ユーザアカウントの管理

ユーザ・アカウントは、Check Point環境でトラフィックを生成するユーザを表すオブジェクトです。管理サーバ管理者は、ユーザアカウントを作成、管理、およびモニタリングする。セキュリティゲートウェイでは、認証されたユーザのアクセス権限を制御することができます。管理者は、セキュリティルールベースを使用して、指定されたリソースへのアクセスをユーザに制限または許可する。ユーザは自分が属しているグループは知りません。機密情報やリソースへのアクセスを許可されたユーザのみに制限することで、組織のネットワークとデータのセキュリティを確保する。

ユーザはセキュリティゲートウェイに認証される。Check Pointは、ユーザに対してさまざまな認証方法をサポートしています。

すべてのユーザは、SmartConsoleで直接設定され(Active Directoryなどの外部サーバで設定されるユーザとは対照的)、管理サーバ上の管理データベースに保存されます。

管理者がポリシーをインストールすると、管理サーバは該当するユーザデータを管理対象のセキュリティゲートウェイにコピーする。

管理者がデータベースをインストールすると(Menu >Install Database )、管理サーバは該当するユーザデータを管理対象サーバ(たとえば、ログサーバ)にコピーします。

ユーザアカウントの作成

SmartConsoleでユーザアカウントを作成する際、これらの認証方法のいずれかを選択できます:

認証方法

説明

Check Point Password

Check Pointのパスワードは、SmartConsoleに設定されている静的なパスワードです。セキュリティゲートウェイのローカルデータベースがパスワードを保存する。追加のソフトウェアは必要ありません。

参照: Check Pointのパスワード認証を使用したユーザ・アカウントの作成

OS Password

OSパスワードは、セキュリティゲートウェイがインストールされているコンピュータのオペレーティングシステムに保存される。また、Windowsドメインに保存されているパスワードも使用することができます。追加のソフトウェアは必要ありません。

参照: OSパスワード認証によるユーザアカウントの作成

RADIUS

RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。

RADIUSを使用すると、管理者によるRADIUSグループへのユーザの割り当てに基づいて、認証されたRADIUSユーザのアクセス権限を制御できます。これらのグループは、セキュリティルールベースで、ユーザが特定のリソースにアクセスすることを制限したり、許可したりするために使用されます。ユーザは自分が属しているグループは知りません。

セキュリティゲートウェイは、リモートユーザによる認証要求を RADIUS サーバに転送します。ユーザのアカウント情報を保存しているRADIUSサーバが認証を行います。

RADIUSプロトコルはUDPを使ってセキュリティゲートウェイと通信する。

RADIUSグループを使用するには、RADIUSサーバのRADIUSユーザプロファイルにreturn属性を定義する必要があります。この属性はセキュリティゲートウェイに返され、ユーザが属するグループ名(例えば、RAD_<RADIUSユーザが属するグループ>)を含む。

Gaiaオペレーティング・システムでは、"Vendor-Specific" (26) 属性を使用する。

参照: RADIUSサーバ認証によるユーザアカウントの作成

TACACS

TACACS(Terminal Access Controller Access Control System)は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。

TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、リモートユーザからの認証要求をTACACSサーバに転送します。ユーザのアカウント情報を保存するTACACSサーバで、ユーザ認証が行われます。物理的なカードキーデバイスやトークンカード、Kerberosの秘密キー認証に対応しています。TACACSは、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信の安全性を確保する。

参照: TACACSサーバ認証によるユーザアカウントの作成

SecurID

SecurIDは、ユーザがトークン認証デバイスを所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスである。ソフトウェアトークンは、ユーザが認証を希望するPCやデバイスに置かれます。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースに対して認証を試みる場合、AMによってワンタイムのコードが検証される必要があります。

セキュリティゲートウェイは、リモートユーザによる認証要求をAM に転送します。AMは、RSAユーザのデータベースと、割り当てられたハードトークンまたはソフトトークンを管理します。セキュリティゲートウェイはAMエージェントとして機能し、すべてのアクセス要求をAMに送り認証します。エージェント構成の詳細については、RSA Authentication Managerのドキュメントを参照してください。SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。

参照: SecurID認証によるユーザアカウントの作成

重要 - 認証方式を選択しない場合は、ユーザはログインもしくはネットワークリソースを利用できません。

Check Pointの認証方法のいずれかを使用して認証を構成した後は、さらに、ユーザの証明書ファイルを作成することができます。ユーザは、Check Pointの認証方法のいずれか、または証明書ファイルを使用してセキュリティゲートウェイを認証できます。

SmartConsoleで証明書ファイルを作成すると、ユーザは2つの方法で証明書ファイルを使用してセキュリティゲートウェイにログインできます:

  • Certificate File オプションでセキュリティゲートウェイ にログインする。ユーザは、証明書ファイルを使用するためにパスワードを提供しなければならない。

  • Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。ユーザは、この保存された証明書を使用して、CAPI 証明書オプションを使用してセキュリティゲートウェイにログインできる。ユーザはログインするためにパスワードを入力する必要はない。

既存ユーザの変更

  1. オブジェクト・エクスプローラーで、User/Identity >Users をクリックする。

  2. ユーザをダブルクリックします。

    Userウィンドウが開きます。

  3. 必要に応じて、プロパティを変更してください。

  4. クリックOK

ユーザの削除

  1. オブジェクトエクスプローラーで、User/Identity >Users をクリックします。

  2. アカウントを右クリックし、Deleteを選択します。

    確認画面が表示されます。

  3. Yesをクリックします。

ユーザグループの管理

ユーザグループは、ユーザアカウントの集合です。ルールのSourceまたはDestinationにユーザグループを追加します。個別のユーザをルールに追加することはできません。

また、ユーザグループの編集や、ルールベースで使用しないユーザグループの削除も可能です。

  1. オブジェクトエクスプローラー(F11)で、New > More >User/Identity >User Group をクリックします。

    New User Groupウィンドウが開きます。

  2. 新しいグループの名前を入力します。

  3. 各ユーザまたはユーザグループに対して、[+]記号をクリックし、リストからオブジェクトを選択します。

  4. オプションの設定を行います。

    • Mailing List Address

    • Comment

    • Tag

    • Color

  5. クリックOK

  1. オブジェクトエクスプローラー(F11)で、Object Categories >Users/Identities > を選択します。User Groups

  2. ユーザグループを右クリックし、Editをクリックします。

    User Groupウィンドウが開きます。

  3. クリック+

  4. ユーザまたはユーザ・グループを選択します。

  5. クリックOK

ユーザのデフォルト有効期限設定の設定

ユーザアカウントの有効期限が近づくと、SmartConsoleでユーザのプロパティを開いたときに通知が表示されます。

  1. メインページMenu からGlobal Properties を選択します。

    Global Propertiesウィンドウが開きます。

  2. User Accountsをクリックします。

  3. Expire atまたはExpire afterを選択します。

    • Expire at- カレンダーコントロールから有効期限を選択します。

    • Expire after- ユーザアカウントが失効するまでの日数(アカウントが作成された日から)を入力します。

  4. Show accounts expiration indicationを選択し、日数を入力します。

    SmartConsoleのユーザオブジェクトに表示される期限切れ警告には、アカウントが期限切れになるまでの日数が表示されます。この間、ユーザアカウントをより長く有効にしておきたい場合は、ユーザアカウントの有効期限設定を編集できます。これにより、労働時間の損失を防ぐことができる。