リモート アクセス認証サーバの設定

［認証サーバ］ページでは、複数の認証サーバを定義、参照できます。外部ユーザ データベースと、そのデータベースに定義されているユーザの認証方法を定義できます。

定義できる認証サーバの種類は以下のとおりです。

• RADIUSサーバ - プライマリとセカンダリのRADIUSサーバの詳細を定義できます。Check PointアプライアンスはRADIUSサーバに接続し、これらのサーバで定義、認証されているユーザを認識できます。

• Active Directoryドメイン - 組織に属するユーザの情報が登録されたActive Directoryドメインの詳細を定義できます。ユーザ認識機能では、これらの詳細情報を使用してシームレスにユーザを認識し、その識別情報をログ記録やユーザ ベースのポリシー設定に活用することができます。この機能は、VPNリモート アクセスのユーザ認証にも使用できます。この場合は、［VPN］>［リモート アクセス ユーザ］ページで追加設定を行う必要があります。

RADIUSサーバを追加するには

1. ［設定］をクリックします。

2. ［プライマリ］タブで以下の情報を入力します。

   • ［IPアドレス］ - RADIUSサーバのIPアドレス。

   • ［ポート］ - RADIUSサーバがクライアントとの通信に使用するポート番号。デフォルトは1812です。

   • ［共有秘密キー］ - RADIUSサーバとCheck Pointアプライアンスの間で使用される秘密情報（メッセージの暗号化に使用される事前共有情報）です。

     注 - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " # + \の文字は使用できません。

   • ［表示］ - 共有秘密キーを表示します。

   • ［タイムアウト (秒)］ - RADIUSサーバと通信する際のタイムアウト値 (秒)です。デフォルトのタイムアウトは3秒です。

3. セカンダリRADIUSサーバを使用する場合は、［セカンダリ］タブで手順2を繰り返します。

   注 - IPアドレスや共有秘密キーに入力した情報を削除する場合は、［クリア］をクリックします。

4. 適用をクリックします。

   プライマリとセカンダリ（定義した場合）のサーバがページの［RADIUS］セクションに追加されます。

RADIUSサーバは以下の用途に使用できます。

• リモート アクセス権限のあるユーザのデータベースを定義する。このようなユーザの定義と認証はRADIUSサーバで行います。

• 管理者を定義する。詳細については、［ユーザ&オブジェクト］>［管理者］ページを参照してください。

RADIUSサーバを編集するには

1. 編集するRADIUSサーバのIPアドレス リンクをクリックします。

2. 必要な変更を行います。

3. 適用をクリックします。

   変更内容がRADIUSサーバに適用されます。

RADIUSサーバを削除するには

削除するRADIUSサーバの横にある［削除］リンクをクリックします。

RADIUSサーバに定義されているユーザのリモート アクセス権限を設定するには

1. ［RADIUSユーザの権限］をクリックします。

2. ［RADIUS認証をリモート アクセス ユーザに有効にする］チェックボックスをオンまたはオフにします。

3. オンにした場合は、リモート アクセス権限を付与するユーザを選択します。

   • RADIUSサーバに定義されているすべてのユーザの認証を許可するには、［RADIUSサーバで定義されたすべてのユーザ］を選択します。

   • RADIUSサーバに定義されている特定のユーザ グループの認証を許可するには、［特定RADIUSグループのみ］を選択し、ユーザ グループの名前をカンマ区切りでテキスト フィールドに入力します。

   • 管理者に認証目的で読み取り専用アクセス権限を付与するには - ［読み取り専用管理者］を選択します。

4. 適用をクリックします。

Active Directoryドメイン

1. Active Directoryセクションで［新規］をクリックします。

2. 以下の情報を入力します。

   • ［ドメイン］ - ドメイン名です。

   • ［IPアドレス］ - ドメインのいずれかのドメイン コントローラのIPアドレス。

   • ［ユーザ名］ - 設定を効率化し、Active Directoryに定義されているユーザを使用してユーザ ベースのポリシーを作成するには、管理者権限のあるユーザを指定する必要があります。

   • ［パスワード］ - ユーザのパスワードです。

     注 - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " # + \の文字は使用できません。

   • ［ユーザDN］ - ［検索］をクリックして該当のユーザを表すオブジェクトのDNを自動検出するか、そのユーザのDNを入力します。

     例:CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

3. Active Directoryに定義された一部のユーザ データベースだけを使う場合は、［特定のブランチからのユーザ グループのみ使用］をオンにします。［ブランチ］のテキスト フィールドにそのブランチ名（フルDN）を入力します。

4. 適用をクリックします。

定義したActive Directoryが表に表示されます。このActive Directoryを選択して、編集や削除を行うことができます。

編集を行う場合、ドメイン情報は読み取り専用となり変更することはできません。

新しいActive Directoryドメインを追加する際、既存のドメインを使用して別のオブジェクトを作成することはできません。

Active Directoryに定義されているすべてのユーザにリモート アクセス権限を設定するには

デフォルトでは、Active Directoryのユーザにリモート アクセス権限はありません。［VPN］>［リモート アクセス ユーザ］ページから、ローカルまたはActive Directoryで定義されているユーザを個別に選択してリモート アクセス権限を付与できます。

1. ［Active Directoryユーザの権限］をクリックしてアクセス権限を設定します。

2. ［Active Directoryのすべてのユーザ］を選択します。このオプションを使用する場合、［VPN］>［リモート アクセス ユーザ］ページに移動して特定のユーザを選択する必要はありません。

   Active Directoryには、たいてい多数のユーザが含まれています。組織へのリモート アクセス権限をすべてのユーザに付与することは、お勧めできません。［選択したActive Directoryユーザ グループ］オプションを選択し、［VPN］>［リモート アクセス ユーザ］ページでリモート アクセス権限を設定します。

3. 適用をクリックします。

定義したActive Directoryとの同期化モードを変更するには

1. Active Directoryテーブルの上部にある［設定］をクリックします。

2. ［自動同期］または［手動同期］を選択します。

   手動での動機を選択した場合は、アプライアンスが把握しているユーザ データベースを、そのデータベースを参照できるすべての場所で同期化できます。たとえば、［ユーザ&オブジェクト］>［ユーザ］ページや、［アクセス ポリシー］>［ファイアウォール ポリシー］ページのファイアウォール ルール ベースにあるSource pickerで同期化できます。

   注 - Active Directoryからユーザを選択することはできません。Active Directoryユーザ グループのみを選択できます。ローカル ユーザを選択できます。

3. 適用をクリックします。

Active Directoryを編集するには

1. リストからActive Directoryを選択します。

2. ［編集］をクリックします。

3. 必要な変更を行ってから［適用］をクリックします。

Active Directoryを削除するには

1. リストからActive Directoryを選択します。

2. ［削除］をクリックします。

3. 確認メッセージでOKをクリックします。

注 - このページには、［VPN］タブと［ユーザ&オブジェクト］タブからアクセスできます。