ローカルとリモート システム管理者の設定

[デバイス]>[管理者]ページには、アプライアンス管理者のリストが表示されます。また、以下の操作を行うことができます。

  • 新しいローカル管理者の作成

  • セッション タイムアウトの設定

  • ログインの失敗回数の設定

  • 新しいQRコードを生成して、モバイル アプリケーションとアプライアンスを新規に接続します。

  • キーを再生成します。

管理者は、リモートRADIUSサーバで定義することもできます。この場合は、RADIUSサーバで定義した管理者によるアクセスを許可するようアプライアンスを設定します。リモートのRADIUSサーバで定義した管理者の認証は、同じRADIUSサーバで行います。

- このページには、[デバイス]タブと[ユーザ&オブジェクト]タブからアクセスできます。

管理者ロール:

  • スーパー管理者 - すべての権限を持ちます。スーパー管理者は、ローカル定義の管理者を作成したり、他の管理者の権限を変更することができます。

  • 読み取り専用管理者 - 限定的な権限を持ちます。読み取り専用管理者は、アプライアンスの設定をアップデートすることはできませんが、パスワードを変更したり、[ツール]ページからトラフィックのモニタリング レポートを実行したりできます。

  • ネットワーキング管理者 - 限定的な権限を持ちます。ネットワーキング管理者は、オペレーティング システムの設定をアップデートしたり変更することができます。サービスやネットワーク オブジェクトを選択することはできますが、作成したり変更することはできません。

  • モバイル管理者 - モバイル管理者は、すべてのインタフェースですべてのネットワーク操作を許可されます。パスワードの変更、レポートの生成、再起動、イベントの変更、モバイル ポリシーの変更、アクティブ ホストの操作やペアリングを行うことができます。WebUIからのログインやアクセスはできません。

  • リモートアクセス管理者 - 限定的な権限を持ちます。リモートアクセス管理者は、VPNリモートアクセス設定を管理できます。VPNリモートアクセスユーザとサーバを、追加、編集、削除できます。

  • アクセスポリシー管理者 - 限定的な権限を持ちます。アクセスポリシー管理者は、ファイアウォール設定、アプリケーション&URLフィルタリング設定、ファイアウォールアクセスポリシーを管理することができます。また、ネットワークオブジェクト閉じた コンピュータ、IPアドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者は、これらのオブジェクトをセキュリティポリシーで使用します。や、サービスやカスタムアプリケーションを作成、編集、削除することもできます。

  • セルフサービス管理者 - Infinity PortalのSpark Managementアプリケーションでこのロールを作成します。セルフサービス管理者としてローカルゲートウェイにログインし、セルフサービスポータルにアクセスします。

書き込み権限を持つ2人の管理者が同時にログインすることはできません。1人の管理者が既にログインしている場合、メッセージが表示されます。読み取り専用アクセス権限でログインするか、続行するかを選択することができます。ログイン プロセスを続行する場合、最初の管理者のセッションは自動的に終了されます。

以下に示す操作を実行するためには、管理者ロールを適切に設定する必要があります。正しくないと、権限エラーのメッセージが表示されます。

ローカル管理者

  1. [新規]をクリックします。

    [管理者の追加]ページが表示されます。

  2. 管理者の詳細情報を入力します:

    - 2要素認証(R81.10.10リリースから利用可能)を有効にするには、すべての管理者がEメールアドレスと電話番号の両方を設定しておく必要があります。テストをクリックして、メールアドレスと電話番号の両方でメッセージを受信できることを確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。します。

    • [名前]。管理者の名前にはハイフン(-)を入れることができます。

    • [パスワード][パスワードの確認]の順に入力します。

      - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " \の文字は使用できません(最大255文字)。

    • [Eメールアドレス]

      - R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

    • 電話番号 - 国番号を含めて入力し、番号の頭に"+"はつけません。例えば、"44123456789"と入力します。"44 "は国番号です。

      - R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

  3. [保存]をクリックします。

    管理者の名前とロールが、表に追加されます。WebUIへログインする際、管理者名と、権限がページの上部に表示されます。

- 2要素認証が有効でない場合、メールアドレスと電話番号の定義は任意です。ただし、次に対してはEメールまたは電話番号のどちらかを必ず定義します:

  • EメールまたはSMSによるセキュリティアラート通知の受信。通知を参照してください。

  • WebUIのログインページでパスワードをリセットするには(次を参照)

