the PPT file after the creating or editing.
www.rasteredge.com
466
C: Deploying IPv4/IPv6 Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
3. Under IPv6 Settings, check Enable for IPv6.
4. In the IPv6 Address field, enter a valid IPv6 address, for example, 
2001:0db8:85a3:0000:0000:8a2e:0370:7335.
5. In the IPv6 Prefix field, enter a prefix length, for example, 64.
6. Click Next. 
The Operations Console displays a review page.
7. Select Yes, change the network settings, and click Change Network Settings.
Authentication Manager restarts services.
Next Step
Update the DNS server with the new IP address.
Enabling IPv6 in the VMware or Hyper-V Infrastructure
You can enable the VMware or Hyper-V infrastructure to process authentication 
requests sent from agents using an IPv6 address. For more information, see your 
VMware or Hyper-V documentation.
Glossary
467
RSA Authentication Manager 8.1 Administrator’s Guide
Glossary
Active Directory
The directory service that is included with Microsoft Windows Server 2003 SP2, 
Microsoft Windows Server 2008, and Microsoft Windows Server 2008 R2.
Active Directory forest
A federation of identity servers for Windows Server environments. All identity servers 
share a common schema, configuration, and Global Catalog.
administrative role
A collection of permissions and the scope within which those permissions apply.
administrator
Any user with one or more administrative roles that grant administrative permission to 
manage the system.
agent host
The machine on which an agent is installed.
appliance
The hardware or guest virtual machine running RSA Authentication Manager. The 
appliance can be set up as a primary instance or a replica instance.
approver
A Request Approver or an administrator with approver permissions.
assurance level
For risk-based authentication, the system categorizes each authentication attempt into 
an assurance level that is based on the user’s profile, device, and authentication 
history. If the authentication attempt meets the minimum assurance level that is 
required by the RBA policy, the user gains access to the RBA-protected resource. 
Otherwise, the user must provide identity confirmation to access the RBA-protected 
resource.
attribute
A characteristic that defines the state, appearance, value, or setting of something. In 
Authentication Manager, attributes are values associated with users and user groups. 
For example, each user group has three standard attributes called Name, Identity 
Source, and Security Domain.
attribute mapping
The process of relating a user or user group attribute, such as User ID or Last Name, to 
one or more identity sources linked to the system. No attribute mapping is required in 
a deployment where the internal database is the primary identity source.
audit information
Data found in the audit log representing a history of system events or activity 
including changes to policy or configuration, authentications, authorizations, and so 
on.
468
Glossary
RSA Authentication Manager 8.1 Administrator’s Guide
audit log
A system-generated file that is a record of system events or activity. The system 
includes four such files, called the Trace, Administrative, Runtime Audit, and System 
logs.
authentication
The process of reliably determining the identity of a user or process.
authentication agent
A software application installed on a device, such as a domain server, web server, or 
desktop computer, that enables authentication communication with Authentication 
Manager on the network server. See agent host.
authentication method
The type of procedure required for obtaining authentication, such as a one-step 
procedure, a multiple-option procedure (user name and password), or a chained 
procedure. 
authentication protocol
The convention used to transfer the credentials of a user during authentication, for 
example, HTTP-BASIC/DIGEST, NTLM, Kerberos, and SPNEGO.
authentication server
A component made up of services that handle authentication requests, database 
operations, and connections to the Security Console.
authenticator
A device used to verify a user's identity to Authentication Manager. This can be a 
hardware token (for example, a key fob) or a software token.
authorization
The process of determining if a user is allowed to perform an operation on a resource.
backup
A file that contains a copy of your primary instance data. You can use the backup file 
to restore the primary instance in a disaster recovery situation. An RSA 
Authentication Manager backup file includes: the internal database, appliance-only 
data and configuration, keys and passwords used to access internal services, and 
internal database log files. It does not include all the appliance and operating system 
log files. 
certificate
An asymmetric public key that corresponds with a private key. It is either self-signed 
or signed with the private key of another certificate.
certificate DN
The distinguished name of the certificate issued to the user for authentication.
command line utility (CLU)
A utility that provides a command line user interface.
