認証サーバの管理

[ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページでは、複数の認証サーバを定義、参照できます。外部ユーザデータベースと、そのデータベースに定義されているユーザの認証メソッドを定義できます。

以下の認証タイプを設定できます。

  • RADIUSサーバ - プライマリとセカンダリのRADIUSサーバの詳細を定義できます。Quantum Sparkアプライアンスはこれらのサーバに接続し、これらのサーバで定義、認証されているユーザを認識できます。

    - R81.10.10では、管理者アクセスにRADIUSまたはTACACSが設定されている場合、2要素認証がサポートされません。

  • TACACS+サーバ - TACACS+は、ネットワーク上の別のサーバでユーザの認証と承諾を可能にするアクセス制御メカニズムです。

    -

    • R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

    • [VPN]ビュー>[リモートアクセス]セクション>[認証サーバ]ページでは、[TACACS+サーバ]セクションは表示されません。

  • Active Directoryドメイン - 組織に属するユーザの情報が登録されたActive Directoryドメインの詳細を定義できます。ユーザ認識閉じた ログ記録と制御を目的としてユーザをIPアドレスに関連付けるよう設計されたCheck Point Software Bladeの1つ。機能では、これらの詳細情報を使用してシームレスにユーザを認識し、その識別情報をログ記録やユーザ ベースのポリシー設定に活用することができます。この機能は、VPNリモート アクセスのユーザ認証にも使用できます。この場合は、[VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページで追加設定を行う必要があります。

RADIUSサーバ

RADIUSサーバは以下の用途に使用できます。

  • リモート アクセス権限のあるユーザのデータベースを定義する。このようなユーザの定義と認証はRADIUSサーバで行います。

  • 管理者を定義する。詳細については、[ユーザ&オブジェクト]>[ユーザ管理]セクション>[管理者]ページを参照してください。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [RADIUSサーバ]セクションで、[設定]をクリックします。

  3. [プライマリ]タブで以下の情報を入力します。

    • [IPアドレス] - RADIUSサーバのIPアドレス。

    • [ポート] - RADIUSサーバがクライアントとの通信に使用するポート番号。デフォルトは1812です。

    • [共有秘密キー] - RADIUSサーバとQuantum Sparkアプライアンスの間で使用される秘密情報(メッセージの暗号化に使用される事前共有情報)です。

      [表示]を選択すると、共有秘密キーが表示されます。

      - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " \の文字は使用できません(最大255文字)。

    • [タイムアウト(秒)] - RADIUSサーバと通信する際のタイムアウト値(秒)です。デフォルトのタイムアウトは3秒です。

    - [IPアドレス][共有秘密キー]に入力した情報を削除する場合は、[クリア]をクリックします。

  4. セカンダリRADIUSサーバを使用する場合は、[セカンダリ]タブで手順2を繰り返します。

  5. 適用をクリックします

    プライマリとセカンダリ(定義した場合)のサーバがページの[RADIUS]セクションに追加されます。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. 編集するRADIUSサーバのIPアドレス リンクをクリックします。

  3. 必要な変更を行います。

  4. 適用をクリックします

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. 削除するRADIUSサーバの横にある[削除]リンクをクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[管理者]ページをクリックします。

  2. [管理者RADIUS認証]の行で、[権限の編集]クリックします。

  3. [管理者用RADIUS認証を有効にする]を選択します。

  4. 以下のいずれかを選択します。

    • [RADIUSサーバで定義されたロールを使用]

    • [RADIUSユーザのデフォルトのロールを使用]

      1. [デフォルトの管理者ロール]で、該当するロールを選択します。

      2. オプション:[特定のRADIUSグループのみを使用する管理者用]を選択します。

        該当するRADIUSグループを入力します。

  5. 適用をクリックします

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[管理者]ページをクリックします。

  2. [RADIUSユーザのリモートアクセス権限が無効になっています]の文中のリンクをクリックします。

  3. [RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にする]を選択します。

  4. オプション:[特定のRADIUSグループのみを使用するリモートアクセス用]を選択します。

    該当するRADIUSグループを入力します。

  5. 適用をクリックします

  6. [VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページで、RADIUSユーザのリモートアクセス権限を設定します。

TACACS+サーバ

-

  • R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

  • TACACS+は管理用としてのみ使用し、リモートアクセス認証には使用しません。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [TACACS+サーバ]セクションで、[設定]をクリックします。

  3. [プライマリ]タブで以下の情報を入力します。

    • [IPアドレス] - TACACS+サーバのIPアドレス。

    • [ポート] - TACACS+サーバがクライアントとの通信に使用するポート番号。デフォルトは49です。

    • [共有秘密キー] - TACACS+サーバとQuantum Sparkアプライアンスの間で使用される秘密情報(メッセージの暗号化に使用される事前共有情報)です。

