配置本地和远程系统管理员

设备 > 管理员页面列出了设备管理员。你可执行下列操作:

  • 创建新的本地管理员。

  • 配置会话超时。

  • 限制登录失败的尝试。

  • 生成一个二维码,首次将移动应用程序与设备连接起来。

管理员也可以在远程RADIUS服务器中定义,你可以配置设备,允许他们访问。这些远程定义的管理员的认证是由同一个RADIUS服务器完成的。

注意- 这个页面可以从设备下的 用户&对象选项卡中打开。

管理员的角色:

两个有写权限的管理员不能同时登录。如果管理员已经登录,会显示一条信息。你可以选择以 "只读 "权限登录或继续登录。如果你继续登录过程,第一个管理员会话自动结束。

必须配置正确的管理员角色,以执行下面列出的操作。如果没有,就会出现许可错误信息

本地管理员

  1. 点击“新建”.

    打开 "添加管理员"页面。

  2. 输入管理员的详细信息:

    • 名称。在管理员名称中允许使用连字符 (-) 。

    • 密码,然后确认密码

      注意 - 您不能在密码或共享秘密中使用这些字符:{ } [ ] ` ~ | ‘ " \ (最大字符数:255)

    • 电子邮件地址。(可选)

      注意 - 在R81.10.X版本中,该功能从R81.10.05版本起开始提供。

    • 电话号码。(可选)

      注意- 在R81.10.X版本中,该功能从R81.10.05版本开始可用。

  3. 点击“应用

    名称和管理员角色被添加到表中。当登录到 WebUI 时,管理员的名字和角色会显示在页面的顶部。

注意 - 您可以选择是否标明电子邮件地址和电话号码。但必须至少标明一个电子邮件地址电话号码,以便:

  1. 从表中选择管理员并点击“编辑”。

  2. 进行相关的修改。

  3. 点击“应用

  1. 从列表中选择一个管理员。

  2. 点击“删除”.

  3. 在确认信息中点击“”。

注意- 不能删除目前正在登录的管理员。

注意 - 在 R81.10.X 发布版本中,该功能从 R81.10.08 版本起开始可用。

当您登录安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。后,就可以安全地重置密码。

注意 - 管理员详细信息中必须配置电子邮件地址或电话号码。

  1. 登录页面中,输入用户名,然后单击“忘记我的密码”。

  2. 随即会出现“查找您的账户”屏幕。输入您的用户名电子邮件电话号码,然后单击“下一步”。

    您将会收到一条含有安全码(一次性密码)的消息。

  3. 输入安全码,然后单击“下一步”。

  4. 在相应的字段中创建并输入您的新密码。

    注意 - 密码必须至少包含 6 个字符。

  5. 在“确认密码”字段中,再次输入该密码。

  6. 点击“下一步

  7. 屏幕上将会显示一条消息,确认您的密码已成功更改。

  8. 单击“下一步”进入登录页面。

远程管理员

  1. 确保管理员在远程RADIUS服务器中被定义。

  2. 确保设备上定义了一个RADIUS服务器。如果没有服务器,请点击本页面顶部的RADIUS配置链接。你必须配置RADIUS服务器使用的IP地址和共享密钥。

  3. 当你有一个配置好的RADIUS服务器,点击编辑权限

    RADIUS认证窗口打开。

  4. 选择“为管理员启用RADIUS认证”。

    使用在RADIUS服务器上定义的角色”为默认选择。

  5. 为RADIUS服务器上的每个用户配置角色。见下文的其他信息。

    注意- 没有角色定义的用户将得到一个登录错误。

  6. 如果你选择对RADIUS用户使用默认角色,请选择Administrators角色

    • 超级管理员

    • 只读

    • 网络管理

    • 移动管理

  7. 要定义关闭 一个对象的集合,如用户账户,具有共享属性。,请点击“只使用特定的RADIUS组”,并输入用逗号分隔的RADIUS组。

  8. 点击“应用

  1. 点击“安全设置”。

    此时会出现 "管理员安全设置"窗口。

  2. 配置会话超时(不活动的最大时间段,以分钟计)。最大值是999分钟。

  3. 要限制登录失败的尝试,请点击限制管理员登录失败尝试的复选框。

  4. 输入管理员被锁定前允许的最大连续登录尝试次数。

  5. 锁定周期,输入必须经过的时间(以秒为单位),被锁定的管理员才可以尝试再次登录。

  6. 要对管理员强制执行密码复杂性,请点击复选框,并输入密码过期的天数。

    注意- 我们强烈建议使用复杂的密码。密码必须至少包含12个字符 - 大写字母、小写字母、数字和非字母数字字符。允许的字母数字字符: ! @ # % ^ & * ( ) - _ + : ;