Glossary
469
RSA Authentication Manager 8.1 Administrator’s Guide
core attributes
The fixed set of attributes commonly used by all RSA products to create a user. These 
attributes are always part of the primary user record, whether the deployment is in an 
LDAP or RDBMS environment. You cannot exclude core attributes from a view, but 
they are available for delegation.
Cryptographic Token-Key Initialization Protocol (CT-KIP)
A client-server protocol for the secure initialization and configuration of software 
tokens. The protocol requires neither private-key capabilities in the tokens, nor an 
established public-key infrastructure. Successful execution of the protocol results in 
the generation of the same shared secret on both the server as well as the token.
custom attributes
An attribute you create in Authentication Manager and map to a field in an LDAP 
directory. For example, you could create a custom attribute for a user’s department.
data store
A data source, such as a relational database (Oracle or DB2) or directory server 
(Microsoft Active Directory or Oracle Directory Server). Each type of data source 
manages and accesses data differently.
delegated administration
A scheme for defining the scope and responsibilities of a set of administrators. It 
permits administrators to delegate a portion of their responsibilities to another 
administrator.
delivery address
The e-mail address or the mobile phone number where the on-demand tokencodes will 
be delivered.
deployment
An installation of Authentication Manager that consists of a primary instance and, 
optionally, one or more replica instances.
demilitarized zone
The area of a network configured between two network firewalls.
device history
For risk-based authentication, the system maintains a device history for each user. It 
includes the devices that were used to gain access to protected resources.
device registration
For risk-based authentication, the process of saving an authentication device to the 
user’s device history.
distribution file password
A password used to protect the distribution file when the distribution file is sent by 
e-mail to the user.
distributor
A Token Distributor or an administrator with distributor permissions.
DMZ
See demilitarized zone.
470
Glossary
RSA Authentication Manager 8.1 Administrator’s Guide
dynamic seed provisioning
The automation of all the steps required to provide a token file to a device that hosts a 
software token, such as a web browser, using the Cryptographic Token-Key 
Initialization Protocol (CT-KIP). 
e-mail notifications
Contain status information about requests for user enrollment, tokens, and user group 
membership that is sent to users who initiated the request. For token requests, e-mail 
notifications also contain information about how to download and activate tokens. 
Request Approvers and Token Distributors receive e-mail notifications about requests 
that require their action. See e-mail templates.
e-mail templates
Templates that administrators can use to customize e-mail notifications about user 
requests for user enrollment, tokens, user group membership, or the on-demand 
tokencode service. See e-mail notifications.
excluded words dictionary
A dictionary containing a record of words that users cannot use as passwords. It 
prevents users from using common, easily guessed words as passwords.
fixed passcode
Similar to a password that users can enter to gain access in place of a PIN and 
tokencode. The format for fixed passcodes is defined in the token policy assigned to a 
security domain. An administrator creates a fixed passcode in a users authentication 
settings page. Fixed passcodes can be alphanumeric and contain special characters, 
depending on the token policy.
Global Catalog
A read-only, replicated repository of a subset of the attributes of all entries in an 
Active Directory forest.
Global Catalog identity source
An identity source that is associated with an Active Directory Global Catalog. This 
identity source is used for finding and authenticating users, and resolving group 
membership within the forest.
identity attribute
Customer-defined attributes that are mapped to an existing customer-defined schema 
element. They are always stored in the same physical repository as the user’s or user 
group’s core attribute data. You can search, query, and report on these attributes. Each 
identity attribute definition must map to an existing attribute in an LDAP directory or 
RDBMS. 
identity confirmation method
For risk-based authentication, an authentication method that can be used to confirm a 
user’s identity.
identity source
A data store containing user and user group data. The data store can be the internal 
database or an external directory server, such as Microsoft Active Directory.
Documents you may be interested
Documents you may be interested