TACACSサーバ認証によるユーザアカウントの作成

TACACS（Terminal Access Controller Access Control System）は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。

TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、リモートユーザからの認証要求をTACACSサーバに転送します。ユーザのアカウント情報を保存するTACACSサーバで、ユーザ認証が行われます。物理的なカードキーデバイスやトークンカード、Kerberos Microsoft Windows Active Directory Federation Services (ADFS)の認証サーバ。の秘密キー認証に対応しています。TACACSは、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信の安全性を確保します。

TACACS認証を使用するようにセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。を設定するには、サーバを設定し、セキュリティゲートウェイでTACACS認証の使用を有効にする必要があります。

ユーザは、TACACSサーバまたはTACACSサーバグループを通じてTACACS認証を実行できます。TACACSサーバグループは、同一のTACACSサーバのハイアベイラビリティグループであり、システム内の任意またはすべてのTACACSサーバを含みます。グループを作成する際に、グループ内の各サーバに優先順位を定義します。優先順位の高いサーバに障害が発生すると、グループ内で次に優先順位の高いサーバに引き継がれ、その後も同様になります。すべての TACACS サーバに同じ優先度を割り当てると、セキュリティゲートウェイは認証のためにそのうちの 1 つをランダムに選択します。

TACACSサーバによる認証を構成した後、さらに証明書ファイルによる認証を構成する ことができます。その後、ユーザはTACACSサーバまたは証明書ファイルを使ってセキュリティゲートウェイを認証できます。

ユーザのTACACSサーバ認証を設定するには

1. SmartConsoleで、新しいTACACS / TACACS+サーバ オブジェクトを設定します。

   1. 右上のObjectsパネルをクリックします。

   2. New >More >Server >TACACS をクリックします。

   3. 一番上のフィールドに、該当するオブジェクト名を入力します。

   4. オプション：コメントを入力します。

   5. Hostフィールドで、ドロップダウン矢印をクリックし、「New」をクリックします。

   6. New HostをTACACSサーバのIP addressで作成します。クリックOK。

   7. このホストがNew TACACSウィンドウのHostフィールドに表示されていることを確認します。

   8. Servers typeセクションで、該当する値を選択します。

      ベストプラクティス - デフォルト値はTACACSですが、TACACS+を推奨します。

   9. TACACS+を選択した場合は、Secret keyフィールドに、TACACS+ サーバで以前に定義した秘密鍵を入力します。

   10. Priorityフィールドでは、デフォルト値1のままにしておきます。

   11. クリックOK。

   12. SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。セッションを公開する。

2. 新規ユーザを作成し、認証方法としてTACACSを選択します。

   1. 右上のObjectsパネルをクリックします。

   2. New >More >User/Identity >User をクリックします。

      New Userウィンドウが開きます。

   3. 該当するユーザテンプレート セキュリティ ポリシーを適用するユーザの種類を定義するプロパティセット。を選択し、OKをクリックします。

   4. 一番上のフィールドに、該当するオブジェクト名を入力します。

      大文字と小文字を区別するユニークな文字列にしてください。

      Check Point以外の認証局でユーザ証明書を生成する場合、識別名（DN）の構成要素である共通名（CN）を入力します。

      例：

      DN：CN = James, O = My Organization, C = My Country

      の場合、Jamesをユーザ名として入力します。

      ユーザ名としてコンテナを使用する場合、コンテナにはスペースを含まず、正確に1つの文字列を含める必要があります。

   5. オプション：コメントを入力します。

   6. Generalページで、該当する設定を行います：

      • Email address(任意)

      • Mobile phone number(任意)

