管理者の認証方法を設定する

これらの手順は、administrators の認証方法を設定する方法を示しています。ユーザ認証については、「ユーザユーザアカウントの管理」を参照してください。

認証方法の背景については、「ユーザと管理者の認証方法について」を参照してください。

管理者向けCheck Pointパスワード認証の設定

Check Pointのパスワードは、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。に設定されている静的なパスワードです。管理者の場合、パスワードはSecurity Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。上のローカルデータベースに保存されます。ユーザの場合は、Security Gateway上のローカルデータベースに保存される。追加のソフトウェアは必要ありません。

  1. Manage & Settings > Permissions & Administrators > Administrators にアクセスしてください。

  2. Newをクリックします。

  3. New Administratorウィンドウが開きます。

  4. 管理者の名前を付ける。

  5. Authentication method で、Check Point Password を選択します。

  6. Set New Password をクリックし、Password を入力し、Confirm

  7. Permission Profile を割り当てる .

  8. OKをクリックします。。

  9. SmartConsoleセッションを公開する。

管理者用OSパスワード認証の設定

ここでは、管理者用のOSパスワード認証を設定する方法を説明します。

OSパスワードは、Security Gateway(ユーザ用)またはSecurity Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。(管理者用)がインストールされているコンピュータのOS上に保存されます。また、Windowsドメインに保存されているパスワードも使用することができます。追加のソフトウェアは必要ありません。

  1. Manage & Settings > Permissions & Administrators > Administrators にアクセスしてください。

  2. Newをクリックします。

  3. New Administratorウィンドウが開きます。

  4. 管理者の名前を付ける。

  5. Authentication method で、OS Password を選択します。

  6. Permission Profile を割り当てる .

  7. OKをクリックします。。

  8. SmartConsoleセッションを公開する。

管理者のためのRADIUSサーバ認証の設定

SmartConsoleの管理者のRADIUS認証は、RADIUSサーバまたはRADIUSサーバグループを通して行うことができます。RADIUSサーバグループは、同一のRADIUSサーバからなるハイアベイラビリティなグループであり、システム内の任意またはすべてのRADIUSサーバが含まれます。グループを作成する際に、グループ内の各サーバに優先順位を定義します。優先順位の高いサーバに障害が発生した場合は、グループ内で次に優先順位の高いサーバに引き継がれ、以下同様となります。注:RADIUSサーバのグループを定義する場合、グループの全メンバーが同じプロトコルを使用する必要があります。

RADIUSサーバの設定方法については、ベンダーのドキュメントを参照してください。

SmartConsoleの管理者認証にRADIUSサーバを設定する手順

  1. オブジェクトエクスプローラーで、New > More Object Types > Server > More > New RADIUS を選択します。

    1. サーバにName.どんな名前でもいいんです。

    2. New をクリックし、RADIUS サーバのIP addressNew Host を作成します。

    3. OKをクリックします。。

    4. このホストがRadius Server Properties ウィンドウのHost フィールドに表示されていることを確認します。

    5. Shared Secret フィールドに、以前に RADIUS サーバで定義した秘密鍵を入力します。

    6. OKをクリックします。。

    7. SmartConsoleセッションを公開する。

    1. Manage & Settings > Permissions & Administrators > Administrators にアクセスしてください。

    2. Newをクリックします。

      New Administratorウィンドウが開きます。

    3. 管理者にRADIUSサーバで定義した名前を付けます。

    4. Permission Profile を割り当てる .

    5. Authentication method で、RADIUS を選択します。

    6. 先ほど定義したRADIUS Server を選択します。

    7. OKをクリックします。。

    8. SmartConsoleセッションを公開する。

SmartConsoleの管理者認証にRADIUSサーバグループを設定するには

  1. SmartConsoleで、SmartConsoleの管理者認証にRADIUSサーバを設定する手順の説明に従って、サーバグループに含めるサーバをすべて設定します。各サーバについて、グループ内の優先順位を入力します。数字が小さいほど優先順位が高い。例えば、優先度1,2,3の3台のサーバでグループを作成した場合、1番のサーバが1番目に、2番のサーバが2番目に、3番のサーバが3番目にアプローチされることになります。

