チェックポイントSmartConsoleの構成

このタスクでは、Okta RADIUSアプリを使用するようにチェックポイントを設定します。

開始する前に

  • 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。

RADIUS Serverオブジェクトの定義

  1. チェックポイントSmartConsoleを起動します(Windows OSのみ)。
  2. 左上のメニューから[New object (新しいオブジェクト)]>[New Host (新しいホスト)]に移動します。

  3. 以下を入力します。
    • Name (名前): RADIUSサーバーがインストールされているホストの一意の名前。例:MyHostなど。
    • IPv4 address (IPv4アドレス): RADIUSサーバーがインストールされているホストの一意のIP アドレス。例:192.168.1.101など。
    • [OK]をクリックします。
  4. 左上のメニューから[New object (新しいオブジェクト)]>[More object types (その他のオブジェクトタイプ)]>[Server(サーバー)]>[More New RADIUS (その他の新しいRADIUS)]に移動し、以下の情報を入力します。
    • Name (名前):RADIUS サーバーの一意の名前。例:MyRADIUSなど。
    • Host (ホスト):上記で定義したホストを選択します。
    • Service (サービス):先ほどRADIUSアプリで設定したUDPポート1812に合わせて、NEW-RADIUSに変更します。
    • Shared Secret (共有シークレット):先ほどOkta RADIUSアプリで定義したRADIUSシークレットを入力します。
    • Version (バージョン)RADIUS Ver 2.0を選択します。
    • Protocol (プロトコル)PAPを選択します。
    • Priority (優先度)1がデフォルトです。複数のRADIUSサーバーを使用する場合は、必要に応じて変更してください。
    • [OK]をクリックします。

  5. 左上のメニューから、[Global Properties (グローバルプロパティ)]>[Advances (移動)]>[SecuRemote/SecuClient]に移動し、「add_radius_groups」にチェックを入れて、[OK]をクリックします。

  6. RADIUSユーザーグループを定義します。

    注:RADIUSユーザーグループを参加者ユーザーグループとして使用する必要がない場合は、これを定義する必要はありません。

    • 左上のメニューから[New object (新しいオブジェクト)]>[More object types (その他のオブジェクトタイプ)]>[user (ユーザー)]>[new user group (新しいユーザーグループ)]に移動します。
    • グループ名を次の形式で入力してください:RAD_<group これはRADIUSユーザーが所属するグループです>。注: 旧バージョンでは形式が異なる場合があります。詳細は管理者ガイドを参照してください。

    • グループが空であることを確認します。[OK]をクリックし、[Close (閉じる)]をクリックします。

RADIUS認証を使用するようにポリシーを設定する

この手順では、以下の2つのユースケースについて説明します。

リモートアクセスVPNクライアントの例

  1. SmartConsoleで、ゲートウェイオブジェクトを編集し、[IPSec VPN]を選択します。

  2. ゲートウェイオブジェクトの編集中に、IPSec VPNブランチの[Link Selection (リンク選択)]を選択します。また、必要に応じてゲートウェイアドレスを変更して外部ゲートウェイアドレスの使用を可能にします。

  3. [VPN Clients (VPNクライアント)]>[Office Mode (オフィスモード)]ブランチを選択し、デフォルトの「 CP_default_Office_Mode_addresses_pool」オブジェクトを使用して、すべてのユーザーに対して[Allow Office Mode (オフィスモードを許可)」を有効にします。
  4. [VPN Clients (VPNクライアント)]>[Authentication (認証)]>[Settings (設定)]を開き、[Single Authentication Clients Settings (単一認証クライアント設定)]ダイアログで[Authentication method (認証方法)][RADIUS]を選択し、[Server (サーバー)]には先ほど作成したRADIUSサーバーを選択します。完了したら[OK]をクリックします。

  5. [SECURITY POLICIES (セキュリティポリシー)]に移動し、[Access Control (アクセスコントロール)]を選択します。[Access Tools VPN Communities (アクセスツール VPNコミュニティ)]が表示されます。[VPN Communities (VPNコミュニティ)]をクリックします。ダブルクリックして「RemoteAccess」コミュニティを開き、(プラス)をクリックしてゲートウェイを追加します。

  6. [Participant User Groups (参加者ユーザーグループ)]をクリックして、デフォルトの[All Users (全ユーザー)]を選択します。

チェックポイントモバイルアクセスSSL VPN ポータルへのブラウザアクセスを設定する

  1. [Access Control Policy (アクセスコントロールポリシー)]を右クリックし、[Edit Policy (ポリシーの編集)]を選択します。[Access Control Layer (アクセスコントロールレイヤー)]メニューボックスを選択し、[Edit Layer (レイヤーの編集)]を選択して、ポリシーの[Enable Mobile Access (モバイルアクセスを有効化)]を選択します。
  2. [Access Control (アクセスコントロール)]ポリシーで[Mobile Access (モバイルアクセス)]を選択します。リンクをクリックすると、SmartDashboardで[Mobile Access Policy (モバイルアクセスポリシー)]が開きます。

  3. 左下にある[Users (ユーザー)]オブジェクトをクリックします。[External User Profiles (外部ユーザープロファイル)]を右クリックし、[New External User Profile (新しい外部ユーザープロファイル)]>[Match all users (すべてのユーザーを一致)]を選択します。
  4. 以下の[External User Profile Properties (外部ユーザープロファイルのプロパティ)]ダイアログが開きます。
  5. [Authentication (認証)]を選択し、[Authentication Scheme (認証スキーム)]として「RADIUS」を選択し、上記で設定したRADIUSサーバーを選択します。例えば、「RadiusServer-1」などです。完了したら[OK]をクリックします。

  6. [OK]をクリックし、[Menu (メニュー)]ボタンをクリックして[File (ファイル)]->[Update (アップデート)]を選択します。SmartDashboardを閉じて、SmartConsoleに戻ります。

  7. [Install Policy (ポリシーのインストール)]をクリックすると、変更内容が公開され、R80ゲートウェイにポリシーがインストールされます。