配置本地和远程系统管理员

设备>管理员页面列出了设备管理员。你可执行下列操作：

创建新的本地管理员。
配置会话超时。
限制登录失败的尝试。
生成一个二维码，首次将移动应用程序与设备连接起来。
重新生成密钥。

管理员也可以在远程RADIUS服务器中定义，你可以配置设备，允许他们访问。这些远程定义的管理员的认证是由同一个RADIUS服务器完成的。

备注- 可从设备和用户和对象选项卡访问此页面。

管理员角色：

超级管理员- 所有权限。超级管理员可以创建新的本地定义的管理员并改变其他人的权限。
只读管理员- 有限的权限。只读管理员不能更新设备配置，但可以更改自己的密码，或从 "工具"页面运行流量监控报告。
网络管理员--权限有限。网络管理员可以更新或修改操作系统设置。他们可以选择一个服务或网络对象代表公司拓扑结构不同部分的逻辑对象 - 电脑、IP地址、流量协议等。管理员在安全策略中使用这些对象。，但不能创建或修改它。
移动管理员- 移动管理员被允许在所有接口上进行所有网络操作。他们可以改变自己的密码，生成报告，重新启动，改变事件和移动策略，活动主机操作和配对。他们不能登录或访问 WebUI。
远程访问管理员- 有限的权限。远程访问管理员可以管理VPN远程访问配置。他们可以添加、编辑和删除VPN远程访问用户和服务器。
访问策略管理员- 有限的权限。访问策略管理员可以管理防火墙设置；应用程序和URL过滤安全网关上的Check Point软件刀片允许对特定用户组、电脑或网络可以访问的Web站点进行精细控制。缩写：URLF。设置；以及防火墙访问策略。他们还可以创建、编辑和删除网络对象、服务和自定义应用程序。
自助管理- 在Infinity Portal中的Spark管理应用程序中创建此角色。以自助服务管理员身份登录本地网关以访问自助服务门户。

两个有写权限的管理员不能同时登录。如果管理员已经登录，会显示一条信息。你可以选择以 "只读 "权限登录或继续登录。如果你继续登录过程，第一个管理员会话自动结束。

必须配置正确的管理员角色，以执行下面列出的操作。如果没有，就会出现许可错误信息。

本地管理员

要创建一个本地管理员：

点击“新建”。

打开 "添加管理员"页面。

输入管理员的详细信息：

备注- 要启用双重身份验证（从R81.10.10版本开始可用），所有管理员必须配置电子邮件地址和电话号码。单击测试以验证你是否可以在电子邮件地址和电话号码上接收消息。

名称。在管理员名称中允许使用连字符 (-) 。

密码，然后确认密码。

注意 -你不能在密码或共享密钥中使用以下字符：：{ } [ ] ` ~ | ‘ " \ （最大字符数：255）

电子邮件地址。

注意- 在R81.10.X版本中，该功能从R81.10.05版本开始提供。

电话号码 - 包括国家代码，并且不要在电话号码开头包含“+”。例如“44123456789”，其中“44”是国家代码。

注意- 在R81.10.X版本中，该功能从R81.10.05版本开始提供。

管理员角色从下拉菜单中选择。
下次登录时强制更改密码。管理员下次登录时，会出现此消息：“你的密码已过期，请更改。”

密码更改后，复选框将被清除。你可以随时重新选择强制更改密码。

点击保存。

名称和管理员角色被添加到表中。当登录到 WebUI 时，管理员的名字和角色会显示在页面的顶部。

说明- 如果未启用双重身份验证，则填写电子邮件地址和电话号码是可选项。但必须至少标明一个电子邮件地址或电话号码，以便：

通过电子邮件或短信接收安全警报通知 UserCheck规则操作可阻止流量和文件并显示UserCheck消息。用户可以同意允许该活动。。参见通知
重置 WebUI 登录页面上的密码（见下文）。

重置密码：

注意 - 在R81.10.X版本中，该功能从R81.10.08版本起开始可用。

当您登录安全网关专用的Check Point服务器运行Check Point软件来检查流量并为连接的网络资源实施安全策略。后，就可以安全地重置密码。

注意 - 管理员详细信息中必须配置电子邮件地址或电话号码。

在登录页面中，输入用户名，然后单击“忘记我的密码”。
随即会出现“查找您的账户”屏幕。输入您的用户名和电子邮件或电话号码，然后单击“下一步”。

您将会收到一条含有安全码（一次性密码）的消息。
输入安全码并单击下一步。

在相应的字段中创建并输入您的新密码。

注意 - 密码必须至少包含 6 个字符。

在“确认密码”字段中，再次输入该密码。
点击“下一步”
屏幕上将会显示一条消息，确认您的密码已成功更改。
单击“下一步”进入登录页面。

远程管理员

注意 -在R81.10.10版本中，当为管理员访问配置了RADIUS或TACACS时，不支持双重身份验证功能。

要允许在远程RADIUS服务器中定义的管理员访问：

确保管理员在远程RADIUS服务器中被定义。
确保设备上定义了一个RADIUS服务器。如果没有服务器，请点击本页面顶部的RADIUS配置链接。你必须配置RADIUS服务器使用的IP地址和共享密钥。
当你有一个配置好的RADIUS服务器，点击编辑权限。