  7. 点击“应用

配对移动设备

要首次将移动应用程序与设备连接起来:

  1. 点击移动配对代码

    打开 "连接移动设备"窗口。

  2. 从下拉菜单中选择一个管理员。

  3. 点击 "生成"。

    这将生成一个二维码,以便首次将Check Point WatchTower移动应用程序与设备连接起来。

关于移动应用程序的更多信息,请参见WatchTower App User Guide

为非本地Quantum Spark设备用户配置RADIUS服务器

非本地用户可在RADIUS服务器上定义,而非在Quantum Spark设备中定义。当非本地用户登录设备时,RADIUS服务器对用户进行认证并分配适用的权限。你必须配置RADIUS服务器以正确地验证和授权非本地用户。

注意:

  • RADIUS服务器的配置可能会因安装RADIUS服务器的操作系统的类型而改变。

  • 如果(在RADIUS服务器上)定义了密码为空的RADIUS用户,那设备就无法验证该用户。

  1. 在RADIUS服务器上创建字典文件checkpoint.dct ,在默认的字典目录下(包含radius.dct )。在checkpoint.dct 文件中添加这些行:

    @radius.dct

    MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

    ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string)  r

    ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer)  r

  2. 在RADIUS服务器的vendor.ini 文件中添加这些行(在这个文件中与其他供应商的产品保持字母顺序):

    vendor-product = Quantum Spark Appliance

    dictionary = nokiaipso

    ignore-ports = no

    port-number-usage = per-port-type

    help-id = 2000

  3. dictiona.dcm 文件中添加这一行:

    "@checkpoint.dct"

  4. 在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性:

    CP-Gaia-User-Role = <role>

    其中<role>允许的值为:

    管理员角色

    超级管理员

    adminRole

    只读

    monitorrole

    网络管理

    networkingrole

    移动管理

    mobilerole

  1. 在RADIUS服务器的/etc/freeradius/ ,创建字典文件dictionary.checkpoint

    dictionary.checkpoint 文件中添加这些行:

    # Check Point dictionary file for FreeRADIUS AAA server

    VENDOR CheckPoint 2620

    ATTRIBUTE   CP-Gaia-User-Role          229   string  CheckPoint

    ATTRIBUTE   CP-Gaia-SuperUser-Access   230   integer CheckPoint

  2. /etc/freeradius/dictionary 文件中添加这一行

    "$INCLUDE dictionary.checkpoint"

  3. 在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性:

    CP-Gaia-User-Role = <role>

    其中<role>是在 WebUI 中定义的管理员角色的名称。

    管理员角色

    超级管理员

    adminRole

    只读

    monitorrole

    网络管理

    networkingrole

    移动管理

    mobilerole

  1. 在RADIUS服务器的/etc/openradius/subdicts/ 目录中创建字典文件dict.checkpoint

    # Check Point Gaia vendor specific attributes

    # (Formatted for the OpenRADIUS RADIUS server.)

    # Add this file to etc/openradius/subdicts/ and add the line

    # "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

    # right after dict.ascend.

    $add vendor 2620 CheckPoint

    $set default vendor=CheckPoint

         space=RAD-VSA-STD

         len_ofs=1 len_size=1 len_adj=0

         val_ofs=2 val_size=-2 val_type=String

         nodec=0 noenc=0

    $add attribute 229 CP-Gaia-User-Role

    $add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

  2. /etc/openradius/dictionaries 文件中,紧接着dict.ascend ,添加这一行:

    $include subdicts/dict.checkpoint

  3. 在你的RADIUS服务器用户配置文件中为用户添加这个Check Point供应商特定属性:

    CP-Gaia-User-Role = <role>

    其中<role>是在 WebUI 中定义的管理员角色的名称。

    管理员角色

    超级管理员

    adminRole

    只读

    monitorrole

    网络管理

    networkingrole

    移动管理

    mobilerole

要以超级用户身份登录:

拥有超级用户权限的用户可以使用Quantum Spark设备的shell来进行系统级操作,包括对文件系统的操作。

  1. 通过SSH或串行控制台连接到Quantum Spark设备平台。

  2. 用你的用户名和密码登录到Gaia Clish关闭 Gaia CLI的默认外壳 shell。

  3. 运行: expert

  4. 输入专家模式的密码。

重要提示

  • 要将专家模式(Bash)配置为默认外壳,请运行以下命令(不推荐):

    bashUser on

  • 要将Gaia Clish配置为默认外壳,请运行以下命令(推荐):

    bashUser off