TACACSサーバ認証によるユーザアカウントの作成

TACACS（Terminal Access Controller Access Control System）は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。

TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、リモートユーザからの認証要求をTACACSサーバに転送します。ユーザのアカウント情報を保存するTACACSサーバで、ユーザ認証が行われます。物理的なカードキーデバイスやトークンカード、Kerberosの秘密キー認証に対応しています。TACACSは、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信の安全性を確保する。

TACACS認証を使用するようにセキュリティゲートウェイを設定するには、サーバを設定し、セキュリティゲートウェイでTACACS認証の使用を有効にする必要があります。

ユーザは、TACACSサーバまたはTACACSサーバグループを通じてTACACS認証を実行できます。ユーザは、TACACSサーバまたはTACACSサーバグループを通じてTACACS認証を実行できます。グループを作成する際に、グループ内の各サーバに優先順位を定義します。優先順位の高いサーバに障害が発生すると、グループ内で次に優先順位の高いサーバに引き継がれ、その後も同様になります。

TACACSサーバによる認証を構成した後、さらに証明書ファイルによる認証を構成することができます。その後、ユーザはTACACSサーバまたは証明書ファイルを使ってセキュリティゲートウェイを認証できます。

ユーザのTACACSサーバ認証を設定する手順

SmartConsoleで、新しいTACACS+サーバオブジェクトを設定します。

SmartConsoleで、TACACSサーバを作成します：

オブジェクトエクスプローラー＞New ＞More ＞Server ＞TACACSへ移動します。
サーバにNameを指定します。任意の名前を選択できます。
Hostフィールドで、ドロップダウン矢印をクリックし、New クリックし、New Hostを作成します。TACACSサーバのIP address 。
クリックOK。
このホストがNew TACACSウィンドウのHostフィールドに表示されていることを確認します。

Servers Typeを選択します。

ベストプラクティス - デフォルトはTACACSですが、TACACS+を推奨します。

Secret key（TACACS+サーバタイプを選択した場合のみ必須）を入力します。
クリックOK。

新規ユーザを作成し、認証方法としてTACACSを定義します。

オブジェクトエクスプローラ（F11）で、New > More > User/Identity > Userをクリックします。

New Userウィンドウが開きます。
テンプレートを選択し、OKをクリックします。
User Name - 一意の、大文字と小文字を区別する文字列を入力します。

Check Point以外の認証局でユーザ証明書を生成する場合、識別名（DN）の構成要素である共通名（CN）を入力します。

例えば、DNが[CN = James, O = My Organization, C = My Country]の場合、ユーザ名にはJamesと入力します。ユーザ名としてコンテナを使用する場合、コンテナにはスペースを含まず、正確に1つの文字列を含める必要があります。
ユーザのGeneral Propertiesを設定します：
1. Expiration Date - ユーザがネットワークリソースやアプリケーションへのアクセスを許可されなくなる日付。デフォルトでは、メインメニュー >Global Properties >User Accounts >Expiration Date で定義された日付が有効期限として表示されます。
2. オプション設定：Comment、Email Address、Mobile Phone Number。
Groups - このウィンドウを使用して、ユーザをユーザグループに追加します。

ユーザのAuthenticationを設定する：ドロップダウンメニューから、TACACS を選択します。

重要 - 認証方式を選択しない場合は、ユーザはログインもしくはネットワークリソースを利用できません。

Locationで、このユーザがデータおよびトラフィックにアクセスまたは送信できるオブジェクトを選択します。

Allowed locationsセクションで：
- Sources- Addをクリックすると、選択したオブジェクトがこのユーザの許可されたリソースに追加されます。ユーザはこれらのオブジェクトからデータやトラフィックを取得することができます。
- Destination- Addをクリックすると、選択したオブジェクトがこのユーザの許可された宛先に追加されます。ユーザはこれらのオブジェクトに対して、データやトラフィックを送信できます。
Time - ユーザに特定の勤務日または勤務時間がある場合、ユーザがいつアクセス認証できるかを設定できます。
- FromおよびTo - 予定勤務日の開始時刻と終了時刻を入力します。このユーザは、指定された範囲外の時刻にログインを試みた場合、認証されません。
- Days in weekまたはDaily - ユーザがリソースを認証してアクセスできる日を選択します。このユーザは、未選択の日にログインを試みた場合、認証されません。
Certificates ：

ユーザアカウントのSIC証明書を生成し、登録します。これにより、Check Pointシステムにおけるユーザの認証が行われます。アクセスコントロールを強化するために、認証が必要な証明書を使用します。
1. Newをクリックします。
2. キーまたはp12ファイルを選択します。
  - Registration key for certificate enrollment- 証明書をアクティブにする登録キーを送信する場合は選択します。プロンプトが表示されたら、登録キーが失効する前にユーザが証明書を有効にする日数を選択します。
  - Certificate file (p12)- ユーザ用のプライベートパスワード付き証明書ファイル（.p12）を作成する場合に選択します。プロンプトが表示されたら、証明書のパスワードを入力し、確認します。
3. クリックOK
ユーザがしばらくの間システムにいない場合（長期休暇に入る場合など）、証明書を失効させることができます。これにより、ユーザアカウントはシステムに残りますが、証明書を更新するまで、ユーザはそのアカウントにアクセスできなくなります。

証明書を失効させるには、証明書を選択し、Revokeをクリックします。
Encryption：

ユーザがリモートロケーションからリソースにアクセスする場合、リモートユーザと内部リソース間のトラフィックは暗号化されます。リモートアクセスユーザの暗号化設定を行います。
1. ユーザの暗号化方式を選択します。
2. クリックEdit。
  
  暗号化Propertiesウィンドウが開きます。
  
  次のステップは、IKE Phase 2です。オプションは方法によって異なる場合があります。
3. Authenticationタブを開きます。
4. 認証方式を選択します。
  - Password- ユーザは事前に共有された秘密のパスワードで認証します。パスワードを入力し、確認のためにパスワードを再入力します。
  - Public Key- ユーザは、証明書ファイルに含まれる公開鍵で認証を行います。
クリックOK。

オプション：SmartConsole のユーザ認証用にTACACSサーバグループを設定します。
1. SmartConsoleで、サーバグループに含めるすべてのサーバを設定します。
  
  各サーバについて、グループ内の優先順位を入力します。数字が小さいほど優先順位が高くなります。
  
  たとえば、優先度1、2、3の3台のサーバでグループを作成した場合、1番のサーバが1番目に、2番のサーバが2番目に、3番のサーバが3番目にアプローチされます。
2. サーバグループを作成します。
  
  SmartConsole のオブジェクトエクスプローラで、New > Server > More > TACACS Groupをクリックします。
3. グループのプロパティを設定し、サーバをグループに追加します。
  1. グループにNameを付けます。任意の名前を選択できます。
  2. 追加する各サーバのプラス（+）をクリックし、ドロップダウンリストから各サーバを選択します。
  3. クリックOK。
  4. SmartConsoleセッションを公開する。
4. 新しいユーザを追加します。
5. SmartConsoleセッションを公開する。