認証サーバの管理

［認証サーバ］ページでは、複数の認証サーバを定義、参照できます。外部ユーザデータベースと、そのデータベースに定義されているユーザの認証メソッドを定義できます。

定義できる認証サーバの種類は以下のとおりです。

RADIUSサーバ - プライマリとセカンダリのRADIUSサーバの詳細を定義できます。Check PointアプライアンスはRADIUSサーバに接続し、これらのサーバで定義、認証されているユーザを認識できます。
[[[Undefined variable Other_Vars.tp_ADfull]]]ドメイン - 組織のユーザ情報を含む[[[Undefined variable Other_Vars.tp_ADfull]]]ドメインの詳細を定義します。ユーザ認識機能では、これらの詳細情報を使用してシームレスにユーザを認識し、その識別情報をログ記録やユーザベースのポリシー設定に活用することができます。この機能は、VPNリモートアクセスのユーザ認証にも使用できます。この場合は、［VPN］>［リモートアクセスユーザ］ページで追加設定を行う必要があります。

RADIUSサーバを追加するには

［設定］をクリックします。
［プライマリ］タブで以下の情報を入力します。
- ［IPアドレス］ - RADIUSサーバのIPアドレス。
- ［ポート］ - RADIUSサーバがクライアントとの通信に使用するポート番号。デフォルトは1812です。
- ［共有秘密キー］ - RADIUSサーバとCheck Pointアプライアンスの間で使用される秘密情報（メッセージの暗号化に使用される事前共有情報）です。パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ' " # + \の文字は使用できません。
  - ［表示］ - 共有秘密キーを表示します。
- ［タイムアウト (秒)］ - RADIUSサーバと通信する際のタイムアウト値 (秒)です。デフォルトのタイムアウトは3秒です。
セカンダリRADIUSサーバを使用する場合は、［セカンダリ］タブで手順2を繰り返します。

注 - IPアドレスや共有秘密キーに入力した情報を削除する場合は、［クリア］をクリックします。
適用をクリックします。

プライマリとセカンダリ（定義した場合）のサーバがページの［RADIUS］セクションに追加されます。

RADIUSサーバは以下の用途に使用できます。

リモートアクセス権限のあるユーザのデータベースを定義する。このようなユーザの定義と認証はRADIUSサーバで行います。
管理者を定義する。詳細については、［ユーザ&オブジェクト］>［管理者］ページを参照してください。

RADIUSサーバを編集するには

編集するRADIUSサーバのIPアドレスリンクをクリックします。
必要な変更を行います。
適用をクリックします。

変更内容がRADIUSサーバに適用されます。

RADIUSサーバを削除するには

削除するRADIUSサーバの横にある［削除］リンクをクリックします。

RADIUSサーバが削除されます。

RADIUSサーバに定義されているユーザのリモートアクセス権限を設定するには

［RADIUSユーザの権限］をクリックします。
［RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にする］チェックボックスをオンまたはオフにします。

リモートアクセスに対してオンにする場合、［特定の RADIUS グループのみを使用］をオンまたはオフにします。
適用をクリックします。

注 - ［VPN］>［リモートアクセスユーザ］ページでRADIUSユーザのリモートアクセス権限を設定します。

[[[Undefined variable Other_Vars.tp_ADfull]]]ドメインを追加するには

[[[Undefined variable Other_Vars.tp_ADfull]]]セクションで、新規をクリックします。

［新しいドメインの追加］ウィンドウが開きます。
以下の情報を入力します。
- ［ドメイン］ - ドメイン名です。
- ［IPアドレス］ - ドメインのいずれかのドメインコントローラのIPアドレス。
- ［ユーザ名］ - 設定プロセスを消去し、[[[Undefined variable Other_Vars.tp_ADfull]]]に定義されているユーザを使用してユーザベースのポリシーを作成するには、管理者権限のあるユーザを指定する必要があります。
- ［パスワード］ - ユーザのパスワードです。パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ' " # + \の文字は使用できません。
- ［ユーザDN］ - ［検索］をクリックして該当のユーザを表すオブジェクトのDNを自動検出するか、そのユーザのDNを入力します。例:CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com
Active Directoryに定義された一部のユーザデータベースだけを使う場合は、［特定のブランチからのユーザグループのみ使用］をオンにします。［ブランチ］のテキストフィールドにそのブランチ名（フルDN）を入力します。
適用をクリックします。

[[[Undefined variable Other_Vars.tp_ADfull]]]を定義すると、テーブルから選択して編集や削除を行うことができます。

編集を行う場合、ドメイン情報は読み取り専用となり変更することはできません。

新しい[[[Undefined variable Other_Vars.tp_ADfull]]]ドメインを追加する際、既存のドメインを使用して別のオブジェクトを作成することはできません。

[[[Undefined variable Other_Vars.tp_ADfull]]]に定義されているすべてのユーザにリモートアクセス権限を設定するには

デフォルトでは、[[[Undefined variable Other_Vars.tp_ADfull]]]のユーザにリモートアクセス権限はありません。［VPN］>［リモートアクセスユーザ］ページから、ローカルまたはActive Directoryで定義されているユーザを個別に選択してリモートアクセス権限を付与できます。

[[[Undefined variable Other_Vars.tp_ADfull]]]ユーザの権限をクリックします。
[[[Undefined variable Other_Vars.tp_ADfull]]]のすべてのユーザを選択します。このオプションを使用する場合、［VPN］>［リモートアクセスユーザ］ページに移動して特定のユーザを選択する必要はありません。Active Directoryには、たいてい多数のユーザが含まれています。組織へのリモートアクセス権限をすべてのユーザに付与することは、お勧めできません。［選択した[[[Undefined variable Other_Vars.tp_ADfull]]]ユーザグループ］オプションを選択し、［VPN］>［リモートアクセスユーザ］ページでリモートアクセス権限を設定します。
適用をクリックします。

定義したActive Directoryとの同期化モードを変更するには

[[[Undefined variable Other_Vars.tp_ADfull]]]テーブルのツールバーにある［設定］をクリックします。
［自動同期］または［手動同期］を選択します。

手動での動機を選択した場合は、アプライアンスが把握しているユーザデータベースを、そのデータベースを参照できるすべての場所で同期化できます。たとえば、［ユーザ&オブジェクト］>［ユーザ］ページや、［アクセスポリシー］>［ファイアウォールポリシー］ページのファイアウォールルールベースにあるSource pickerで同期化できます。

注 - [[[Undefined variable Other_Vars.tp_ADfull]]]からユーザを選択することはできません。[[[Undefined variable Other_Vars.tp_ADfull]]]ユーザグループのみです。ローカルユーザを選択できます。
適用をクリックします。

[[[Undefined variable Other_Vars.tp_ADfull]]]を編集するには

リストから[[[Undefined variable Other_Vars.tp_ADfull]]]を選択します。
［編集］をクリックします。
必要な変更を行ってから［適用］をクリックします。

[[[Undefined variable Other_Vars.tp_ADfull]]]を削除するには

リストからActive Directoryを選択します。
［削除］をクリックします。
確認メッセージでOKをクリックします。

注 - このページには、［VPN］タブと［ユーザ&オブジェクト］タブからアクセスできます。