アカウント単位

Account Unit は、1つまたは複数のLDAPサーバ上のユーザ情報のブランチを表します。アカウントユニットは、LDAPサーバとSecurity Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。およびSecurity Gatewayの間のインタフェースである。

アカウントユニットは、1つまたは複数のLDAPサーバを表す数を持つことができます。ユーザは、1つのアカウントユニットのブランチ間、または異なるアカウントユニット間で分割されます。

- Identity Awareness and Mobile Access Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。を有効にすると、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で初期設定ウィザードが表示されます。このウィザードのActive Directory Integration ウィンドウでは、新しいADアカウントユニットを作成することができます。ウィザードを完了すると、SmartConsoleはADオブジェクトとアカウントユニットを作成します。

LDAPアカウント単位での作業

SmartConsoleのLDAP Account Unit Properties ウィンドウを使用して、既存のアカウントユニットを新規作成または編集したり、手動で新規作成したりすることができます。

既存のLDAPアカウントユニットを作成または編集する。

    • 作成します。Objects タブで、New > More > User/Identity > LDAP Account unit をクリックします。

    • 次を編集します:SmartConsoleで、Object ExplorerCTRL+E キーを押す)を開く> Users/Identities > LDAP Account Units > LDAP Account Unitを右クリックし、Edit

    LDAP Account Unit Propertiesウィンドウが開きます。

  2. これらのタブの設定を編集します。

    • Security Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。がAccount Unitをどのように使用するかを設定する。

      これらは、General タブの設定フィールドです。

      • Name - アカウントユニットの名前

      • Comment - 任意コメント

      • Color - アカウントユニットに関連付けられたオプションの色

      • Profile - LDAPベンダ

      • Domain - 複数のAccount Unitで同じユーザ名を使用する場合のActive Directoryサーバのドメイン(この値は、AD QueryおよびSSOでも必要です。)

      • Prefix - Active Directory以外のサーバで、複数のAccount Unitで同じユーザ名を使用する場合のプレフィックス

      • Account Unit usage - 該当するオプションを選択します。

        • CRL retrieval - Security Management Serverは、失効したライセンスに関する情報をCAからSecurity Gatewayに送信する方法を管理します。

        • User Management - Security Management Serverは、このLDAPサーバのユーザ情報を使用します(Security Management ServerでUser Directoryが有効になっている必要があります)。

          - LDAP SSO(シングルサインオン)は、User Management を使用する Account Unit オブジェクトにのみサポートされています。

        • Active Directory Query - このActive Directoryサーバは、Identity Awarenessのソースとして使用される。

          :このオプションは、ProfileMicrosoft_AD に設定されている場合のみ利用可能です。

      • Enable Unicode support - 非英語圏のLDAPユーザ情報のエンコーディング

      • Active Directory SSO configuration - Active Directory の Kerberos SSO を構成するためにクリックする -Domain Name,Account Name,Password, および Ticket encryption method

