ユーザアカウントの管理

ユーザアカウントは、Check Point環境でトラフィックを生成するユーザを表すオブジェクトです。管理サーバ閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。の管理者は、ユーザアカウントを作成、管理、およびモニタします。セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。では、認証されたユーザのアクセス権限を制御することができます。管理者は、セキュリティルールベース閉じた 特定のセキュリティポリシーに設定されたすべてのルール(同義語:ルールベース)。を使用して、指定されたリソースへのアクセスをユーザに制限または許可します。ユーザは自分が属しているグループは知りません。機密情報やリソースへのアクセスを許可されたユーザのみに制限することで、組織のネットワークとデータのセキュリティを確保します。

ユーザはセキュリティゲートウェイに認証されます。Check Pointは、ユーザに対してさまざまな認証方法をサポートしています。

すべてのユーザは、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で直接設定され(Active Directoryなどの外部サーバで設定されるユーザとは対照的)、管理サーバ上の管理データベースに保存されます。

管理者がポリシーをインストールすると、管理サーバは該当するユーザデータを管理対象のセキュリティゲートウェイにコピーします。

管理者がデータベースをインストールすると(Menu >Install Database )、管理サーバは該当するユーザデータを管理対象サーバ(例:ログサーバ)にコピーします。

ユーザアカウントの作成

SmartConsole でユーザアカウントを作成する際、これらの認証方法のいずれかを選択できます:

認証方法

説明

Check Point Password

Check Pointのパスワードは、SmartConsoleに設定されている静的なパスワードです。セキュリティゲートウェイのローカルデータベースがパスワードを保存します。追加のソフトウェアは必要ありません。

参照: Check Pointのパスワード認証を使用したユーザアカウントの作成

OS Password

OSパスワードは、セキュリティゲートウェイがインストールされているコンピュータのオペレーティングシステムに保存されます。また、Windowsドメインに保存されているパスワードも使用することができます。追加のソフトウェアは必要ありません。

参照: OSパスワード認証によるユーザアカウントの作成

RADIUS

RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。

RADIUSを使用すると、管理者によるRADIUSグループへのユーザの割り当てに基づいて、認証されたRADIUSユーザのアクセス権限を制御できます。これらのグループは、セキュリティルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。ベースで、ユーザが特定のリソースにアクセスすることを制限したり、許可したりするために使用されます。ユーザは自分が属しているグループは知りません。

セキュリティゲートウェイは、リモートユーザによる認証要求を RADIUS サーバに転送します。ユーザのアカウント情報を保存しているRADIUSサーバが認証を行います。

RADIUSプロトコルはUDPを使ってセキュリティゲートウェイと通信します。

RADIUSグループを使用するには、RADIUSサーバのRADIUSユーザプロファイルにreturn属性を定義する必要があります。この属性はセキュリティゲートウェイに返され、ユーザが属するグループ名(例えば、RAD_<RADIUSユーザが属するグループ>)を含みます。

Gaiaオペレーティングシステムでは、"Vendor-Specific" (26) 属性を使用します。

参照: RADIUSサーバ認証によるユーザアカウントの作成

TACACS

TACACS(Terminal Access Controller Access Control System)は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。

TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、リモートユーザからの認証要求をTACACSサーバに転送します。ユーザのアカウント情報を保存するTACACSサーバで、ユーザ認証が行われます。物理的なカードキーデバイスやトークンカード、Kerberos閉じた Microsoft Windows Active Directory Federation Services (ADFS)の認証サーバ。の秘密キー認証に対応しています。TACACSは、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信の安全性を確保します。

参照: TACACSサーバ認証によるユーザアカウントの作成

SecurID

SecurIDは、ユーザがトークン認証デバイスを所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスです。ソフトウェアトークンは、ユーザが認証を希望するPCやデバイスに置かれます。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースに対して認証を試みる場合、AMによってワンタイムのコードが検証される必要があります。

セキュリティゲートウェイは、リモートユーザによる認証要求をAM に転送します。AMは、RSAユーザのデータベースと、割り当てられたハードトークンまたはソフトトークンを管理します。セキュリティゲートウェイはAMエージェントとして機能し、すべてのアクセス要求をAMに送り認証します。エージェント構成の詳細については、RSA Authentication Managerのドキュメントを参照してください。SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。

参照: SecurID認証によるユーザアカウントの作成

重要 - 認証方式を選択しない場合は、ユーザはログインもしくはネットワークリソースを利用できません。

Check Pointの認証方法のいずれかを使用して認証を構成した後は、さらに、ユーザの証明書ファイルを作成することができます。ユーザは、Check Pointの認証方法のいずれか、または証明書ファイルを使用してセキュリティゲートウェイを認証できます。

SmartConsoleで証明書ファイルを作成し、ユーザはその証明書ファイルを使って2つの方法でセキュリティゲートウェイにログインできます:

  • Certificate Fileオプションで セキュリティゲートウェイ にログインします。ユーザは、証明書ファイルを使用するためにパスワードが必要です。

  • Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。ユーザは、この保存された証明書を使用して、CAPI 証明書オプションでセキュリティゲートウェイにログインできます。ユーザはログインするためのパスワードを入力する必要はありません。

既存ユーザの変更

  1. オブジェクトエクスプローラーで、User/Identity > Usersをクリックします。

  2. ユーザをダブルクリックします。

    Userウィンドウが開きます。

  3. 必要に応じて、プロパティを変更してください。

  4. クリックOK

ユーザの削除

  1. オブジェクトエクスプローラーで、User/Identity > Usersをクリックします。

  2. アカウントを右クリックし、Deleteを選択します。

    確認画面が表示されます。

  3. Yesをクリックします。

ユーザグループの管理

ユーザグループ閉じた 関連する責任を持つユーザの名前付きグループ。は、ユーザアカウントの集合です。ルールのSourceまたはDestinationにユーザグループを追加します。個別のユーザをルールに追加することはできません。

また、ユーザグループの編集や、ルールベースで使用しないユーザグループの削除も可能です。

  1. オブジェクトエクスプローラ(F11)で、New > More > User/Identity > User Groupをクリックします。

    New User Groupウィンドウが開きます。

  2. 新しいグループの名前を入力します。

  3. 各ユーザまたはユーザグループに対して、[+]記号をクリックし、リストからオブジェクトを選択します。

  4. オプションの設定を行います。

    • Mailing List Address

    • Comment

    • Tag

    • Color

  5. クリックOK

  1. オブジェクトエクスプローラー(F11)で、Object Categories >Users/Identities > を選択します。User Groups

  2. ユーザグループを右クリックし、Editをクリックします。

    User Groupウィンドウが開きます。

  3. クリック+

  4. ユーザまたはユーザ・グループを選択します。

  5. クリックOK

ユーザのデフォルト有効期限設定の設定

ユーザアカウントの有効期限が近づくと、SmartConsoleでユーザのプロパティを開いたときに通知が表示されます。

  1. メインページMenuからGlobal Propertiesを選択します。

    Global Propertiesウィンドウが開きます。

  2. User Accountsをクリックします。

  3. Expire atまたはExpire afterを選択します。

    • Expire at- カレンダーコントロールから有効期限を選択します。

    • Expire after- ユーザアカウントが失効するまでの日数(アカウントが作成された日から)を入力します。

  4. Show accounts expiration indicationを選択し、日数を入力します。

    SmartConsoleのユーザオブジェクトに表示される期限切れ警告には、アカウントが期限切れになるまでの日数が表示されます。この間、ユーザアカウントをより長く有効にしておきたい場合は、ユーザアカウントの有効期限設定を編集できます。これにより、労働時間の損失を防ぐことができます。