ローカルとリモート システム管理者の設定

[デバイス]>[管理者]ページにはアプライアンスの管理者のリストが表示されます。また、以下の操作を行うことができます。

  • 新しいローカル管理者の作成

  • セッション タイムアウトの設定

  • ログインの失敗回数の設定

  • 新しいQRコードを生成して、モバイル アプリケーションとアプライアンスを新規に接続します。

管理者は、リモートRADIUSサーバで定義することもできます。この場合は、RADIUSサーバで定義した管理者によるアクセスを許可するようアプライアンスを設定します。リモートのRADIUSサーバで定義した管理者の認証は、同じRADIUSサーバで行います。

管理者ロール:

  • スーパー管理者 - すべての権限を持ちます。スーパー管理者は、ローカル定義の管理者を作成したり、他の管理者の権限を変更することができます。

  • 読み取り専用管理者 - 限定的な権限を持ちます。読み取り専用管理者は、アプライアンスの設定をアップデートすることはできませんが、パスワードを変更したり、[ツール]ページからトラフィックのモニタリング レポートを実行したりできます。

  • ネットワーキング管理者 - 限定的な権限を持ちます。ネットワーキング管理者は、オペレーティング システムの設定をアップデートしたり変更することができます。サービスやネットワーク オブジェクトを選択することはできますが、作成したり変更することはできません。

  • モバイル管理者 - モバイル管理者は、すべてのインタフェースですべてのネットワーク操作を許可されます。パスワードの変更、レポートの生成、再起動、イベントの変更、モバイル ポリシーの変更、アクティブ ホストの操作やペアリングを行うことができます。WebUIからのログインやアクセスはできません。

書き込み権限を持つ2人の管理者が同時にログインすることはできません。1人の管理者が既にログインしている場合、メッセージが表示されます。読み取り専用アクセス権限でログインするか、続行するかを選択することができます。ログイン プロセスを続行する場合、最初の管理者のセッションは自動的に終了されます。

以下に示す操作を実行するためには、管理者ロールを適切に設定する必要があります。正しくないと、権限エラーのメッセージが表示されます。

ローカル管理者を作成するには

  1. [新規]をクリックします。

    [管理者の追加]ページが表示されます。

  2. 名前やパスワード、確認用のパスワードなどのパラメータを設定します。管理者の名前にはハイフン(-)を入れることができます。

    - パスワードや共有秘密キーを入力する際は、 { } [ ] ` ~ | ‘ " \の文字は使用できません。 最大文字数: 255

  3. [管理者ロール]を選択します。

  4. 適用をクリックします。

    管理者の名前とロールが、表に追加されます。WebUIへログインする際、管理者名と、権限がページの上部に表示されます。

ローカル定義した管理者の詳細を変更するには

  1. 表から管理者を選択し、[編集]をクリックします。

  2. 必要な変更を行います。

  3. 適用をクリックします。

ローカルで定義した管理者を削除するには

  1. リストから管理者を選択します。

  2. [削除]をクリックします。

  3. 確認メッセージで[はい]をクリックします。

- ログイン中の管理者を削除することはできません。

リモートのRADIUSサーバで定義した管理者によるアクセスを許可するには

  1. リモートのRADIUSサーバで管理者を定義します。

  2. アプライアンスでRADIUSサーバを定義します。RADIUSサーバが定義されていない場合は、ページ上部のRADIUSサーバの設定リンクをクリックします。RADIUSサーバが使用しているIPアドレスと共有秘密キーを設定するよう求められます。

