設定本地和遠端系統管理者

裝置>管理員頁面列出裝置管理員。在這裡您可以：

創建新的本地管理者。
設定session超時。
限制登錄失敗嘗試。
產生二維碼以首次將行動應用程式與設備連線。
重新產生密鑰。

還可以在遠端RADIUS伺服器中定義管理者，並且您可以設定設備以允許他們訪問用於封鎖流量和檔案並顯示UserCheck訊息的UserCheck規則動作。使用者可以同意允許活動。。這些遠端定義的管理者的身份驗證由同一 RADIUS 伺服器完成。

注意事項：可從「裝置」和「使用者和物件」標籤存取。

管理員角色：

超級管理者 - 所有許可權。超級使用者可以創建新的本地定義的管理者，並更改其他人的許可權。
唯讀管理者 - 許可權有限。唯讀管理者無法更新設備設定，但可以從「工具」頁面更改自己的密碼或運行流量監控報告。
網路管理者 - 許可權受限。網路管理者可以更新或修改操作系統設定。他們可以選擇服務或網路物件代表企業拓撲不同部分的邏輯物件-電腦、IP位址、流量通訊協定等。系統管理員會在安全性原則中使用這些物件。，但不能創建或修改它。
移動管理者 - 允許移動管理者在所有介面上執行所有網路操作。他們可以更改自己的密碼、產生報告、重新啟動、更改事件和行動政策、活動主機操作和配對。他們無法從 Web UI 登錄或存取 WebUI。
遠端存取管理者 - 許可權受限。遠端存取管理者可以管理 VPN 遠端存取設定。他們可以新增、編輯和刪除 VPN 遠端存取使用者和伺服器。
存取政策管理者 - 許可權受限。存取政策管理者可以管理防火牆設定;應用程式和 URL 過濾設定;和防火牆存取政策。他們還可以創建、編輯和刪除網路物件、服務和自定義應用程式。
自助管理：這角色可在 Infinity 入口網站中的 Spark 管理應用程式中建立。以自助服務管理員身分登入本機閘道器，存取自助服務入口網站。

具有寫入許可權的兩個管理者無法同時登錄。如果管理者已登錄，則會顯示一條訊息。您可以選擇使用唯讀許可權登錄或繼續。如果繼續登錄過程，第一個管理者session將自動結束。

必須設定正確的管理者角色才能執行下面列出的操作。否則，將顯示許可權錯誤訊息。

本地管理員

要建立本地管理者，請執行以下操作：

點擊新增.

此時將打開「新增管理者」頁面。

輸入管理者詳細資訊：

注意事項：若要啟用雙重認證（從 R81.10.10 版本開始提供），所有管理員都須設定電子信箱和電話號碼。按一下「測試」，驗證電子信箱和電話號碼是否可正常收信。

名稱。管理者名稱中允許使用連字元（-）字元。

密碼，然後確認密碼。

注意：密碼或共用金鑰中不可使用以下字元：{ } [ ] ` ~ | ‘ " \ （最大字數：255）

電子郵件位址。

注意 - 在 R81.10.X 的發行中，此功能從 R81.10.05 版本開始可用。

電話號碼：包含國碼，開頭不需加「+」。例如「44123456789」，其中「44」是國碼。

注意 - 在 R81.10.X 的發行中，此功能從 R81.10.05 版本開始可用。

管理員角色從下拉式選單中選擇。
下次登入時強制變更密碼。管理員下次登入時，會出現這則訊息：「您的密碼已逾期，必須更新。」

密碼變更後會取消勾選。可隨時重新選擇強制變更密碼。

按一下「儲存」.

