設定本地和遠端系統管理者

設備 > 管理者”頁面列出了設備管理者 ,並允許您:

  • 創建新的本地管理者。

  • 設定session超時。

  • 限制登錄失敗嘗試。

  • 產生二維碼以首次將行動應用程式與設備連線。

還可以在遠端RADIUS伺服器中定義管理者,並且您可以設定設備以允許他們訪關閉 UserCheck 規則動作可封鎖流量和檔案,並顯示 UserCheck 訊息。使用者可以同意允許該活動。。這些遠端定義的管理者的身份驗證由同一 RADIUS 伺服器完成。

管理者角色:

  • 超級管理者 - 所有許可權。超級使用者可以創建新的本地定義的管理者,並更改其他人的許可權。

  • 唯讀管理者 - 許可權有限。唯讀管理者無法更新設備設定,但可以從「工具」頁面更改自己的密碼或運行流量監控報告。

  • 網路管理者 - 許可權受限。網路管理者可以更新或修改操作系統設定。他們可以選擇服務或網路物件關閉 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。,但不能創建或修改它。

  • 移動管理者 - 允許移動管理者在所有介面上執行所有網路操作。他們可以更改自己的密碼、產生報告、重新啟動、更改事件和行動政策、活動主機操作和配對。他們無法從 Web UI 登錄或存取 WebUI。

  • 遠端存取管理者 - 許可權受限。遠端存取管理者可以管理 VPN 遠端存取設定。他們可以新增、編輯和刪除 VPN 遠端存取使用者和伺服器。

  • 存取政策管理者 - 許可權受限。存取政策管理者可以管理防火牆設定;應用程式和 URL 過濾設定;和防火牆存取政策。他們還可以創建、編輯和刪除網路物件、服務和自定義應用程式。

具有寫入許可權的兩個管理者無法同時登錄。如果管理者已登錄,則會顯示一條訊息。您可以選擇使用唯讀許可權登錄或繼續。如果繼續登錄過程,第一個管理者session將自動結束。

必須設定正確的管理者角色才能執行下面列出的操作。否則, 將顯示許可權錯誤訊息

要建立本地管理者,請執行以下操作:

  1. 點擊新增.

    此時將打開「 新增管理者 」頁面。

  2. 輸入管理者詳細資訊:

    • 名稱。管理者名稱中允許使用連字元 (-) 字元。

    • 密碼,然後確認密碼

    • 電子郵件位址

    • 電話號碼

    注意 - 您不能在密碼或共用密碼中使用下列字元:{ } [ ] ` ~ | ‘ " \最大字元數:255

  3. 選擇管理者角色

  4. 點擊套用.

    名稱和管理者角色將新增到表中。登錄到 WebUI 時,管理者名稱和角色顯示在頁面頂部。

要編輯本地定義的管理者的詳細資訊,請執行以下操作:

  1. 從表中選擇管理者,然後按下 編輯

  2. 進行相關更改。

  3. 點擊套用.

要刪除本地定義的管理者:

  1. 從清單中選擇管理者。

  2. 點擊刪除.

  3. 在確認訊息中單擊

注意 - 您無法刪除目前已登入的管理者。

要允許遠端 RADIUS 伺服器中定義的管理者存取,請執行以下操作:

  1. 確保在遠端RADIUS伺服器中定義了管理者。

  2. 確保在設備上定義了RADIUS伺服器。如果沒有伺服器,請按下 此頁面頂部的RADIUS設定 連結。您必須設定 RADIUS 伺服器使用的 IP 位址和共用金鑰。

  3. 設定了RADIUS伺服器後,點擊編輯許可權

    將打開「 RADIUS 身份驗證 」 視窗。

  4. 點擊為 管理者 啟用RADIUS身份驗證複選框。

    預設情況下,使用在RADIUS伺服器上定義的角色處於選取狀態。

  5. 為 RADIUS 伺服器上的每個使用者設定角色。請參閱下面的其他詳細資訊。

    注意 - 沒有角色定義的使用者將收到登錄錯誤。

  6. 如果選擇「 對 RADIUS 使用者, 使用預設角色」,請選擇 「管理者角色」 :

    • 超級管理者

    • 唯讀

    • 網路管理者

    • 移動管理者

  7. 要定義群組關閉 具有共用屬性的物件集合,例如使用者帳號。,請點擊僅使用特定的RADIUS群組,然後輸入以逗號分隔的RADIUS群組。

  8. 點擊套用.

要為本地和遠端定義的管理者設定工作階段超時值,請執行以下操作:

  1. 點擊安全 設定

    將打開「 管理者安全設定」 視窗。

  2. 設定session超時(最長非啟用時間段(以分鐘為單位)。最大值為999分鐘。

  3. 若要限制登錄失敗嘗試,請按下 限制管理者登錄失敗嘗試「 複選框」。

  4. 輸入管理者被鎖定之前允許的最大連續登錄嘗試次數

  5. 鎖定期中,輸入鎖定的管理者嘗試再次登錄之前必須經過的時間(以秒為單位)。

  6. 要強制管理者使用密碼複雜性,請點擊該複選框並輸入密碼過期的天數。

    注意 - 我們強烈建議使用複雜密碼。密碼長度必須至少為 12 個字元,並且包含大寫、小寫、數位和非字母數位字元。允許的字母數字字符: ! @ # % ^ & * ( ) - _ + : ;

  7. 點擊套用.

