管理认证服务器

认证服务器页面,你可以定义和查看不同的认证服务器,用户可以同时定义外部用户数据库和该数据库中用户的认证方法。

你可以定义这些类型的认证:

  • RADIUS服务器- 定义主要和次要RADIUS服务器的详情。Quantum Spark设备可以连接到这些服务器,并识别其中定义的用户,并通过他们的认证。

  • TACACS+服务器- TACACS+(终端访问控制器访问控制系统)是一种访问控制机制,可以通过网络上的独立服务器对用户进行认证和授权。

  • AD域 - 定义包含你组织的用户信息的AD域的信息。用户感知关闭 Check Point的一个软件刀片,旨在将用户与IP地址联系起来,用于记录和控制。功能可以使用这些信息,为记录目的和基于用户的策略配置提供用户的无缝识别。这可用于VPN远程访问用户认证。在这种情况下,需要在VPN > 远程访问用户页面进行额外配置。

RADIUS服务器

要添加一个RADIUS服务器:

  1. 单击 "配置"。

  2. 在初级选项卡中,输入这些信息:

    • IP地址- RADIUS服务器的IP地址。

    • 端口- RADIUS服务器与客户进行通信的端口号。默认为1812。

    • 共享密钥- RADIUS服务器和Quantum Spark设备之间的密钥(用于消息 "加密 "的预共享信息)。

      注意-- 你不能在密码或共享密钥中使用这些字符:{ } [ ] ` ~ | ‘ " \最大字符数:255

      显示- 显示共享密钥。

    • 超时(秒) - 与RADIUS服务器通信的超时值,单位是秒。超时的默认值是3秒。

  3. 如果适用的话,为二级RADIUS服务器重复步骤2。

    注意- 如果你想删除你在IP地址和共享密钥中输入的信息,你可以点击清除

  4. 点击应用.

    主服务器和辅助服务器(如果定义了)被添加到页面的RADIUS部分。

RADIUS服务器可用于:

  • 定义一个具有远程访问权限的用户数据库。这样的用户是由RADIUS服务器定义和认证的。

  • 定义管理员。见用户和对象 > 管理员页面。

要编辑一个RADIUS服务器:

  1. 点击你想编辑的RADIUS服务器的IP地址链接。

  2. 进行必要的修改。

  3. 点击应用.

    这些变化会在RADIUS服务器中更新。

要删除一个RADIUS服务器:

点击你想删除的RADIUS服务器旁边的删除链接。

RADIUS服务器被删除。

要为RADIUS服务器中定义的用户配置远程访问权限:

  1. 点击RADIUS用户的权限

  2. 选择或清除 "为用户感知、远程访问和热点启用RADIUS认证"复选框。

    当选择时,对于远程访问,选择或清除以只使用特定的RADIUS组。

  3. 点击应用.

注意- 在VPN > 远程访问用户页面为RADIUS用户配置远程访问权限。

TACACS+服务器

注意- TACACS+仅用于管理,不用于远程访问认证。

要配置一个主要和次要的TACS+服务器:

  1. TACS+服务器部分,对于主要或次要TACS+服务器,单击配置

    此时将打开 "配置TACS+服务器 "窗口。

  2. 主要次要选项卡中,输入这些信息:

    • IPv4地址- TACS+服务器的IP地址。

    • 端口- TACS+服务器与客户进行通信的端口号。默认为49。

    • 共享密钥--TACS+服务器和Quantum Spark设备之间的密钥(用于信息 "加密 "的预共享信息)[说明] 。

      注意-- 你不能在密码或共享密钥中使用这些字符:{ } [ ] ` ~ | ‘ " \最大字符数:255

      可选的- 点击显示

    • 超时(秒)- 与TACS+服务器通信的超时值,单位是秒。超时的默认值是3秒。

  3. 点击应用.

要删除一个主要或辅助TACS+服务器:

点击删除

要配置一个TACACS+服务器管理员:

  1. 用户管理 > Administrators,点击 编辑权限

    TACACS+认证窗口打开。

  2. 选择为管理员启用TACACS+认证

  3. 对于角色,请选择其中之一:

    • 对TACACS+用户使用默认角色。如果你选择这个,你必须从下拉菜单中选择默认管理员角色

    • 使用TACACS+服务器上定义的角色。

  4. 点击应用.

AD

要添加一个AD域:

  1. 在AD部分,点击新建

  2. 输入这些信息:

    • 域名- 域名。

    • IP地址- 你的域的一个域控制器的IP地址。

    • 用户名- 该用户必须有管理员权限,以方便配置过程,并使用AD中定义的用户创建基于用户的策略。

    • 密码- 用户的密码。

      注意-- 你不能在密码或共享密钥中使用这些字符:{ } [ ] ` ~ | ‘ " \最大字符数:255

    • 用户DN- 点击发现,自动发现代表该用户的对象的DN,或者手动输入用户DN。

      比如说: CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

  3. 如果你想只使用AD中定义的部分用户数据库,选择只使用特定分支的用户组。在文本字段中输入分支机构的完整DN。

  4. 点击应用.

当一个AD被定义后,你可以从表中选择它,必要时选择编辑删除

当你编辑时,请注意,域的信息是只读的,不能更改。

当你添加一个新的AD域时,你不能使用现有的域创建另一个对象。

要为AD中定义的所有用户配置远程访问权限:

默认情况下,AD中定义的用户没有远程访问权限。相反,在VPN > 远程访问用户页面,可以选择本地或AD中定义的所有用户,授予每个用户远程访问权限。

  1. 点击AD用户的权限

  2. 选择AD中的所有用户。有了这个选项,就不需要到VPN > 远程访问用户页面,选择特定的用户。请注意,大多数AD包含一个大的用户列表,你可能不想授予他们所有的远程访问权限给你的组织。通常情况下,你保留选定的AD用户组选项,并通过VPN > 远程访问用户页面配置远程访问权限。

  3. 点击应用.

要改变与定义的AD的同步模式:

  1. 在AD表的工具栏上点击配置

  2. 选择其中一个选项 -自动同步手动同步

    当选择手动同步时,你可以在所有可以查看该用户数据库的地方同步设备已知的用户数据库。例如,用户和对象 > 用户页面或访问策略 > 防火墙策略页面的Firewall Rule Base中的Source picker。

    注意- 你不能从AD中选择一个用户,只能选择一个AD用户组。你可以选择一个本地用户。

  3. 点击应用.

要编辑一个AD:

  1. 从列表中选择AD。

  2. 点击编辑.

  3. 进行相关修改,然后点击应用

要删除一个AD:

  1. 从列表中选择AD。

  2. 点击删除.

  3. 在确认信息中点击确定

注意- 这个页面可以从VPN用户和对象标签中获得。