RADIUSサーバ認証によるユーザアカウントの作成

RADIUS（Remote Authentication Dial-In User Service）は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。

RADIUSを使用すると、管理者によるRADIUSグループへのユーザの割り当てに基づいて、認証されたRADIUSユーザのアクセス権限を制御できます。これらのグループは、セキュリティルールベースで、ユーザが特定のリソースにアクセスすることを制限したり、許可したりするために使用されます。ユーザは自分が属しているグループは知りません。

セキュリティゲートウェイは、リモートユーザによる認証要求を RADIUS サーバに転送します。ユーザのアカウント情報を保存しているRADIUSサーバが認証を行います。

RADIUSプロトコルはUDPを使ってセキュリティゲートウェイと通信する。

RADIUSグループを使用するには、RADIUSサーバのRADIUSユーザプロファイルにreturn属性を定義する必要があります。この属性はセキュリティゲートウェイに返され、ユーザが属するグループ名（例えば、RAD_<RADIUSユーザが属するグループ>）を含む。

Gaiaオペレーティング・システムでは、"Vendor-Specific" (26) 属性を使用する。

RADIUSサーバの設定方法については、ベンダーのドキュメントを参照してください。

ユーザは、RADIUS サーバまたは RADIUS サーバグループを通じて RADIUS 認証を実行できます。RADIUSサーバグループは、同一のRADIUSサーバからなるハイアベイラビリティなグループであり、システム内の任意またはすべてのRADIUSサーバが含まれます。グループを作成する際に、グループ内の各サーバに優先順位を定義します。優先順位の高いサーバに障害が発生すると、グループ内で次に優先順位の高いサーバに引き継がれ、その後も同様になります。

RADIUSサーバによる認証を構成した後、証明書ファイルによる認証も構成できます。その後、ユーザは RADIUS サーバまたは証明書ファイルを使ってセキュリティゲートウェイを認証できます。

ユーザにRADIUSサーバ認証を設定するには

SmartConsoleで、新しいRADIUSサーバオブジェクトを設定します。
1. オブジェクトエクスプローラーを開き、New > More > Server > RADIUSを選択する。
1. サーバにNameを指定します。任意の名前を選択できます。
2. Hostフィールドで、ドロップダウン矢印をクリックし、Newクリックして、RADIUSサーバのNew HostでIP addressを作成します。
3. クリックOK。
4. このホストがNew RadiusウィンドウのHostフィールドに表示されていることを確認します。
5. Shared Secretフィールドに、以前に RADIUSサーバで定義した秘密キーを入力します。
6. クリックOK。
7. SmartConsoleセッションを公開する。

新規ユーザを作成し、認証方法としてRADIUSを定義します。

オブジェクトエクスプローラ（F11）で、New > More > User/Identity > Userをクリックします。

New Userウィンドウが開きます。
テンプレートを選択しクリックOK。
User Name - 一意の、大文字と小文字を区別する文字列を入力します。

Check Point以外の認証局でユーザ証明書を生成する場合、識別名（DN）の構成要素である共通名（CN）を入力します。

例えば、DNが[CN = James, O = My Organization, C = My Country]の場合、ユーザ名にはJamesと入力します。ユーザ名としてコンテナを使用する場合、コンテナにはスペースを含まず、正確に1つの文字列を含める必要があります。
ユーザのGeneral Propertiesを設定します：
1. Expiration Date - ユーザがネットワークリソースやアプリケーションへのアクセスを許可されなくなる日付。デフォルトでは、メインメニュー > Global Properties > User Accounts > Expiration Date で定義された日付が有効期限として表示されます。
2. オプション設定：Comment Email Address Mobile Phone Number
Groups - このウィンドウを使用して、ユーザをユーザグループに追加します。

ユーザのAuthenticationを設定する：ドロップダウンメニューから、RADIUSを選択します。

重要 - 認証方式を選択しない場合は、ユーザはログインもしくはネットワークリソースを利用できません。

Locationで、このユーザがデータおよびトラフィックにアクセスまたは送信できるオブジェクトを選択します。

Allowed locationsセクションで：
- Sources- Addをクリックすると、選択したオブジェクトがこのユーザの許可されたリソースに追加されます。ユーザはこれらのオブジェクトからデータやトラフィックを取得することができます。
- Destination- Addをクリックすると、選択したオブジェクトがこのユーザの許可された宛先に追加されます。ユーザはこれらのオブジェクトに対して、データやトラフィックを送信できます。
Time - ユーザに特定の勤務日または勤務時間がある場合、ユーザがいつアクセス認証できるかを設定できます。
- FromおよびTo - 予定勤務日の開始時刻と終了時刻を入力する。このユーザは、指定された範囲外の時刻にログインを試みた場合、認証されません。
- Days in weekまたはDaily - ユーザがリソースを認証してアクセスできる日を選択します。このユーザは、未選択の日にログインを試みた場合、認証されません。
Certificates ：

ユーザアカウントのSIC証明書を生成し、登録します。これにより、Check Pointシステムにおけるユーザの認証が行われます。アクセスコントロールを強化するために、認証が必要な証明書を使用します。

Newをクリックします。
キーまたはp12ファイルを選択します。
- Registration key for certificate enrollment- 証明書をアクティブにする登録キーを送信する場合は選択する。プロンプトが表示されたら、登録キーが失効する前にユーザが証明書を有効にする日数を選択します。
- Certificate file (p12)- ユーザ用のプライベートパスワード付き証明書ファイル（.p12）を作成する場合に選択します。プロンプトが表示されたら、証明書のパスワードを入力し、確認します。
クリックOK。

ユーザがしばらくの間システムにいない場合（長期休暇に入る場合など）、証明書を失効させることができます。これにより、ユーザアカウントはシステムに残りますが、証明書を更新するまで、ユーザはそのアカウントにアクセスできなくなります。

証明書を失効させるには、証明書を選択し、Revokeをクリックします。

Encryption ：

ユーザがリモートロケーションからリソースにアクセスする場合、リモートユーザと内部リソース間のトラフィックは暗号化されます。リモートアクセスユーザの暗号化設定を行います。

ユーザの暗号化方式を選択します。
クリックEdit。

暗号化Propertiesウィンドウが開きます。

次のステップは、IKE Phase 2です。オプションは方法によって異なる場合があります。
Authenticationタブを開きます。
認証方式を選択します。

Password- ユーザは事前に共有された秘密のパスワードで認証します。パスワードを入力し、確認のためにパスワードを再入力します。
Public Key- ユーザは、証明書ファイルに含まれる公開鍵で認証を行います。

クリックOK。

クリックOK。

オプション：SmartConsoleのユーザ認証用にRADIUSサーバグループを設定します。
1. SmartConsoleで、サーバグループに含めるすべてのサーバを設定します。各サーバについて、グループ内の優先順位を入力します。数字が小さいほど優先順位が高くなります。たとえば、優先度1、2、3の3台のサーバでグループを作成した場合、1番のサーバが1番目に、2番のサーバが2番目に、3番のサーバが3番目にアプローチされます。
2. サーバグループを作成します。
  
  SmartConsoleのオブジェクトエクスプローラで、New >Server >More >RADIUS Groupをクリックします。
3. グループのプロパティを設定し、サーバをグループに追加します。
  1. グループにNameを付けます。任意の名前を選択できます。
  2. 追加する各サーバのプラス（+）をクリックし、ドロップダウンリストから各サーバを選択します。
  3. クリックOK。
  4. SmartConsoleセッションを公開する。
4. 新しいユーザを追加します。
5. SmartConsoleセッションを公開する。