管理认证服务器
在用户和对象视图 >用户管理部分 >身份验证服务器页面上,你可以定义和查看不同的身份验证服务器,用户可以在其中定义外部用户数据库和该数据库中用户的身份验证方法。
你可以配置以下这些类型的认证:
-
RADIUS服务器- 定义主要和次要RADIUS服务器的详情。Quantum Spark设备可以连接到这些服务器,并识别其中定义的用户,并通过他们的认证。
注意 -在R81.10.10版本中,当为管理员访问配置了RADIUS或TACACS时,不支持双重身份验证功能。
-
TACACS+服务器- TACACS+是一种访问控制机制,可以通过网络上单独的服务器对用户进行认证和授权。
备注:
-
在R81.10.X版本中,该功能从R81.10.05版本开始提供。
-
VPN视图 >远程访问部分 >身份验证服务器页面未显示TACACS+ 服务器部分。
-
-
Active Directory域- 定义包含你组织用户信息的Active Directory域的详细信息。用户感知
Check Point软件刀片,旨在将用户与IP地址联系起来,用于记录和控制。功能可以使用这些信息,为记录目的和基于用户的策略配置提供用户的无缝识别。这可用于VPN远程访问用户认证。在这种情况下,需要在VPN视图 >远程访问部分 >远程访问用户页面中进行额外的配置。
配置RADIUS服务器
RADIUS服务器可用于:
-
定义一个具有远程访问权限的用户数据库。这样的用户是由RADIUS服务器定义和认证的。
-
定义管理员。请参阅用户和对象>用户管理部分 >管理员页面。
添加RADIUS服务器
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在RADIUS服务器部分,点击“配置”。
-
在“主服务器”选项卡中,输入这些信息:
-
IP地址- RADIUS服务器的IP地址。
-
端口- RADIUS服务器与客户进行通信的端口号。默认为1812。
-
共享秘密- RADIUS服务器和Quantum SparkAppliance之间的秘密(用于消息 "加密 "的预共享信息)。
选择 "显示"以查看共享秘密。
注意 -你不能在密码或共享密钥中使用以下字符::
{ } [ ] ` ~ | ‘ " \(最大字符数:255) -
超时(秒)- 与RADIUS服务器通信的超时值,单位是秒。超时的默认值是3秒。
注意- 如想删除你在“IP地址”和“共享秘密”中输入的信息,请点击“清除”。
-
-
在辅助服务器选项卡上为二级RADIUS服务器重复步骤2(如适用)。
-
点击“应用”
主服务器和辅助服务器(如果定义了)被添加到页面的RADIUS部分。
编辑RADIUS服务器
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
点击你想编辑的RADIUS服务器的IP地址链接。
-
进行必要的修改。
-
点击“应用”
删除RADIUS服务器
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在你想删除的RADIUS服务器旁边,点击删除链接。
配置RADIUS服务器管理员
-
单击用户和对象视图 >用户管理部分 > 管理员页面。
-
在“管理员RADIUS认证”一行,点击“编辑权限”。
-
选择“为管理员启用RADIUS认证”。
-
选择以下其中一项:
-
使用RADIUS服务器上定义的角色
-
对RADIUS用户使用默认角色
-
在默认管理员角色中,选择适用的角色。
-
可选:选择仅为管理员使用特定的RADIUS组。
输入适用的RADIUS组。
-
-
-
点击“应用”
为RADIUS服务器上定义的用户配置远程访问权限
-
单击用户和对象视图 >用户管理部分 >管理员页面。
-
点击“RADIUS用户的远程访问权限被禁用”链接。
-
选择“为用户感知、远程访问和Hotspot启用RADIUS认证”。
-
可选:选择对于远程访问仅使用特定的RADIUS组 。
输入适用的RADIUS组。
-
点击“应用”
-
在VPN视图 >远程访问部分 >远程访问用户页面中配置RADIUS用户的远程访问权限。
配置TACACS+服务器
|
|
备注:
|
添加TACACS+服务器
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在TACACS+服务器部分,点击“配置”。
-
在“主服务器”选项卡中,输入这些信息:
-
IP地址- TACS+服务器的IP地址。
-
端口- TACS+服务器与客户进行通信的端口号。默认为49。