      [表示]を選択すると、共有秘密キーが表示されます。

      - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " \の文字は使用できません(最大255文字)。

    • [タイムアウト(秒)] - TACACS+サーバと通信する際のタイムアウト値(秒)です。デフォルトのタイムアウトは3秒です。

    - [IPアドレス][共有秘密キー]に入力した情報を削除する場合は、[クリア]をクリックします。

  4. セカンダリTACACS+サーバを使用する場合は、[セカンダリ]タブで手順2を繰り返します。

  5. 適用をクリックします

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. 削除するTACACS+サーバの横にある[削除]リンクをクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[管理者]ページをクリックします。

  2. [管理者TACACS+認証]の行で、[権限の編集]クリックします。

  3. [管理者のTACACS+認証を有効にする]を選択します。

  4. 以下のいずれかを選択します。

    • [TACACS+サーバで定義されたロールを使用]

    • [TACACS+ユーザのデフォルトのロールを使用]

      [デフォルトの管理者ロール]で、該当するロールを選択します。

  5. 適用をクリックします

Active Directory

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [Active Directory]セクションで[新規]をクリックします。

  3. 以下の情報を入力します。

    • [ドメイン] - ドメイン名です。

      既存のActive Directoryドメインオブジェクトと同じ[ドメイン]を持つ別のオブジェクトを作成することはできません。

    • [IPアドレス] - ドメインのいずれかのドメイン コントローラのIPアドレス。

    • [ユーザ名] - 設定を効率化し、Active Directoryに定義されているユーザを使用してユーザ ベースのポリシーを作成するには、管理者権限のあるユーザを指定する必要があります。

    • [パスワード] - ユーザのパスワードです。

      - パスワードや共有秘密キーを入力する際は、{ } [ ] ` ~ | ‘ " \の文字は使用できません(最大255文字)。

    • [ユーザDN] - [検索]をクリックして該当のユーザを表すオブジェクトのDNを自動検出閉じた トラフィックやファイルの内部ネットワークへのアクセスを許可し、それらをログに記録するUserCheckルールアクション。するか、そのユーザのDNを入力します。

      例:CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

  4. Active Directoryに定義された一部のユーザ データベースだけを使う場合は、[特定のブランチからのユーザ グループのみ使用]をオンにします。

    1. [新規]をクリックします。

    2. [ブランチ]のテキスト フィールドにそのブランチ名(フルDN)を入力します。

    3. 適用をクリックします

  5. 適用をクリックします

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. Active Directoryセクションで、Active Directoryドメインを選択します。

  3. [編集]をクリックします。

  4. 該当する変更を行います。

    [ドメイン]は変更できません。

  5. 適用をクリックします

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. Active Directoryセクションで、Active Directoryドメインを選択します。

  3. [削除]をクリックします。

  4. 確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。メッセージでOKをクリックします。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. [Active Directory]セクションで[設定]をクリックします。

  3. 該当するオプションを選択します。

    • 自動同期

    • 手動同期

      - このオプションを選択すると、アプライアンスが把握しているユーザ データベースを、そのデータベースを参照できるすべての場所で同期化できます。

      例:

      • [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[ユーザ]ページ。

      • [アクセスポリシー]ビュー>[ファイアウォール]セクション>[ポリシー]ページ>[ソース]ピッカー。

        Active Directoryからユーザを選択することはできません。Active Directoryユーザグループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。のみを選択できます。

        ローカル ユーザを選択できます。

  4. 適用をクリックします

デフォルトでは、Active Directoryのユーザにリモート アクセス権限はありません。その代わり、[VPN]>[リモートアクセス]セクション>[リモートアクセスユーザ]ページから、ローカルまたはActive Directoryで定義されているユーザを個別に選択してリモートアクセス権限を付与できます。

  1. [ユーザ&オブジェクト]ビュー>[ユーザ管理]セクション>[認証サーバ]ページをクリックします。

  2. Active Directoryセクションで、Active Directoryユーザのリモートアクセス許可が設定されますの文中のリンクをクリックします。

  3. Active Directoryのすべてのユーザを選択します。

    このオプションを使用する場合、[VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページに移動して特定のユーザを選択する必要はありません。

    Active Directoryには、たいてい多数のユーザが含まれています。組織へのリモート アクセス権限をすべてのユーザに付与することは、お勧めできません。

    通常は、[選択したActive Directoryユーザグループ]オプションを選択したままにし、[VPN]ビュー>[リモートアクセス]セクション>[リモートアクセスユーザ]ページでリモートアクセス権限を設定します。

  4. 適用をクリックします