非ローカル Gaia ユーザ向け RADIUS サーバの設定

非ローカルユーザは、GaiaではなくRADIUSサーバで定義できます。

非ローカルユーザがGaiaにログインすると、RADIUSサーバでユーザが認証されて該当する権限が割り当てられます。

非ローカル・ユーザを適切に認証して承認するように、RADIUS サーバを設定する必要があります。

- パスワードを空にしてRADIUSユーザを定義すると(RADIUSサーバで)、そのユーザはGaiaで認証できなくなります。

さらに、sk72940 を参照。

ステップ

手順

1

該当する辞書ファイルを RADIUS サーバにコピーします。

 

  1. このファイルを Gaia から RADIUS サーバにコピーします。

    /etc/radius-dictionaries/checkpoint.dct

  2. 以下の行をRADIUSサーバのvendor.iniファイルに追加します(他社製品もあるためファイル内ではアルファベット順)。

    vendor-product = Check Point Gaia
    dictionary = nokiaipso
    ignore-ports = no
    port-number-usage = per-port-type
    help-id = 2000

  3. 次の行をdictiona.dcmファイルに追加します。

    "@checkpoint.dct"

 

  1. このファイルを Gaia から RADIUS サーバにコピーします(/etc/freeradius/ディレクトリ):

    /etc/radius-dictionaries/dictionary.checkpoint

  2. 次の行を/etc/freeradius/dictionaryファイルに追加します。

    "$INCLUDE dictionary.checkpoint"

 

  1. このファイルを Gaia から RADIUS サーバにコピーします(/etc/openradius/subdicts/ディレクトリ):

    /etc/radius-dictionaries/dict.checkpoint

  2. dict.ascendの後すぐにこの行を/etc/openradius/dictionariesファイルに追加します。

    $include subdicts/dict.checkpoint

2

Gaia でユーザのロールを定義します。

このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

CP-Gaia-User-Role = "role1,role2,...

例:

CP-Gaia-User-Role = "adminrole, backuprole, securityrole"

3

Gaia シェルへのスーパーユーザ アクセスが必要な Check Point ユーザを定義します。

このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

  • このユーザにスーパーユーザ権限を付与しない場合:

    CP-Gaia-SuperUser-Access = 0

  • このユーザがスーパーユーザ権限を取得できる場合:

    CP-Gaia-SuperUser-Access = 1

スーパーユーザ権限を持つユーザは、ファイルシステムでの作業を含めたシステムレベルの操作を行うためのGaiaシェルを使用できます。

スーパー ユーザ権限は、Check Pointのベンダー固有の属性で定義されています。

UIDが 0 のユーザには、スーパー ユーザ権限があります。

rootユーザが実行できるすべてのコマンドを実行できます。

UID が 96 のユーザは、sudoコマンドを実行してスーパーユーザ権限を取得します。

すべての非ローカル ユーザの UID は、/etc/passwdファイルで定義されます。

重要 -Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループのエキスパートモードで該当するコマンドを実行する必要があります。

ステップ

手順

1

Gaia のコマンドラインに接続します。

2

Expertモードにログインします。

3

次を実行します:

sudo /usr/bin/su -

ユーザにスーパーユーザ権限が付与されました。