名稱和管理者角色將新增到表中。登錄到 WebUI 時，管理者名稱和角色顯示在頁面頂部。

注意事項：如果未啟用雙重認證，定義電子信箱和電話號碼則為選用。但是，您必須定義一個電子郵件地址或電話號碼：

以電子郵件或簡訊接收安全警報通知。查看通知
在 WebUI 的登入頁面上重設您的密碼（請參閱下文）。

重設密碼：

注意 - 在 R81.10.X 的發行中，此功能從 R81.10.08 版本開始可用。

當您登入安全閘道專用的Check Point伺服器，可執行Check Point軟體，檢查流量並執行連線網路資源的安全性原則。器時，您可以安全地重設密碼。

注意 - 您必須將電子郵件地址或電話號碼配置為管理員詳細資料的一部分。

在登入頁面中，輸入使用者名稱並點擊忘記密碼。
出現「尋找您的帳戶」畫面。輸入您的使用者名稱和電子郵件或電話號碼，然後點選下一步。

您會收到一封帶有安全代碼（一次性密碼）的訊息。
輸入安全碼並按一下「下一步」。

建立新密碼並在對應欄位中輸入新密碼。

注意 - 密碼必須至少包含 6 個字元。

在確認密碼欄位中，再次輸入密碼。
單擊下一步
螢幕上顯示一則訊息，確認您的密碼已成功變更。
點選「下一步」進入登入頁面。

遠程管理員

注意：在 R81.10.10 中， RADIUS 或 TACACS 設定為管理員存取時不支援雙重認證。

要允許遠端 RADIUS 伺服器中定義的管理者存取，請執行以下操作：

確保在遠端RADIUS伺服器中定義了管理者。
確保在設備上定義了RADIUS伺服器。如果沒有伺服器，請按下此頁面頂部的RADIUS設定連結。您必須設定 RADIUS 伺服器使用的 IP 位址和共用金鑰。
配置了RADIUS伺服器後，按兩下編輯許可權。

將打開「 RADIUS 身份驗證」視窗。
選擇為管理員啟用 RADIUS 身份驗證。

預設情況下，使用在RADIUS伺服器上定義的角色處於選取狀態。

為 RADIUS 伺服器上的每個使用者設定角色。請參閱下面的其他詳細資訊。

注意 - 沒有角色定義的使用者將收到登錄錯誤。

如果選擇「對 RADIUS 使用者, 使用預設角色」，請選擇「管理者角色」：
- 超級管理者
- 唯讀
- 網路管理者
- 移動管理者
要定義群組有共用屬性的物件集合，例如使用者帳戶。，請點擊僅使用特定的RADIUS群組，然後輸入以逗號分隔的RADIUS群組。
點擊套用

要為本地和遠端定義的管理者設定工作階段超時值，請執行以下操作：

點擊安全設定。

將打開「管理者安全設定」視窗。
設定session超時（最長非啟用時間段（以分鐘為單位）。最大值為999分鐘。
若要限制登錄失敗嘗試，請按下限制管理者登錄失敗嘗試「複選框」。
輸入管理者被鎖定之前允許的最大連續登錄嘗試次數。
在鎖定期中，輸入鎖定的管理者嘗試再次登錄之前必須經過的時間（以秒為單位）。

要強制管理者使用密碼複雜性，請點擊該複選框並輸入密碼過期的天數。

注意 - 我們強烈建議使用複雜密碼。密碼長度必須至少為 12 個字元 - 大寫、小寫、數位和非字母數位字元。允許的字母數字字元：! @ # % ^ & * ( ) - _ + : ;

點擊套用

配對移動設備

首次將行動應用程式與設備連線：

點擊手機配對代碼。

將打開「連線行動設備」視窗。
從下拉功能表中選擇管理者。
點擊產生。

這將產生一個二維碼，用於首次將Check Point WatchTower手機應用程式與設備連線。

更多行動應用程式相關資訊，請參閱WatchTower App User Guide.

為非本機 Quantum Spark Appliance 使用者設定 RADIUS 伺服器

非本地使用者可以在RADIUS伺服器上定義，而不是在Quantum Spark設備中定義。當非本地使用者登錄到設備時，RADIUS 伺服器會對使用者進行身份驗證並分配適用的許可權。必須將RADIUS伺服器設定為正確驗證和授權非本地使用者。

註解：

RADIUS 伺服器的設定可能會根據安裝 RADIUS 伺服器的作業系統類型而更改。
如果使用空密碼定義 RADIUS 使用者（在 RADIUS 伺服器上），則設備無法對該使用者進行身份驗證。