  2. サーバグループを作成します。SmartConsoleのオブジェクトエクスプローラで、New > Server > More > RADIUS Group をクリックします。

  3. グループのプロパティを設定し、サーバをグループに追加します。

    1. グループにName.どんな名前でもいいんです。

    2. 追加する各サーバのプラス(+)をクリックし、ドロップダウンリストから各サーバを選択します。

    3. OKをクリックします。。

    4. SmartConsoleセッションを公開する。

  4. SmartConsoleの管理者認証にRADIUSサーバを設定する手順の説明に従って、新しい管理者を追加します。

  5. SmartConsoleセッションを公開する。

管理者用SecurIDサーバ認証の設定

この手順では、SmartConsoleの管理者用のSecurIDサーバを設定する方法を説明します。SecurID サーバの設定方法については、ベンダーのドキュメントを参照してください。

SecurIDは、ユーザがトークン認証装置を所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供される。ハードウェアトークンはキーホルダーやクレジットカードサイズのデバイスで、ソフトウェアトークンはユーザが認証を行いたいPCやデバイスに常駐する。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースに対して認証を試みる場合、ワンタイムユースコードはAMによって検証されなければならない。

SecurIDを使用して、Security Gatewayはリモートユーザからの認証要求をAMに転送する。管理者の場合、リクエストを転送するのはSecurity Management Serverです。AMは、RSAユーザとその割り当てられたハードトークンまたはソフトトークンのデータベースを管理する。Security GatewayまたはSecurity Management Serverは、AMエージェントとして動作し、すべてのアクセス要求をRSA RMに誘導し、認証を行います。エージェント設定の詳細については、RSA Authentication Managerのドキュメントを参照してください。

SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信することができます。

SecurID用のSecurity Management Serverを設定するには(この手順は、SDKがサポートするAPIを使用している場合のみ該当します)。

  1. Security Managementサーバに今すぐ接続

  2. sdconf.rec ファイルを/var/ace/ ディレクトリにコピーします。

    /var/ace/ ディレクトリが存在しない場合は、このコマンドで作成します。

    mkdir -v /var/ace/

  3. sdconf.rec ファイルにすべての権限を割り当てる。

    chmod -v 777 /var/ace/sdconf.rec

SmartConsoleの管理者にSecurIDサーバを設定するには

  1. SmartConsoleで、Objects > More Object Types > Server > More > New SecurID をクリックします。

  2. SecurID Propertiesを設定します。

    1. サーバにName.どんな名前でもいいんです。

    2. この手順は、SDKがサポートするAPIにのみ関係します。Browse をクリックし、sdconf.rec ファイルを選択します。これは、Security Management Server上にあるファイルのコピーである必要があります。

    3. OKをクリックします。。

  3. 以下のように、新しい管理者を追加します。

    1. Manage & Settings > Permissions & Administrators > Administrators にアクセスしてください。

    2. Newをクリックします。

      New Administratorウィンドウが開きます。

    3. 管理者の名前を付ける。

    4. Permission Profile を割り当てる .

    5. Authentication method で、SecurID を選択します。

  4. SmartConsoleのメニューから、Install Database をクリックします。

管理者用TACACSサーバ認証の設定

SmartConsoleの管理者のTACACS認証は、TACACSサーバまたはTACACSサーバグループを通して行うことができます。TACACSサーバグループとは、システム内の同一のTACACSサーバを集めたハイアベイラビリティのグループです。グループを作成する際に、各サーバの優先順位を定義します。優先順位の高いサーバに障害が発生した場合は、グループ内で次に優先順位の高いサーバに引き継がれ、以下同様となります。

- グループ内のすべてのTACACSサーバは、同じプロトコルを使用する必要があります。

TACACS サーバの設定方法については、ベンダーのドキュメントを参照してください。

SmartConsoleの管理者認証にTACACSサーバを設定するには

  1. オブジェクトエクスプローラーを開き、New > Server > More > TACACS をクリックします。

    1. サーバを入力Name.

