ユーザ認識の使用

[ユーザ認識]ページでは、ブレードをオン/オフに切り替えたり、設定ウィザードを使い、ユーザ認識閉じた ログ記録と制御を目的としてユーザをIPアドレスに関連付けるよう設計されたCheck Point Software Bladeの1つ。の取得、ログ記録、設定目的のソースを設定できます。

Quantum Sparkアプライアンスのユーザ認識では、IPアドレス ベースのログではなく、ユーザ ベースのログを確認閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。でき、さらに個々のユーザやグループ閉じた ユーザアカウントなど、属性を共有するオブジェクトの集合体。に対するアクセス制御を実施できます。

ワークフロー

  1. ユーザ認識Software Bladeをオンにします。

  2. [設定ウィザード]をクリックして、ブレードを有効化して設定します。

  3. ユーザやユーザグループ情報を取得するための識別方法を選択し、アイデンティティソースを設定します。

  4. 初期設定後、[ポリシー設定]セクションで[Active Directoryクエリ][ブラウザベースの認証]、またはIdentity Collectorのチェックボックスをオンにして、[設定]をクリックしてより詳細な設定を行うことができます。

  5. ゲートウェイでユーザのアイデンティティを取得したら、ユーザベースのルール閉じた ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。はアクセスポリシーのネットワークトラフィックで実施できます。

アイデンティティソース

ユーザ認識では、認識するソースとして以下を使用できます。

  • Active Directoryクエリ - ADサーバに対するシームレスなクエリでユーザ情報を取得。

    セキュリティ ポリシーをインストールする際、Quantum SparkアプライアンスはADドメイン コントローラからセキュリティ イベント ログを受信するための登録を行います。これには、ADサーバの管理者権限が必要です。AD認証情報を使ってユーザが認証を行うと、イベント ログが生成されてセキュリティ ゲートウェイに送られます。Quantum Sparkアプライアンスは、このADセキュリティ イベント ログに基づいてユーザを識別します。

  • ブラウザベースの認証 - ローカル定義のユーザの認証、または別の認識メソッドのバックアップとして、ポータルを使って認証可能。

    • ブラウザベースの認証では、ネットワーク リソースやインターネットにアクセスするユーザの認証にWebインタフェースを使用します。保護されたリソースにアクセスするユーザは、まずWebページにログインする必要があります。これにより、ローカルで定義されたユーザや他の方法で識別できなかったユーザを識別できるようになります。

    • すべてのトラフィックに対してブラウザベースの認証が表示されるように設定できます。この識別方法は、エンドユーザが自身を識別する際の手間を軽減するため、特定のネットワークリソースやインターネットにアクセスするときにのみ表示するよう設定するのが一般的です。

    • HTTPベースでないトラフィックについても、ブラウザベースの認証で認証されていないユーザによる特定のリソースやインターネットへのアクセスをブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。するよう設定できます。

  • Identity Collector - アイデンティティとそれに関連するIPアドレスについての情報を収集し、アイデンティティ確立のためにセキュリティゲートウェイ閉じた トラフィックを検査し、接続されたネットワークリソースに対してセキュリティポリシーを適用するために、Check Pointソフトウェアを実行するCheck Point専用サーバ。に送信します。

    - R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

ユーザ認識の有効化

  1. オンまたはオフを選択する。

    - ブレードがクラウド サービスで管理されていると、ロック アイコンが表示されます。オン/オフの切り替えはできません。ポリシー設定を変更した場合、その変更は一時的なものになります。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。

  2. [設定ウィザード]リンクをクリックします。

    [ユーザ認識ウィザード]が開きます。

  3. ユーザ識別方法を1つ以上選択し、[次へ]をクリックします。

  4. 残りの手順に従い、[完了]をクリックします。

  5. 初期構成後、ポリシー構成のActive Directory クエリまたはブラウザベースの認証チェックボックスを選択し、構成をクリックすると、さらに詳細な設定を構成できます。

Active Directoryクエリ:

既存のActive Directoryサーバがある場合は、既存のActive Directoryサーバを使用するをクリックします。

  1. Active Directoryクエリを選択して設定をクリックします。

    Active Directoryクエリ ウィンドウが開きます。

  2. 新しいActive Directoryサーバの定義を選択します。

  3. 以下を入力します。

  4. 特定のブランチからユーザ グループ閉じた 関連する責任を持つユーザの指定されたグループ。を選択するには、特定のブランチからのユーザ グループのみ使用チェックボックスをオンにします。

    [追加]をクリックし、[ADブランチ]フィールドにブランチのパスを入力します。

  5. [適用]をクリックします。

新しいADドメインを[ユーザ&オブジェクト]>[認証サーバ]ページで追加することもできます。

以下のいずれかの手順に従ってください:

WebUIで:

  1. Quantum Spark ゲートウェイ / 各クラスタ閉じた ハイアベイラビリティを実現するために相互接続された2台のQuantum Sparkアプライアンス。メンバの WebUI に接続します。

  2. Deviceview(デバイスビュー) >Advanced(詳細)セクション>Advanced Settings(詳細設定)ページをクリックします。

  3. 上部の検索フィールドでntlm

  4. ユーザ認識 - Active DirectoryクエリにNTLMv2プロトコルを使用パラメータをダブルクリックします。

  5. Active Directoryクエリに NTLMv2 プロトコルを使用を選択します。

  6. [保存]をクリックします。。

Gaia Clishで

  1. Quantum Spark ゲートウェイ / 各クラスタメンバのコマンドラインに接続します。

  2. デフォルトのシェルがエキスパートモードの場合、Gaia Clish閉じた Gaia CLIのデフォルトのシェルに移動します:

    clish

  3. 次を実行します:

    set user-awareness advanced-settings use-ntlmv2 true

ブラウザベースの認証

  1. ポータルが利用できないときに認証されていないユーザのアクセスをブロックするには、Captive Portalが適用できないときに認証されていないユーザをブロックするを選択します。

    この設定オプションを選択した場合、HTTP以外の通信でアクセスしているユーザは、先にブラウザベースの認証でログインするよう要求されます。

  2. 未確認ユーザをすべてのトラフィックまたは特定の宛先のCaptive Portalにリダイレクトするかどうかを選択します。

    ユーザの識別がシームレスではなくなるため、通常[すべてのトラフィック]は使用しません。

  3. 特定の宛先で、インターネットまたは選択したネットワークオブジェクトを選択します。

    選択したネットワークオブジェクトを選択した場合は、リストからオブジェクトを選択するか、新しいオブジェクトを作成します。

  4. [終了]をクリックします。。

  1. ポリシー設定で、[ブラウザベースの認証]を選択して[設定]をクリックします。

  2. 必要に応じて、[認識]タブでウィザードでの設定内容を編集します。

  3. [カスタム]タブで以下の該当するオプションを設定します。

    • [次の条件に対するユーザの承諾を求める] - ユーザが規約条件に必ず同意するように設定します。テキスト ボックスに、ユーザに表示する条件を入力します。

    • アップロード- 会社のロゴをアップロードできます。ロゴファイルを参照し、適用をクリックします。ロゴは表示ロゴセクションに表示されます。

    • デフォルトを使用- デフォルトのロゴを使用します。

  4. [詳細]タブで以下の設定を行います。

    • ポータルアドレス- Quantum Sparkアプライアンス上でCaptive Portalが実行するアドレスであるデフォルト設定のままにするか、別のポータルアドレスを入力します。

    • セッションタイムアウト - 認証されたユーザがネットワークやインターネットにアクセスできる時間を設定します。

    • 未登録ゲストのログインを有効にする- 未登録のゲストユーザを、IPアドレスだけでなく名前でもログで識別できるようにする。

      未登録ユーザは、パートナーや契約者など、ADで管理していないユーザのことです。ゲストとしてアクセスするには、企業名、メール アドレス、電話番号(任意)、名前を入力する必要があります。

      ゲストセッションのタイムアウトを設定します。ここで設定する時間は、ゲストがネットワークのリソースにアクセスできる時間の長さ(分)です。デフォルトのタイムアウトは300分です。

      ゲストのアクセスはログ記録されます。ゲストの名前は、ログとモニタリングタブのユーザカラムに表示されます。その他の詳細は、完全なログのエントリに表示されます。

      ゲストのアクセスはログ記録されます。ゲストの名前は、ログとモニタリングタブのユーザカラムに表示されます。その他の詳細は、完全なログのエントリに表示されます。

    • [ユーザがポータルウィンドウを閉じたらクイックキャッシュタイムアウトを実施] - ポータルを閉じた場合、ユーザは5~10分以内にログアウトされます。

  5. [適用]をクリックします。

アイデンティティコレクター

- R81.10.Xでは、バージョンR81.10.05からこの機能が利用できます。

Quantum Spark Locally Managedアプライアンスは、R81.10.05以降のバージョンでIdentity Collectorをアイデンティティソースとしてサポートします。

  1. [ポリシー設定]セクションで、Identity Collectorを選択し、[設定]をクリックします。

    [認証済みクライアント]ウィンドウが開きます。

  2. 各クライアントについて、以下の情報を入力します。

    • [IPv4アドレス] - クライアントのIPアドレス

    • [秘密キー] - パスワード

      • オプション - [表示]をクリックすると、秘密キーが表示されます。

  3. [適用]をクリックします。

Identity Collectorの設定の詳細については、以下を参照してください。Identity Awareness Clients Administration Guide

- このページは、アクセスポリシー > ユーザ認識ブレード コントロールおよび[ユーザ & オブジェクト > ユーザ認識から表示できます。