  3. 設定済みのRADIUSサーバがある場合は、[権限の編集]をクリックします。

    [RADIUS認証]ウィンドウが開きます。

  4. 管理者のRADIUS認証を有効にするチェックボックスをクリックします。

    [RADIUSサーバで定義されたロールを使用]はデフォルトで有効になっています。

  5. RADIUSサーバで各ユーザのロールを設定します。以下の詳細を参照してください。

    - ロールが定義されていないユーザに対しては、ログイン エラーが表示されます。

  6. [RADIUSユーザのデフォルトのロールを使用]を選択する場合、以下の管理者ロールを選択します。

    • スーパー管理者

    • 読み取り専用

    • ネットワーキング管理者

    • モバイル管理者

  7. グループを定義するには、[特定のRADIUSグループのみを使用]をクリックして必要なRADIUSグループをカンマ区切りで入力します。

  8. 適用をクリックします。

ローカル定義とリモート定義の管理者にセッション タイムアウト値を設定するには

  1. [セキュリティ設定]をクリックします。

    [管理者セキュリティ設定]ウィンドウが開きます。

  2. セッション タイムアウト値(操作しない状態の最長時間)を分単位で設定します。最大値は999分です。

  3. ログインの失敗回数を制限するには、[管理者ログインの失敗回数を制限]チェックボックスをオンにします。

  4. [ログイン失敗の最大回数]に、管理者がロックアウトされるまで試行できるログイン回数を入力します。

  5. [ロックする時間]に、ロックアウトしてから管理者が再度ログインを試行できるようになるまで待機する時間(秒)を入力します。

  6. 管理者パスワードの条件に複雑さを設定する場合はチェックボックスを選択して、パスワードの期限日数を指定します。

  7. 適用をクリックします。

- このページには、[デバイス]タブと[ユーザ&オブジェクト]タブからアクセスできます。

モバイル アプリケーションとアプライアンスを新規に接続するには

  1. モバイル ペアリング コードをクリックします。

    モバイル デバイスの接続ウィンドウが開きます。

  2. プルダウンメニューから管理者を選択します。

  3. [生成]をクリックします。

    QRコードが生成され、Check Point WatchTowerモバイル アプリケーションとアプライアンスを新規に接続します。

モバイル アプリケーションの詳細については、「Check Point SMB WatchTower App User Guide」を参照してください。

Quantum Sparkアプライアンスの非ローカルユーザに対するRADIUSサーバの設定

非ローカル ユーザは、Quantum SparkアプライアンスではなくRADIUSサーバで定義できます。非ローカル ユーザがアプライアンスにログインすると、RADIUSサーバでユーザが認証されて該当する権限が割り当てられます。非ローカル ユーザを適切に認証して承認するように、RADIUSサーバを設定する必要があります。

- RADIUSサーバの設定は、RADIUSサーバがインストールされているオペレーティング システムのタイプによって変わる可能性があります。

- パスワードを空にしてRADIUSユーザを定義すると (RADIUSサーバで)、そのユーザはアプライアンスで認証できなくなります。

  1. ディクショナリ ファイル(checkpoint.dct)をRADIUSサーバのデフォルトのディクショナリ ディレクトリ(radius.dctが入っている場所)に作成します。次の行をcheckpoint.dctファイルに追加します。

    @radius.dct

    MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

    ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string)  r

    ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer)  r

  2. 以下の行をRADIUSサーバのvendor.iniファイルに追加します(他社製品もあるためファイル内ではアルファベット順)。

    vendor-product = Quantum Spark Appliance

    dictionary = nokiaipso

    ignore-ports = no

    port-number-usage = per-port-type

    help-id = 2000

  3. 次の行をdictiona.dcmファイルに追加します。

    "@checkpoint.dct"

  4. このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

    CP-Gaia-User-Role = <role>

    <role>には以下の値を設定できます。

    管理者ロール

    スーパー管理者

    adminRole

    読み取り専用

    monitorrole

    ネットワーキング管理者

    networkingrole

    モバイル管理者

    mobilerole

  1. ディクショナリ ファイルdictionary.checkpointをRADIUSサーバの/etc/freeradius/に作成します。

    次の行をdictionary.checkpointファイルに追加します。

    #Check Point dictionary file for FreeRADIUS AAA server

    VENDOR CheckPoint 2620

    ATTRIBUTE   CP-Gaia-User-Role          229   string  CheckPoint

    ATTRIBUTE   CP-Gaia-SuperUser-Access   230   integer CheckPoint

  2. 次の行を/etc/freeradius/dictionaryファイルに追加します。

    "$INCLUDE dictionary.checkpoint"

  3. このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

    CP-Gaia-User-Role = <role>

    <role>は、WebUIで定義した管理者ロールの名前です。

    管理者ロール

    スーパー管理者

    adminRole

    読み取り専用

    monitorrole

    ネットワーキング管理者

    networkingrole

    モバイル管理者

    mobilerole

  1. ディクショナリ ファイルdict.checkpointをRADIUSサーバの/etc/openradius/subdicts/ディレクトリに作成します。

    # Check PointGaia vendor specific attributes

    # (Formatted for the OpenRADIUS RADIUS server.)

    # Add this file to etc/openradius/subdicts/ and add the line

    # "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

    # right after dict.ascend.

    $add vendor 2620 CheckPoint

    $set default vendor=CheckPoint

         space=RAD-VSA-STD

         len_ofs=1 len_size=1 len_adj=0

         val_ofs=2 val_size=-2 val_type=String

         nodec=0 noenc=0

    $add attribute 229 CP-Gaia-User-Role

    $add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

  2. 次の行を/etc/openradius/dictionariesファイルのdict.ascendの直後に追加します。

    $include subdicts/dict.checkpoint

  3. このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

    CP-Gaia-User-Role = <role>

    <role>は、WebUIで定義した管理者ロールの名前です。

    管理者ロール

    スーパー管理者

    adminRole

    読み取り専用

    monitorrole

    ネットワーキング管理者

    networkingrole

    モバイル管理者

    mobilerole

Superuser(スーパーユーザ)としてログインするには

スーパーユーザには、ファイル システムでQuantum Sparkアプライアンスのシェルを使い、ファイル システムの操作も含めたシステムレベルの操作を行う権限があります。

  1. Quantum Sparkアプライアンス プラットフォームにSSHまたはシリアル コンソールで接続します。

  2. ユーザ名とパスワードを使ってGaia Clishシェルにログインします。

  3. Expertを実行します。

  4. エキスパート モードのパスワードを入力します。