配置本地和远程系统管理员

设备>管理员页面列出了设备管理员。你可执行下列操作:

  • 创建新的本地管理员。

  • 配置会话超时。

  • 限制登录失败的尝试。

  • 重新生成密钥。

管理员也可以在远程RADIUS服务器中定义,你可以配置设备,允许他们访问。这些远程定义的管理员的认证是由同一个RADIUS服务器完成的。

备注- 可从设备用户和对象选项卡访问此页面。

管理员角色:

两个有写权限的管理员不能同时登录。如果管理员已经登录,会显示一条信息。你可以选择以 "只读 "权限登录或继续登录。如果你继续登录过程,第一个管理员会话自动结束。

必须配置正确的管理员角色,以执行下面列出的操作。如果没有,就会出现许可错误信息

本地管理员

  1. 点击“新建”。

    打开 "添加管理员"页面。

  2. 输入管理员的详细信息:

    备注- 要启用双重身份验证(从R81.10.10版本开始可用),所有管理员必须配置电子邮件地址和电话号码。单击测试以验证你是否可以在电子邮件地址和电话号码上接收消息。

    • 名称。在管理员名称中允许使用连字符 (-) 。

    • 密码,然后确认密码

      注意 -你不能在密码或共享密钥中使用以下字符::{ } [ ] ` ~ | ‘ " \ (最大字符数:255)

    • 电子邮件地址

      注意- 在R81.10.X版本中,该功能从R81.10.05版本开始提供。

    • 电话号码 - 包括国家代码,并且不要在电话号码开头包含“+”。例如“44123456789”,其中“44”是国家代码。

      注意- 在R81.10.X版本中,该功能从R81.10.05版本开始提供。

    • 管理员角色从下拉菜单中选择。

    • 下次登录时强制更改密码。管理员下次登录时,会出现此消息:“你的密码已过期,请更改。”

      密码更改后,复选框将被清除。你可以随时重新选择强制更改密码。

  3. 点击保存

    名称和管理员角色被添加到表中。当登录到 WebUI 时,管理员的名字和角色会显示在页面的顶部。

说明- 如果未启用双重身份验证,则填写电子邮件地址和电话号码是可选项。但必须至少标明一个电子邮件地址电话号码,以便:

  • 重置 WebUI 登录页面上的密码(见下文)。

  1. 从表中选择管理员并点击编辑

  2. 进行相关的修改。

  3. 点击“应用

  1. 从列表中选择一个管理员。

  2. 点击“删除”。

  3. 在确认信息中点击

注意- 你不能删除一个目前正在登录的管理员。

注意 - 在R81.10.X版本中,该功能从R81.10.08版本起开始可用。

当您登录安全网关关闭 专用的Check Point服务器运行Check Point软件来检查流量并为连接的网络资源实施安全策略。后,就可以安全地重置密码。

注意 - 管理员详细信息中必须配置电子邮件地址或电话号码。

  1. 登录页面中,输入用户名,然后单击“忘记我的密码”。

  2. 随即会出现“查找您的账户”屏幕。输入您的用户名电子邮件电话号码,然后单击“下一步”。

    您将会收到一条含有安全码(一次性密码)的消息。

  3. 输入安全码并单击下一步

  4. 在相应的字段中创建并输入您的新密码。

    注意 - 密码必须至少包含 6 个字符。

  5. 在“确认密码”字段中,再次输入该密码。

  6. 点击“下一步

  7. 屏幕上将会显示一条消息,确认您的密码已成功更改。

  8. 单击“下一步”进入登录页面。

远程管理员

注意 -在R81.10.10版本中,当为管理员访问配置了RADIUS或TACACS时,不支持双重身份验证功能。

  1. 确保管理员在远程RADIUS服务器中被定义。

  2. 确保设备上定义了一个RADIUS服务器。如果没有服务器,请点击本页面顶部的RADIUS配置链接。你必须配置RADIUS服务器使用的IP地址和共享密钥。

  3. 当你有一个配置好的RADIUS服务器,点击编辑权限

    RADIUS认证窗口打开。

  4. 选择“为管理员启用RADIUS认证”。

    使用在RADIUS服务器上定义的角色”为默认选择。

  5. 为RADIUS服务器上的每个用户配置角色。见下文的其他信息。

    注意- 没有角色定义的用户将得到一个登录错误。

  6. 如果你选择对RADIUS用户使用默认角色,请选择Administrators角色

    • 超级管理员

    • 只读

    • 网络管理

    • 移动管理

  7. 要定义组,请点击“只使用特定的RADIUS组”,并输入用逗号分隔的RADIUS组。

  8. 点击“应用

  1. 点击安全设置

    此时会出现 "管理员安全设置"窗口。

  2. 配置会话超时(不活动的最大时间段,以分钟计)。最大值是999分钟。

  3. 要限制登录失败的尝试,请点击限制管理员登录失败尝试的复选框。

  4. 输入管理员被锁定前允许的最大连续登录尝试次数。

  5. 锁定周期,输入必须经过的时间(以秒为单位),被锁定的管理员才可以尝试再次登录。

  6. 要对管理员强制执行密码复杂性,请点击复选框,并输入密码过期的天数。

    注意- 我们强烈建议使用复杂的密码。密码必须至少包含12个字符 - 大写字母、小写字母、数字和非字母数字字符。允许的字母数字字符:! @ # % ^ & * ( ) - _ + : ;

  7. 点击“应用

为非本地Quantum Spark设备用户配置RADIUS服务器

非本地用户可在RADIUS服务器上定义,而非在Quantum Spark设备中定义。当非本地用户登录设备时,RADIUS服务器对用户进行认证并分配适用的权限。你必须配置RADIUS服务器以正确地验证和授权非本地用户。

备注:

  • RADIUS服务器的配置可能会因安装RADIUS服务器的操作系统的类型而改变。

  • 如果(在RADIUS服务器上)定义了密码为空的RADIUS用户,那设备就无法验证该用户。

  1. 在RADIUS服务器上创建字典文件checkpoint.dct ,在默认的字典目录下(包含radius.dct )。在checkpoint.dct 文件中添加这些行:

    @radius.dct

    MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

    ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string)  r

    ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer)  r

  2. 在RADIUS服务器的vendor.ini 文件中添加这些行(在这个文件中与其他供应商的产品保持字母顺序):

    vendor-product = Quantum Spark Appliance

    dictionary = nokiaipso

    ignore-ports = no

    port-number-usage = per-port-type

    help-id = 2000

  3. dictiona.dcm 文件中添加这一行:

    "@checkpoint.dct"

  4. 在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性:

    CP-Gaia-User-Role = <role>

    其中<role>允许的值为:

    管理员角色

    超级管理员

    adminRole

    只读

    monitorrole

    网络管理

    networkingrole

    移动管理

    mobilerole

  1. 在RADIUS服务器的/etc/freeradius/ ,创建字典文件dictionary.checkpoint

    dictionary.checkpoint 文件中添加这些行:

    # Check Point dictionary file for FreeRADIUS AAA server

    VENDOR CheckPoint 2620

    ATTRIBUTE   CP-Gaia-User-Role          229   string  CheckPoint

    ATTRIBUTE   CP-Gaia-SuperUser-Access   230   integer CheckPoint

  2. /etc/freeradius/dictionary文件中添加这一行

    "$INCLUDE dictionary.checkpoint"

  3. 在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性:

    CP-Gaia-User-Role = <role>

    其中<role>是在WebUI中定义的管理员角色的名称。

    管理员角色

    超级管理员

    adminRole

    只读

    monitorrole

    网络管理

    networkingrole

    移动管理

    mobilerole

  1. 在RADIUS服务器的/etc/openradius/subdicts/ 目录中创建字典文件dict.checkpoint

    # Check Point Gaia vendor specific attributes

    # (Formatted for the OpenRADIUS RADIUS server.)

    # Add this file to etc/openradius/subdicts/ and add the line

    # "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

    # right after dict.ascend.

    $add vendor 2620 CheckPoint

    $set default vendor=CheckPoint

         space=RAD-VSA-STD

         len_ofs=1 len_size=1 len_adj=0

         val_ofs=2 val_size=-2 val_type=String

         nodec=0 noenc=0

    $add attribute 229 CP-Gaia-User-Role

    $add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

  2. /etc/openradius/dictionaries 文件中,紧接着dict.ascend ,添加这一行:

    $include subdicts/dict.checkpoint

  3. 在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性:

    CP-Gaia-User-Role = <role>

    其中<role>是在WebUI中定义的管理员角色的名称。

    管理员角色

    超级管理员

    adminRole

    只读

    monitorrole

    网络管理

    networkingrole

    移动管理

    mobilerole

要以超级用户身份登录:

拥有超级用户权限的用户可以使用Quantum Spark设备的shell来进行系统级操作,包括对文件系统的操作。

  1. 通过SSH或串行控制台连接到Quantum Spark设备平台。

  2. 用你的用户名和密码登录到Gaia Clish关闭 Gaia CLI的默认shell shell。

  3. 运行:expert

  4. 输入专家模式的密码。

重要的是

  • 要将专家模式(Bash)配置为默认外壳,请运行以下命令(不推荐):

    bashUser on

  • 要将Gaia Clish配置为默认外壳,请运行以下命令(推荐):

    bashUser off