    • このアカウントユニットが使用するLDAPサーバを管理します。LDAPサーバのオブジェクトを追加、編集、削除することができます。

      アカウントユニットにLDAPサーバを設定するには

      1. 新しいサーバを追加するには、Add をクリックします。既存のものを編集するには、表からそれを選択し、Edit をクリックします。

        LDAP Server Propertiesウィンドウが開きます。

      2. Host ドロップダウン・メニューから、サーバ・オブジェクトを選択します。

        必要であれば、新しいSmartConsoleサーバオブジェクトを作成します。

        1. Newをクリックします。

        2. New Host ウィンドウが開いたら、LDAP サーバの設定を入力します。

        3. OKをクリックします。。

      3. ログイン認証情報を入力し、Default priority

      4. Check Point Gatewayのアクセス権を選択します。

        • Read data from this server

        • Write data to this server

      5. Encryption 」タブで、オプションのSSL暗号化設定を行います。これらの設定について知りたい場合は、ヘルプを参照してください。? をクリックするか、Encryption タブの F1 キーを押します。

      6. OKをクリックします。。

      アカウントユニットからLDAPサーバを削除する場合。

      1. 表からサーバを選択します。

      2. Removeをクリックします。

      設定されているすべてのサーバが同じログイン情報を使用している場合、それらを同時に変更することができます。

      すべてのサーバのログイン認証情報を同時に設定する場合。

      1. Update Account Credentialsをクリックします。

        Update Account to All Serversウィンドウが開きます。

      2. ログイン認証情報を入力します。

      3. OKをクリックします。。

    • Security Management Serverが問い合わせるLDAPサーバと、使用するブランチを設定します。

      - Security Management Serverと管理ディレクトリを保持するLDAPサーバの間にLDAP接続があることを確認してください。

      LDAPクエリパラメータを設定する。

      1. Manage objects on ドロップダウンメニューから、LDAP サーバオブジェクトを選択します。

      2. Fetch branchesをクリックします。

        Security Management Serverは、LDAPブランチに問い合わせを行い、表示します。

      3. Branches in useを設定します。

        • ブランチを追加するには、Add をクリックし、開いた LDAP Branch Definition ウィンドウに、新しい Branch Path

        • ブランチを編集するには、Edit をクリックし、開いた LDAP Branch Definition ウィンドウで、以下を変更します。 Branch Path

        • ブランチを削除するには、ブランチを選択し Delete

      4. 必要に応じて、Prompt for password when opening this Account Unit 、を選択します(オプション)。

      5. LDAP データベースに保存されるReturn entries の数を設定します(デフォルトは 500)。

    • アカウントユニットの認証方式を設定します。これらは、「認証」タブの設定フィールドです。

      • Use common group path for queries - すべてのLDAPグループオブジェクトに1つのパスを使用することを選択します(グループオブジェクトには1つのクエリのみが必要です)。

      • Allowed authentication schemes - このアカウントユニットでユーザを認証するために許可される認証方式を1つ以上選択します -Check Point Password,SecurID,RADIUS,OS Password, または TACACS

      • ユーザのデフォルト値 - 新しいLDAPユーザのデフォルト設定です。

        • User template - 作成したテンプレート

        • Default authentication scheme -Allowed authentication schemes セクションで選択された認証方式の一つ。

      • Limit login failures - オプションです。

        • Lock user's account after -login failures の数、その後アカウントがロックされます。

        • Unlock user's account after -seconds ロックされたアカウントがロック解除されるまでの回数

      • IKE pre-shared secret encryption key - このAccount UnitのIKEユーザの事前共有秘密鍵。

  3. OKをクリックします。。

  4. アクセスコントロールポリシーをインストールします。

LDAPクエリパラメータの設定

  1. Manage objects on ドロップダウンメニューから、LDAP サーバオブジェクトを選択します。

  2. Fetch branchesをクリックします。

    Security Management Serverは、LDAPブランチに問い合わせを行い、表示します。

  3. Branches in useを設定します。

    • ブランチを追加するには、Add をクリックし、開いた LDAP Branch Definition ウィンドウに、新しい Branch Path

    • ブランチを編集するには、Edit をクリックし、開いた LDAP Branch Definition ウィンドウで、以下を変更します。 Branch Path

    • ブランチを削除するには、ブランチを選択し Delete

  4. 必要に応じて、Prompt for password when opening this Account Unit 、を選択します(オプション)。

  5. LDAP データベースに保存されるReturn entries の数を設定します(デフォルトは 500)。

LDAPサーバの変更

  1. LDAP Account Unit Properties> Serversタブで、サーバをダブルクリックする。

    LDAP サーバのプロパティ」ウィンドウが表示されます。

  2. Generalタブで以下を変更します。

    • LDAPサーバのポート番号

    • ログインDN

    • パスワード

    • LDAPサーバが複数ある場合は、その優先順位

    • LDAPサーバのSecurity Gatewayの権限について

  3. 暗号化]タブでは、Security Management Server / Security GatewaysとLDAPサーバ間の暗号化設定を変更することができます。