      • Expire at

        これは、ユーザがネットワークリソースやアプリケーションへのアクセスを許可されなくなる日付です。

        デフォルトの有効期限はMenu >Global Properties >User Accounts >Expiration Date で設定されています。

   7. Groupsページでは、該当するユーザグループ 関連する責任を持つユーザの名前付きグループ。 オブジェクトを選択することができます（ユー ザテンプレートで設定されたものに加えて、またはその代わりに）。

   8. Authentication のページで次を行います。

      1. Authentication methodフィールドで、TACACSを選択します。

      2. TACACS serverフィールドでは、デフォルト値Anyのままにするか、該当する TACACS サーバーオブジェクトを選択します。

      重要 - 認証方式を選択しない場合は、ユーザはログインもしくはネットワークリソースを利用できません。

   9. Location のページで次を行います。

      1. このユーザがデータおよびトラフィックにアクセスまたは送信できる許可されたソースを設定します。

         これらのオブジェクトは、選択する前にすでに存在している必要があります。

      2. このユーザがデータおよびトラフィックにアクセスまたは送信できる許可された宛先を設定します。

         これらのオブジェクトは、選択する前にすでに存在している必要があります。

   10. Time のページで次を行います。

       ユーザに特定の勤務日または業務時間がある場合、そのユーザがいつアクセス認証されるかを設定できます。

       • FromおよびTo - 予定勤務日の開始時刻と終了時刻を入力します。このユーザは、指定された範囲外の時刻にログインを試みた場合、認証されません。

       • Days in weekまたはDaily - ユーザがリソースを認証してアクセスできる日を選択します。このユーザは、未選択の日にログインを試みた場合、認証されません。

   11. Certificates のページで次を行います。

       このユーザに適用される証明書を設定して、より安全なアクセスコントロールを行うことができます。

       1. Newをクリックします。

       2. 該当するオプションを選択します。

          • Registration Key for certificate enrollment

            証明書をアクティブにする登録キーを送信します。

            1. 登録キーの有効期限が切れる前に、ユーザが証明書をアクティベートできる日数を入力します。

            2. オプション：コメントを入力します。

            3. オプション：メールテンプレートをプレビューするには、Templateをクリックします。

            4. Sendをクリックします。

            5. クリックOKこのキーを保存します。

          • Certificate file (p12)

            ユーザのプライベートパスワード付きの*.p12証明書ファイルを作成します。

            1. 証明書のパスワードを入力し、確認します。

               パスワードは、証明書ファイル内の機密データを保護するために必要です。

            2. オプション：コメントを入力します。

            3. クリックOK。

            4. Save Asウィンドウが開くのを待ちます。

            5. File nameフィールドに、ユーザ名を必ず入れます。

            6. Save as typeフィールドで、Certificate Files (*p12)を選択します。

               証明書ファイルは PKCS #12 形式で、拡張子は.p12です。

            7. SmartConsoleコンピュータの安全な場所にアクセスします。

            8. クリックSave。

            9. ユーザにこのファイルとパスワードを渡します。

       3. クリックOK。

       注： ユーザがしばらくシステムにアクセスしない場合（長期休暇に入るなど）、証明書を失効させることができます。これにより、ユーザアカウントは残りますが、証明書を更新するまでアクセスすることができなくなります。 鍵/証明書を失効させるには、鍵/証明書を選択し、Revokeをクリックします。

   12. Encryption のページで次を行います。

       リモートアクセスVPNのIKEv2認証と暗号化の設定を行うことができます。

       1. IKEを選択します。

       2. クリックEdit。

          暗号化IKE Phase 2 Propertiesウィンドウが開きます。

       3. Authenticationページで、認証スキームを選択します：

          1. Password- ユーザは事前に共有された秘密のパスワードで認証します。

          2. Public Key- ユーザは、証明書ファイルに含まれる公開鍵で認証を行います。

       4. Encryptionページで設定する項目はありません。

          これらのアルゴリズムは、SmartConsole > Global プロパティ >Remote Access >VPN - Authentication > Encryption algorithmsセクションで設定します。

       5. クリックOK。

   13. クリックOK。

3. オプション：SmartConsoleのユーザ認証用にTACACSサーバグループを設定します。

   1. SmartConsoleで、サーバグループに含めるすべてのサーバを設定します。

      各サーバについて、グループ内の優先順位を入力します。数字が小さいほど優先順位が高くなります。

      たとえば、優先度1、2、3の3台のサーバでグループを作成した場合、1番のサーバが1番目に、2番のサーバが2番目に、3番のサーバが3番目にアプローチされます。

   2. サーバグループを作成します。

      SmartConsole のオブジェクトエクスプローラで、New > Server > More > TACACS Groupをクリックします。

   3. グループのプロパティを設定し、サーバをグループに追加します。

      1. グループにNameを付けます。任意の名前を選択できます。

      2. 追加する各サーバのプラス（+）をクリックし、ドロップダウンリストから各サーバを選択します。

      3. クリックOK。

      4. SmartConsoleセッションを公開する。

   4. 新しいユーザを追加します。

   5. SmartConsoleセッションを公開する。

   6. アクセスコントロールポリシーをインストールします。