為非本裝置使用者設定 Steel-Belted RADIUS 伺服器

在 RADIUS 伺服器上的預設詞典目錄（包含 radius.dct）中創建詞典檔 checkpoint.dct 。在檔案中新增 checkpoint.dct 以下行：

@radius.dct

MACRO CheckPoint-VSA(t,s) 26 [vid=2620 type1=%t% len1=+2 data=%s%]

ATTRIBUTE CP-Gaia-User-Role CheckPoint-VSA(229, string) r

ATTRIBUTE CP-Gaia-SuperUser-Access CheckPoint-VSA(230, integer) r

在RADIUS伺服器上的檔案中新增以下行 vendor.ini （按字母順序與此檔案中的其他供應商產品保持）：

vendor-product = Quantum Spark Appliance

dictionary = nokiaipso

ignore-ports = no

port-number-usage = per-port-type

help-id = 2000

在檔案中新增 dictiona.dcm 以下行：

"@checkpoint.dct"

將此Check Point供應商特定屬性新增到 RADIUS 伺服器使用者設定檔中的使用者：

CP-Gaia-User-Role = <role>

其中<role>允許的值為：

管理者角色	數值
超級管理者	`adminRole`
唯讀	`monitorrole`
網路管理者	`networkingrole`
移動管理者	`mobilerole`

為非本裝置使用者設定 FreeRADIUS 伺服器

在 /etc/freeradius/ RADIUS 伺服器上創建字典檔 dictionary.checkpoint 。

在檔案中新增 dictionary.checkpoint 以下行：

# Check Point dictionary file for FreeRADIUS AAA server

VENDOR CheckPoint 2620

ATTRIBUTE CP-Gaia-User-Role 229 string CheckPoint

ATTRIBUTE CP-Gaia-SuperUser-Access 230 integer CheckPoint

在/etc/freeradius/dictionary檔案中加入

"$INCLUDE dictionary.checkpoint"

將此Check Point供應商特定屬性新增到 RADIUS 伺服器使用者設定檔中的使用者：

CP-Gaia-User-Role = <role>

其中<role>是在 WebUI 中定義的管理員角色的名稱。

管理者角色	數值
超級管理者	`adminRole`
唯讀	`monitorrole`
網路管理者	`networkingrole`
移動管理者	`mobilerole`

為非本裝置使用者設定 OpenRADIUS 伺服器

在 /etc/openradius/subdicts/ RADIUS 伺服器上的目錄中建立字典檔 dict.checkpoint ：

# Check Point Gaia vendor specific attributes

# (Formatted for the OpenRADIUS RADIUS server.)

# Add this file to etc/openradius/subdicts/ and add the line

# "$include subdicts/dict.checkpoint" to /etc/openradius/dictionaries

# right after dict.ascend.

$add vendor 2620 CheckPoint

$set default vendor=CheckPoint

space=RAD-VSA-STD

len_ofs=1 len_size=1 len_adj=0

val_ofs=2 val_size=-2 val_type=String

nodec=0 noenc=0

$add attribute 229 CP-Gaia-User-Role

$add attribute 230 CP-Gaia-SuperUser-Access val_type=Integer val_size=4

在緊接在文件後面新增 dict.ascend此行 /etc/openradius/dictionaries ：

$include subdicts/dict.checkpoint

將此Check Point供應商特定屬性新增到 RADIUS 伺服器使用者設定檔中的使用者：

CP-Gaia-User-Role = <role>

其中<role>是在 WebUI 中定義的管理員角色的名稱。

管理者角色	數值
超級管理者	`adminRole`
唯讀	`monitorrole`
網路管理者	`networkingrole`
移動管理者	`mobilerole`

要以超級使用者身份登入：

具有超級使用者許可權的使用者可以使用Quantum Spark 設備 shell 執行系統級操作，包括使用文件系統。

通過 SSH 或序列控制台連線到Quantum Spark 設備平臺。
使用您的使用者名和密碼登錄Gaia clish Shell。
執行：expert
輸入專家模式密碼。

重要：

要將專家模式（Bash）設定為預設 shell，請運行以下指令（不建議）：

bashUser on
要將 Gaia Clish Gaia CLI的預設殼層設定為預設 shell，請運行以下指令（建議）：

bashUser off