ユーザアカウントの管理
ユーザ・アカウントは、Check Point環境でトラフィックを生成するユーザを表すオブジェクトです。管理サーバ管理者は、ユーザアカウントを作成、管理、およびモニタリングする。セキュリティゲートウェイでは、認証されたユーザのアクセス権限を制御することができます。管理者は、セキュリティルールベースを使用して、指定されたリソースへのアクセスをユーザに制限または許可する。ユーザは自分が属しているグループは知りません。機密情報やリソースへのアクセスを許可されたユーザのみに制限することで、組織のネットワークとデータのセキュリティを確保する。
ユーザはセキュリティゲートウェイに認証される。Check Pointは、ユーザに対してさまざまな認証方法をサポートしています。
すべてのユーザは、SmartConsoleで直接設定され(Active Directoryなどの外部サーバで設定されるユーザとは対照的)、管理サーバ上の管理データベースに保存されます。
管理者がポリシーをインストールすると、管理サーバは該当するユーザデータを管理対象のセキュリティゲートウェイにコピーする。
管理者がデータベースをインストールすると(Menu >Install Database )、管理サーバは該当するユーザデータを管理対象サーバ(たとえば、ログサーバ)にコピーします。
ユーザアカウントの作成
SmartConsoleでユーザアカウントを作成する際、これらの認証方法のいずれかを選択できます:
認証方法 |
説明 |
---|---|
Check Point Password |
Check Pointのパスワードは、SmartConsoleに設定されている静的なパスワードです。セキュリティゲートウェイのローカルデータベースがパスワードを保存する。追加のソフトウェアは必要ありません。 |
OS Password |
OSパスワードは、セキュリティゲートウェイがインストールされているコンピュータのオペレーティングシステムに保存される。また、Windowsドメインに保存されているパスワードも使用することができます。追加のソフトウェアは必要ありません。 |
RADIUS |
RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。 RADIUSを使用すると、管理者によるRADIUSグループへのユーザの割り当てに基づいて、認証されたRADIUSユーザのアクセス権限を制御できます。これらのグループは、セキュリティルールベースで、ユーザが特定のリソースにアクセスすることを制限したり、許可したりするために使用されます。ユーザは自分が属しているグループは知りません。 セキュリティゲートウェイは、リモートユーザによる認証要求を RADIUS サーバに転送します。ユーザのアカウント情報を保存しているRADIUSサーバが認証を行います。 RADIUSプロトコルはUDPを使ってセキュリティゲートウェイと通信する。 RADIUSグループを使用するには、RADIUSサーバのRADIUSユーザプロファイルにreturn属性を定義する必要があります。この属性はセキュリティゲートウェイに返され、ユーザが属するグループ名(例えば、RAD_<RADIUSユーザが属するグループ>)を含む。 Gaiaオペレーティング・システムでは、"Vendor-Specific" (26) 属性を使用する。 |
TACACS |
TACACS(Terminal Access Controller Access Control System)は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。 TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、リモートユーザからの認証要求をTACACSサーバに転送します。ユーザのアカウント情報を保存するTACACSサーバで、ユーザ認証が行われます。物理的なカードキーデバイスやトークンカード、Kerberosの秘密キー認証に対応しています。TACACSは、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信の安全性を確保する。 |
SecurID |
SecurIDは、ユーザがトークン認証デバイスを所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスである。ソフトウェアトークンは、ユーザが認証を希望するPCやデバイスに置かれます。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースに対して認証を試みる場合、AMによってワンタイムのコードが検証される必要があります。 セキュリティゲートウェイは、リモートユーザによる認証要求をAM に転送します。AMは、RSAユーザのデータベースと、割り当てられたハードトークンまたはソフトトークンを管理します。セキュリティゲートウェイはAMエージェントとして機能し、すべてのアクセス要求をAMに送り認証します。エージェント構成の詳細については、RSA Authentication Managerのドキュメントを参照してください。SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。 |
|
重要 - 認証方式を選択しない場合は、ユーザはログインもしくはネットワークリソースを利用できません。 |
Check Pointの認証方法のいずれかを使用して認証を構成した後は、さらに、ユーザの証明書ファイルを作成することができます。ユーザは、Check Pointの認証方法のいずれか、または証明書ファイルを使用してセキュリティゲートウェイを認証できます。
SmartConsoleで証明書ファイルを作成すると、ユーザは2つの方法で証明書ファイルを使用してセキュリティゲートウェイにログインできます:
-
Certificate File オプションでセキュリティゲートウェイ にログインする。ユーザは、証明書ファイルを使用するためにパスワードを提供しなければならない。
-
Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。ユーザは、この保存された証明書を使用して、CAPI 証明書オプションを使用してセキュリティゲートウェイにログインできる。ユーザはログインするためにパスワードを入力する必要はない。
既存ユーザの変更

-
オブジェクト・エクスプローラーで、User/Identity >Users をクリックする。
-
ユーザをダブルクリックします。
Userウィンドウが開きます。
-
必要に応じて、プロパティを変更してください。
-
クリックOK。
ユーザの削除

-
オブジェクトエクスプローラーで、User/Identity >Users をクリックします。
-
アカウントを右クリックし、Deleteを選択します。
確認画面が表示されます。
-
Yesをクリックします。
ユーザグループの管理
ユーザグループは、ユーザアカウントの集合です。ルールのSourceまたはDestinationにユーザグループを追加します。個別のユーザをルールに追加することはできません。
また、ユーザグループの編集や、ルールベースで使用しないユーザグループの削除も可能です。

-
オブジェクトエクスプローラー(F11)で、New > More >User/Identity >User Group をクリックします。
New User Groupウィンドウが開きます。
-
新しいグループの名前を入力します。
-
各ユーザまたはユーザグループに対して、[+]記号をクリックし、リストからオブジェクトを選択します。
-
オプションの設定を行います。
-
Mailing List Address
-
Comment
-
Tag
-
Color
-
-
クリックOK。

-
オブジェクトエクスプローラー(F11)で、Object Categories >Users/Identities > を選択します。User Groups
-
ユーザグループを右クリックし、Editをクリックします。
User Groupウィンドウが開きます。
-
クリック+
-
ユーザまたはユーザ・グループを選択します。
-
クリックOK。
ユーザのデフォルト有効期限設定の設定
ユーザアカウントの有効期限が近づくと、SmartConsoleでユーザのプロパティを開いたときに通知が表示されます。

-
メインページMenu からGlobal Properties を選択します。
Global Propertiesウィンドウが開きます。
-
User Accountsをクリックします。
-
Expire atまたはExpire afterを選択します。
-
Expire at- カレンダーコントロールから有効期限を選択します。
-
Expire after- ユーザアカウントが失効するまでの日数(アカウントが作成された日から)を入力します。
-
-
Show accounts expiration indicationを選択し、日数を入力します。
SmartConsoleのユーザオブジェクトに表示される期限切れ警告には、アカウントが期限切れになるまでの日数が表示されます。この間、ユーザアカウントをより長く有効にしておきたい場合は、ユーザアカウントの有効期限設定を編集できます。これにより、労働時間の損失を防ぐことができる。