注意 - 此頁面可從「 設備 」 和 「使用者 與 物件 」選項卡中訪問。

首次將行動應用程式與設備連線:

  1. 點擊 手機配對代碼

    將打開「連線行動設備」視窗。

  2. 從下拉功能表中選擇管理者。

  3. 點擊產生

    這將產生一個二維碼,用於首次將Check Point WatchTower手機應用程式與設備連線。

有關行動應用程式的詳細資訊,請參見 WatchTower App User Guide

為非本地Quantum Spark 設備使用者設定 RADIUS 伺服器:

非本地使用者可以在RADIUS伺服器上定義,而不是在Quantum Spark設備中定義。當非本地使用者登錄到設備時,RADIUS 伺服器會對使用者進行身份驗證並分配適用的許可權。必須將RADIUS伺服器設定為正確驗證和授權非本地使用者。

注意 - RADIUS 伺服器的設定可能會根據安裝 RADIUS 伺服器的作業系統類型而更改。

注意 - 如果使用空密碼定義 RADIUS 使用者(在 RADIUS 伺服器上),則設備無法對該使用者進行身份驗證。

  1. 在 RADIUS 伺服器上的預設詞典目錄(包含 radius.dct)中創建詞典檔 checkpoint.dct 。在檔案中新增 checkpoint.dct 以下行:

    @radius.dct

    MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

    ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string)  r

    ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer)  r

  2. 在RADIUS伺服器上的檔案中新增以下行 vendor.ini (按字母順序與此檔案中的其他供應商產品保持):

    vendor-product = Quantum Spark Appliance

    dictionary = nokiaipso

    ignore-ports = no

    port-number-usage = per-port-type

    help-id = 2000

  3. 在檔案中新增 dictiona.dcm 以下行:

    "@checkpoint.dct"

  4. 將此Check Point供應商特定屬性新增到 RADIUS 伺服器使用者設定檔中的使用者:

    CP-Gaia-User-Role = <role>

    其中 <role> 允許的值為:

    管理者角色

    超級管理者

    adminRole

    唯讀

    monitorrole

    網路管理者

    networkingrole

    移動管理者

    mobilerole

  1. /etc/freeradius/ RADIUS 伺服器上創建字典檔 dictionary.checkpoint

    在檔案中新增 dictionary.checkpoint 以下行:

    # Check Point dictionary file for FreeRADIUS AAA server

    VENDOR CheckPoint 2620

    ATTRIBUTE   CP-Gaia-User-Role          229   string  CheckPoint

    ATTRIBUTE   CP-Gaia-SuperUser-Access   230   integer CheckPoint

  2. /etc/freeradius/dictionary 檔中新增此行

    "$INCLUDE dictionary.checkpoint"

  3. 將此Check Point供應商特定屬性新增到 RADIUS 伺服器使用者設定檔中的使用者:

    CP-Gaia-User-Role = <role>

    其中 <role> 是 WebUI 中定義的管理者角色的名稱。

    管理者角色

    超級管理者

    adminRole

    唯讀

    monitorrole

    網路管理者

    networkingrole

    移動管理者

    mobilerole

  1. /etc/openradius/subdicts/ RADIUS 伺服器上的目錄中建立字典檔 dict.checkpoint

    # Check Point Gaia vendor specific attributes

    # (Formatted for the OpenRADIUS RADIUS server.)

    # Add this file to etc/openradius/subdicts/ and add the line

    # "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

    # right after dict.ascend.

    $add vendor 2620 CheckPoint

    $set default vendor=CheckPoint

         space=RAD-VSA-STD

         len_ofs=1 len_size=1 len_adj=0

         val_ofs=2 val_size=-2 val_type=String

         nodec=0 noenc=0

    $add attribute 229 CP-Gaia-User-Role

    $add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

  2. 在緊接在文件後面新增 dict.ascend此行 /etc/openradius/dictionaries

    $include subdicts/dict.checkpoint

  3. 將此Check Point供應商特定屬性新增到 RADIUS 伺服器使用者設定檔中的使用者:

    CP-Gaia-User-Role = <role>

    其中 <role> 是 WebUI 中定義的管理者角色的名稱。

    管理者角色

    超級管理者

    adminRole

    唯讀

    monitorrole

    網路管理者

    networkingrole

    移動管理者

    mobilerole

要以超級使用者身份登入:

具有超級使用者許可權的使用者可以使用Quantum Spark 設備 shell 執行系統級操作,包括使用文件系統。

  1. 通過 SSH 或序列控制台連線到Quantum Spark 設備平臺。

  2. 使用您的使用者名和密碼登錄Gaia clish Shell。

  3. 執行: expert

  4. 輸入專家模式密碼。

重要

  • 要將專家模式 (Bash) 設定為預設 shell,請運行以下指令 (不建議):

    bashUser on

  • 要將 Gaia Clish關閉 Gaia CLI 的預設Shell 設定為預設 shell,請運行以下指令(建議):

    bashUser off