RADIUS认证窗口打开。
选择“为管理员启用RADIUS认证”。

“使用在RADIUS服务器上定义的角色”为默认选择。

为RADIUS服务器上的每个用户配置角色。见下文的其他信息。

注意- 没有角色定义的用户将得到一个登录错误。

如果你选择对RADIUS用户使用默认角色，请选择Administrators角色：
- 超级管理员
- 只读
- 网络管理
- 移动管理
要定义组，请点击“只使用特定的RADIUS组”，并输入用逗号分隔的RADIUS组。
点击“应用”

要为本地和远程定义的管理员设置会话超时值：

点击安全设置。

此时会出现 "管理员安全设置"窗口。
配置会话超时（不活动的最大时间段，以分钟计）。最大值是999分钟。
要限制登录失败的尝试，请点击限制管理员登录失败尝试的复选框。
输入管理员被锁定前允许的最大连续登录尝试次数。
在锁定周期，输入必须经过的时间（以秒为单位），被锁定的管理员才可以尝试再次登录。

要对管理员强制执行密码复杂性，请点击复选框，并输入密码过期的天数。

注意- 我们强烈建议使用复杂的密码。密码必须至少包含12个字符 - 大写字母、小写字母、数字和非字母数字字符。允许的字母数字字符：! @ # % ^ & * ( ) - _ + : ;

点击“应用”

配对移动设备

要首次将移动应用程序与设备连接起来：

点击移动配对代码。

打开 "连接移动设备"窗口。
从下拉菜单中选择一个管理员。
点击 "生成"。

这将生成一个二维码，以便首次将Check Point WatchTower移动应用程序与设备连接起来。

如需了解移动应用程序的更多信息，请参阅WatchTower App User Guide。

为非本地Quantum Spark设备用户配置RADIUS服务器

非本地用户可在RADIUS服务器上定义，而非在Quantum Spark设备中定义。当非本地用户登录设备时，RADIUS服务器对用户进行认证并分配适用的权限。你必须配置RADIUS服务器以正确地验证和授权非本地用户。

备注：

RADIUS服务器的配置可能会因安装RADIUS服务器的操作系统的类型而改变。
如果（在RADIUS服务器上）定义了密码为空的RADIUS用户，那设备就无法验证该用户。

为非本地设备用户配置Steel-Belted RADIUS服务器

在RADIUS服务器上创建字典文件checkpoint.dct ，在默认的字典目录下（包含radius.dct ）。在checkpoint.dct 文件中添加这些行：

@radius.dct

MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string) r

ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer) r

在RADIUS服务器的vendor.ini 文件中添加这些行（在这个文件中与其他供应商的产品保持字母顺序）：

vendor-product = Quantum Spark Appliance

dictionary = nokiaipso

ignore-ports = no

port-number-usage = per-port-type

help-id = 2000

在dictiona.dcm 文件中添加这一行：

"@checkpoint.dct"

在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性：

CP-Gaia-User-Role = <role>

其中<role>允许的值为：

管理员角色	值
超级管理员	`adminRole`
只读	`monitorrole`
网络管理	`networkingrole`
移动管理	`mobilerole`

为非本地设备用户配置FreeRADIUS服务器

在RADIUS服务器的/etc/freeradius/ ，创建字典文件dictionary.checkpoint 。

在dictionary.checkpoint 文件中添加这些行：

# Check Point dictionary file for FreeRADIUS AAA server

VENDOR CheckPoint 2620

ATTRIBUTE CP-Gaia-User-Role 229 string CheckPoint

ATTRIBUTE CP-Gaia-SuperUser-Access 230 integer CheckPoint

在/etc/freeradius/dictionary文件中添加这一行

"$INCLUDE dictionary.checkpoint"

在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性：

CP-Gaia-User-Role = <role>

其中<role>是在WebUI中定义的管理员角色的名称。

管理员角色	值
超级管理员	`adminRole`
只读	`monitorrole`
网络管理	`networkingrole`
移动管理	`mobilerole`

为非本地设备用户配置OpenRADIUS服务器

在RADIUS服务器的/etc/openradius/subdicts/ 目录中创建字典文件dict.checkpoint ：

# Check Point Gaia vendor specific attributes

# (Formatted for the OpenRADIUS RADIUS server.)

# Add this file to etc/openradius/subdicts/ and add the line

# "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

# right after dict.ascend.

$add vendor 2620 CheckPoint

$set default vendor=CheckPoint

space=RAD-VSA-STD

len_ofs=1 len_size=1 len_adj=0

val_ofs=2 val_size=-2 val_type=String

nodec=0 noenc=0

$add attribute 229 CP-Gaia-User-Role

$add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

在/etc/openradius/dictionaries 文件中，紧接着dict.ascend ，添加这一行：

$include subdicts/dict.checkpoint

在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性：

CP-Gaia-User-Role = <role>

其中<role>是在WebUI中定义的管理员角色的名称。

管理员角色	值
超级管理员	`adminRole`
只读	`monitorrole`
网络管理	`networkingrole`
移动管理	`mobilerole`

要以超级用户身份登录：

拥有超级用户权限的用户可以使用Quantum Spark设备的shell来进行系统级操作，包括对文件系统的操作。

通过SSH或串行控制台连接到Quantum Spark设备平台。
用你的用户名和密码登录到Gaia Clish Gaia CLI的默认shell shell。
运行：expert
输入专家模式的密码。

重要的是：

要将专家模式（Bash）配置为默认外壳，请运行以下命令（不推荐）：

bashUser on
要将Gaia Clish配置为默认外壳，请运行以下命令（推荐）：

bashUser off