    接続が暗号化されている場合は、暗号化ポートと暗号化強度の設定を入力します。

    - User Directory接続は、認証局(CA)からのクライアント証明書によって認証することができます。証明書を使用するには、LDAP サーバに SSL 強力認証が設定されている必要があります。証明書による認証」を参照してください。

アカウントユニットとハイアベイラビリティ

ハイアベイラビリティのためのユーザディレクトリ閉じた LDAP およびその他の外部ユーザ管理サーバを Check Point 製品およびセキュリティソリューションと統合する管理サーバ上の Check Point Software Blade。のレプリケーションでは、1つのアカウントユニットがレプリケートされたすべてのユーザディレクトリサーバを表します。例えば、1つのAccount Unitに2つのUser Directoryサーバのレプリケーションを定義し、2つのSecurity Gatewayで同じAccount Unitを使用することができる。

項目

説明

1

Security Management Server。User Directoryのユーザデータを管理する。Account Unitオブジェクトを持ち、そこに2つのサーバが定義されている。

2

User Directory server のレプリケーションを使用します。

3

セキュリティゲートウェイ。ユーザデータを照会し、最寄りのUser DirectoryサーバのレプリケーションからCRLを取得する(2)。

4

インターネット

5

セキュリティゲートウェイ。ユーザデータを照会し、最寄りのユーザディレクトリサーバのレプリケーション(6)からCRLを取得する。

6

User Directory server のレプリケーションを使用します。

ハイアベイラビリティの優先順位の設定

複数のレプリケーションがある場合、アカウント単位で各LDAPサーバの優先度を定義します。そして、Security Gatewaysにサーバリストを定義することができます。

Security Management Serverが接続するLDAPサーバを1つ選択します。Security Management Serverは、1つのLDAPサーバのレプリケーションで動作させることができます。他のすべてのレプリケーションはスタンバイのために同期される必要があります。

  1. LDAP Account Unit Properties ウィンドウを開きます。

  2. Servers タブを開きます。

  3. このAccount UnitのLDAPサーバを、希望する優先順位で追加します。

証明書による認証

Security Management ServerとSecurity Gatewayは、LDAPサーバとの通信を安全に行うために証明書を使用することができます。証明書を設定しない場合、管理サーバ、Security Gateway、およびLDAPサーバは、認証なしで通信します。

  1. 管理サーバに接続しているSmartConsoleのウィンドウをすべて閉じます。

  2. 証明書による認証を行う各Account Unitで、ldap_use_cert_auth 属性をtrue に設定します。

    1. Database Tool (GuiDBEdit Tool) (sk13009参照)を使って、Management Serverへ接続します。

    2. 左ペインで、Table > Managed Objects > servers をブラウズします。

    3. 右ペインで、Account Unitオブジェクトを選択します。

    4. 下のペインで、ldap_use_cert_auth 属性を検索し、true に設定します。

    5. 変更を保存して、データベースツール(GuiDBEdit Tool)を閉じます。

  3. SmartConsoleで管理サーバに接続します。

  4. CAオブジェクトを追加する。

    1. Objects Bar (F11) から、New > More > Server > More > Trusted CA をクリックします。

      認証局のプロパティ」ウィンドウが表示されます。

    2. 認証局の種類で、External Check Point CA を選択します。

    3. CAのその他のオプションを設定します。

  5. 証明書ベースのユーザディレクトリ接続を必要とするすべての必要なネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。(Security Management Server、Security Gateway、Policy Serverなど)用です。

    1. ネットワークオブジェクトプロパティのIPSec VPN ページで、Repository of Certificates Available リストからAdd をクリックします。

      - 管理専用サーバには、IPsec VPN閉じた サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。 ページはありません。管理専用サーバのユーザディレクトリは、証明書を使用してLDAPサーバに認証するように設定することはできません。

    2. Certificate Properties ウィンドウで、定義された CA を選択します。

  6. Security Management ServerとLDAP Server間の接続をテストします。LDAP情報の管理」を参照してください。