二、RSA SecurID针对域用户登录及网络设备认证的原因及过程

　　1、通过安装代理软件实现域用户登陆的双因素安全认证：

　　在WINDOWS平台机器上安装RSA AGENT软件，通过设置来实现对特定用  户进行验证（此时亦应在RSA AM上添加代理用户（域用户）及被访问的服务器（又称为代理主机））。（图4）

　　如图所示，在"Passcode"栏后输入令牌码+PIN码，此时Passcode将被发送到RSA AM进行认证，如果是合法用户就能被授权进行下一步如输入当前用户的密码，然后就能登陆到域并访问域中资源了。

　　注意，此处的"Passcode"也可以只是令牌码，也就是不用使用PIN码。后文会图文展示如何实现。但安全性相对来说会降低些。

　　2、通过RADIUS协议实现网络设备的双因素安全认证：

　　配置这些网络设备通过RADIUS协议来使用SECURID实现双因素认证，当用户需要TELNET或SSH到这些网络设备时，必须输入用户名和双因素Passcode，然后由这些网络设备通过RADIUS协议将Passcode发送到认证服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。（图5）

　　如图所示，这是在Cisco ASA 5520防火墙上进行的使用RADIUS 协议进行验证，而且还配置了当RSA AM出现问题时使用本地验证。

　　注意，此时，需要在RSA AM上添加代理用户及代理主机（防火墙的IP地址）。如果是使用SSH登陆，需要在SSH登陆用户名和密码中输入代理用户名和令牌码（+PIN码），而且登陆输入EN后，也需要再次输入当前令牌上所显示的下一个令牌码（60秒变换一次）。（图6）