  1. 表から管理者を選択し、[編集]をクリックします。

  2. 必要な変更を行います。

  3. 適用をクリックします

  1. リストから管理者を選択します。

  2. [削除]をクリックします。

  3. 確認メッセージで[はい]をクリックします。

- ログイン中の管理者を削除することはできません。

- R81.10.Xリリースでは、バージョンR81.10.08からこの機能が利用できます。

セキュリティゲートウェイ閉じた トラフィックを検査し、接続されたネットワークリソースに対してセキュリティポリシーを適用するために、Check Pointソフトウェアを実行するCheck Point専用サーバ。にログインして、パスワードを安全にリセットできます。

- 管理者の詳細として、メールアドレスまたは電話番号を設定している必要があります。

  1. ログインページで、ユーザ名を入力してパスワードを忘れた場合をクリックします。

  2. アカウントの検索画面が表示されます。ユーザ名Eメールまたは電話番号を入力し、次へをクリックします。

    セキュリティコードが記載されたメッセージを受け取ります(ワンタイムパスワード)。

  3. セキュリティコードを入力し、次へをクリックします。

  4. 新しいパスワードを該当フィールドに入力します。

    - パスワードは最低6文字以上にしてください。

  5. パスワードの確認フィールドで、パスワードを再入力します。

  6. [次へ]をクリックします

  7. パスワードが変更されました旨のメッセージが画面に表示されます。

  8. 次へをクリックしてログインページに進みます。

リモート管理者

- R81.10.10では、管理者アクセスにRADIUSまたはTACACSが設定されている場合、2要素認証がサポートされません。

  1. リモートのRADIUSサーバで管理者を定義します。

  2. アプライアンスでRADIUSサーバを定義します。RADIUSサーバが定義されていない場合は、ページ上部のRADIUSサーバの設定リンクをクリックします。RADIUSサーバが使用しているIPアドレスと共有秘密キーを設定するよう求められます。

  3. 設定済みのRADIUSサーバがある場合は、[権限の編集]をクリックします。

    [RADIUS認証]ウィンドウが開きます。

  4. [管理者用RADIUS認証を有効にする]を選択します。

    [RADIUSサーバで定義されたロールを使用]はデフォルトで有効になっています。

  5. RADIUSサーバで各ユーザのロールを設定します。以下の詳細を参照してください。

    - ロールが定義されていないユーザに対しては、ログイン エラーが表示されます。

  6. [RADIUSユーザのデフォルトのロールを使用]を選択する場合、以下の管理者ロールを選択します。

    • スーパー管理者

    • 読み取り専用

    • ネットワーキング管理者

    • モバイル管理者

  7. グループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。を定義するには、[特定のRADIUSグループのみを使用]をクリックして必要なRADIUSグループをカンマ区切りで入力します。

  8. 適用をクリックします

  1. [セキュリティ設定]をクリックします。

    [管理者セキュリティ設定]ウィンドウが開きます。

  2. セッション タイムアウト値(操作しない状態の最長時間)を分単位で設定します。最大値は999分です。

  3. ログインの失敗回数を制限するには、[管理者ログインの失敗回数を制限]チェックボックスをオンにします。

  4. [ログイン失敗の最大回数]に、管理者がロックアウトされるまで試行できるログイン回数を入力します。

  5. [ロックする時間]に、ロックアウトしてから管理者が再度ログインを試行できるようになるまで待機する時間(秒)を入力します。

  6. 管理者パスワードの条件に複雑さを設定する場合はチェックボックスを選択して、パスワードの期限日数を指定します。

    - 複雑なパスワードの使用を強く推奨します。パスワードは、大文字、小文字、数字、英数字以外の文字の合計12文字以上にしてください。使用可能な英数字: ! @ # % ^ & * ( ) - _ + : ;

  7. 適用をクリックします

モバイルデバイスのペアリング

モバイル アプリケーションとアプライアンスを新規に接続するには

  1. モバイル ペアリング コードをクリックします。

    モバイル デバイスの接続ウィンドウが開きます。

  2. プルダウンメニューから管理者を選択します。

  3. [生成]をクリックします。

    QRコードが生成され、Check Point WatchTowerモバイル アプリケーションとアプライアンスを新規に接続します。

モバイル アプリケーションの詳細については、「 WatchTower App User Guide 」を参照してください。

Quantum Sparkアプライアンスの非ローカルユーザに対するRADIUSサーバの設定

非ローカル ユーザは、Quantum SparkアプライアンスではなくRADIUSサーバで定義できます。非ローカル ユーザがアプライアンスにログインすると、RADIUSサーバでユーザが認証されて該当する権限が割り当てられます。非ローカル ユーザを適切に認証して承認するように、RADIUSサーバを設定する必要があります。