    2. Host フィールドで、ドロップダウン矢印をクリックし、New 、TACACS サーバのIP address を使用してNew Host を作成します。

    3. OKをクリックします。。

      このホストは、New TACACS ウィンドウのHost フィールドに表示されるようになりました。

    4. Server typeを選択します。

    5. サーバの種類がTACACS+の場合、TACACS+サーバで以前に定義したSecret key を入力します。

    6. OKをクリックします。。

    7. SmartConsoleセッションを公開する。

    1. Manage & Settings > Permissions & Administrators > Administrators にアクセスしてください。

    2. Newをクリックします。

      New Administratorウィンドウが開きます。

    3. TACACS サーバで定義されている管理者名を入力します。

    4. Authentication Method で、TACACS を選択します。

    5. ドロップダウン・リストから、先に定義したTACACS Server を選択します。

    6. Permission Profile を割り当てる .

    7. OKをクリックします。。

    8. SmartConsoleセッションを公開する。

SmartConsoleの管理者認証にTACACSサーバグループを設定する手順

  1. SmartConsoleの管理者認証にTACACSサーバを設定するにはの説明に従って、SmartConsoleでサーバグループに含めるサーバをすべて設定します。各サーバについて、グループ内の優先順位を入力します。数字が小さいほど優先順位が高い。例えば、優先度1,2,3の3台のサーバでグループを作成した場合、1番のサーバが1番目に、2番のサーバが2番目に、3番のサーバが3番目にアプローチされることになります。

  2. サーバグループを作成します。SmartConsoleのオブジェクトエクスプローラで、New > Server > More > TACACS Group をクリックします。

  3. グループのプロパティを設定し、サーバをグループに追加します。

    1. グループName を入力します。

    2. 追加する各サーバの+ アイコンをクリックし、ドロップダウンリスト からサーバを選択します。

    3. OKをクリックします。。

    4. SmartConsoleセッションを公開する。

  4. SmartConsoleの管理者認証にTACACSサーバを設定するにはの説明に従って、新しい管理者を追加します。

  5. SmartConsoleセッションを公開する。

管理者用APIキー認証の設定

管理者が管理用APIを使用するためのAPIキーをSmartConsoleで設定することができます。

- この管理者は、API でAPIコマンドの実行にのみ使用でき、SmartConsoleの認証に使用することはできません。

  1. SmartConsoleで以下をクリックします。 Manage & Settings > Permissions & Administrators > Administrators

    New アイコンをクリックします。 をトップメニューに表示します。

    New Administratorウィンドウが開きます。

  2. 管理者の名前を指定する

  3. Authentication Methodフィールドで、API Keyを選択します。

  4. Generate API keyをクリックします。

  5. 新しいAPIキーウィンドウが開きます。

    1. Copy key to Clipboardをクリックします。

    2. キーは後で使用するために保存してください(関連する管理者に提供してください)。

  6. OKをクリックします。

  7. SmartConsoleセッションを公開する。

この例では、login の API-key を使用する方法と、API を使用してsimple-gateway を作成する方法を説明します。

  1. エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

  2. ログインには先に生成したキーを使用し、標準出力をファイルに保存します(">"記号を使用してファイルにリダイレクトします)。

    構文

    mgmt_cli login api-key <api-key> > /<path_to>/<filename>

    例:

    mgmt_cli login api-key mvYSiHVmlJM+J0tu2FqGag12 > /var/tmp/token.txt

  3. mgmt_cli コマンドを "-s" フラグを付けて実行します。

    構文

    mgmt_cli -s /<path_to>/<filename> add simple-gateway name <gateway name> ip-address <ip address> one-time-password <password> blade <true>

    例:

    mgmt_cli -s /var/tmp/token.txt add simple-gateway name "gw1" ip-address 192.168.3.181 one-time-password "aaaa" firewall true vpn true

    詳しくは、Check Point Management API Reference をご覧ください。