-
共享秘密- TACS+服务器和Quantum Spark设备之间的秘密(用于信息 "加密 "的预共享信息)。
选择 "显示"以查看共享秘密。
注意 -你不能在密码或共享密钥中使用以下字符::
{ } [ ] ` ~ | ‘ " \(最大字符数:255) -
超时(秒)- 与TACS+服务器通信的超时值,单位是秒。超时的默认值是3秒。
注意- 如想删除你在“IP地址”和“共享秘密”中输入的信息,请点击“清除”。
-
-
在辅助服务器选项卡上为二级TACS+服务器重复步骤2(如适用)。
-
点击“应用”
删除TACACS+服务器
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在想删除的TACS+服务器旁边,点击“删除”链接。
配置TACACS+服务器管理员
-
单击用户和对象视图 >用户管理部分 >管理员页面。
-
在“管理员TACACS+认证是”一行,点击“编辑权限”。
-
选择“为管理员启用TACACS+认证”。
-
选择以下其中一项:
-
使用TACACS+服务器上定义的角色
-
对TACACS+用户使用默认角色
在默认管理员角色中,选择适用的角色。
-
-
点击“应用”
配置Active Directory服务器
添加Active Directory域
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在活动目录部分,点击新建。
-
输入这些信息:
-
域名- 域名。
你不可用与现有活动目录域对象相同的域来创建另一个对象。
-
IP地址- 你的域的一个域控制器的IP地址。
-
用户名- 该用户必须有管理员权限,以方便配置过程,并使用AD中定义的用户创建基于用户的策略。
-
密码- 用户的密码。
注意 -你不能在密码或共享密钥中使用以下字符::
{ } [ ] ` ~ | ‘ " \(最大字符数:255) -
用户DN- 点击“发现”以自动发现代表该用户的对象的DN,或者手动输入用户的DN。
比如:
CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com
-
-
如果你想只使用活动目录中定义的部分用户数据库,则选择“只使用特定分支中的用户组”。
-
点击“新建”。
-
在文本字段中输入分支机构的完整DN。
-
点击“应用”
-
-
点击“应用”
编辑Active Directory域
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在活动目录部分,选择“活动目录域”。
-
点击“编辑”。
-
进行相应的修改。
你不能改变域名。
-
点击“应用”
删除Active Directory域
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在活动目录部分,选择“活动目录域”。
-
点击“删除”。
-
在确认信息中点击“确定”。
更改与已定义Active Directory的同步模式
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在 "活动目录"部分,点击 "配置"。
-
选择适用的选项:
-
自动同步
-
手动同步
注意- 你可通过此选项在所有可以查看此用户数据库的地方,同步设备已知的用户数据库。
比如:
-
用户和对象视图 >用户管理部分 >用户页面。
-
访问策略> 视图 >防火墙部分 >策略页面 >源选择器。
你不能从活动目录中选择一个用户,只能选择一个活动目录用户组。
你可以选择一个本地用户。
-
-
-
点击“应用”
为Active Directory中定义的所有用户配置远程访问权限
默认情况下,AD中定义的用户没有远程访问权限。相反,在VPN >远程访问部分 >远程访问用户页面中,可以选择本地或Active Directory中定义的所有用户,并为每个用户授予远程访问权限。
-
单击用户和对象视图 >用户管理部分 >身份验证服务器页面。
-
在 "活动目录"部分,点击 "设置活动目录用户的远程访问权限"中的链接。
-
选择活动目录中的所有用户。
使用此选项,无需转到VPN视图 >远程访问部分 >远程访问用户页面并选择特定用户。
请注意,大多数活动目录都包含一个大的用户列表,你可能不想授予他们所有的远程访问权限给你的组织。
通常,保留选定的Active Directory用户组选项,并在VPN视图 >远程访问部分 > >远程访问用户页面上配置远程访问权限。
-
点击“应用”