-

  • RADIUSサーバの設定は、RADIUSサーバがインストールされているオペレーティングシステムのタイプによって変わる可能性があります。

  • RADIUSサーバでパスワードを空にしてRADIUSユーザを定義すると、そのユーザはアプライアンスで認証できなくなります。

  1. ディクショナリ ファイル(checkpoint.dct)をRADIUSサーバのデフォルトのディクショナリ ディレクトリ(radius.dctが入っている場所)に作成します。次の行をcheckpoint.dctファイルに追加します。

    @radius.dct

    MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

    ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string)  r

    ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer)  r

  2. 以下の行をRADIUSサーバのvendor.iniファイルに追加します(他社製品もあるためファイル内ではアルファベット順)。

    vendor-product = Quantum Spark Appliance

    dictionary = nokiaipso

    ignore-ports = no

    port-number-usage = per-port-type

    help-id = 2000

  3. 次の行をdictiona.dcmファイルに追加します。

    "@checkpoint.dct"

  4. このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

    CP-Gaia-User-Role = <role>

    <role>には以下の値を設定できます。

    管理者ロール

    スーパー管理者

    adminRole

    読み取り専用

    monitorrole

    ネットワーキング管理者

    networkingrole

    モバイル管理者

    mobilerole

  1. ディクショナリ ファイルdictionary.checkpointをRADIUSサーバの/etc/freeradius/に作成します。

    次の行をdictionary.checkpointファイルに追加します。

    # Check Point dictionary file for FreeRADIUS AAA server

    VENDOR CheckPoint 2620

    ATTRIBUTE   CP-Gaia-User-Role          229   string  CheckPoint

    ATTRIBUTE   CP-Gaia-SuperUser-Access   230   integer CheckPoint

  2. 次の行を/etc/freeradius/dictionaryファイルに追加します。

    "$INCLUDE dictionary.checkpoint"

  3. このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

    CP-Gaia-User-Role = <role>

    <role>は、WebUIで定義した管理者ロールの名前です。

    管理者ロール

    スーパー管理者

    adminRole

    読み取り専用

    monitorrole

    ネットワーキング管理者

    networkingrole

    モバイル管理者

    mobilerole

  1. ディクショナリ ファイルdict.checkpointをRADIUSサーバの/etc/openradius/subdicts/ディレクトリに作成します。

    # Check Point Gaia vendor specific attributes

    # (Formatted for the OpenRADIUS RADIUS server.)

    # Add this file to etc/openradius/subdicts/ and add the line

    # "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

    # right after dict.ascend.

    $add vendor 2620 CheckPoint

    $set default vendor=CheckPoint

         space=RAD-VSA-STD

         len_ofs=1 len_size=1 len_adj=0

         val_ofs=2 val_size=-2 val_type=String

         nodec=0 noenc=0

    $add attribute 229 CP-Gaia-User-Role

    $add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

  2. 次の行を/etc/openradius/dictionariesファイルのdict.ascendの直後に追加します。

    $include subdicts/dict.checkpoint

  3. このCheck Pointのベンダー指定の属性を、RADIUSサーバのユーザ設定ファイルのユーザに追加します。

    CP-Gaia-User-Role = <role>

    <role>は、WebUIで定義した管理者ロールの名前です。

    管理者ロール

    スーパー管理者

    adminRole

    読み取り専用

    monitorrole

    ネットワーキング管理者

    networkingrole

    モバイル管理者

    mobilerole

Superuser(スーパーユーザ)としてログインするには

スーパーユーザには、ファイル システムでQuantum Sparkアプライアンスのシェルを使い、ファイル システムの操作も含めたシステムレベルの操作を行う権限があります。

  1. Quantum Sparkアプライアンス プラットフォームにSSHまたはシリアル コンソールで接続します。

  2. ユーザ名とパスワードを使ってGaia Clish閉じた Gaia CLIのデフォルトのシェルシェルにログインします。

  3. Expertを実行します。

  4. エキスパート モードのパスワードを入力します。

重要

  • エキスパートモード(Bash)をデフォルトのシェルとして設定するには、次のコマンドを実行します(非推奨):

    bashUser on

  • Gaia Clishをデフォルトのシェルとして設定するには、次のコマンドを実行します(推奨):

    bashUser off