Check Point SmartConsoleを構成する

このタスクでは、Check PointがOkta RADIUSアプリを使用するように構成します。

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバーオブジェクトを定義する

  1. Check Point SmartConsoleを起動します(Windows OSのみ)。
  2. 左上のメニューから、[New object(新しいオブジェクト)]>[New Host(新しいホスト)]に移動します。

  3. 以下を入力します。
    • [Name(名前)]:RADIUSサーバーがインストールされているホストの一意の名前。たとえば、MyHostです。
    • [IPv4 address(IPv4アドレス)]:RADIUSサーバーがインストールされているホストの一意のIPアドレス。たとえば、192.168.1.101です。
    • [OK]をクリックします。

  4. 左上のメニューから、[New object(新しいオブジェクト)]>[More object types(オブジェクトの種類をさらに表示)]>[Server(サーバー)]>[More New RADIUS(新しいRADIUSを増やす)]に移動し、以下を入力します。
    • [Name(名前)]:RADIUSサーバーの一意の名前。たとえば、MyRADIUSです。
    • [Host(ホスト)]:上で定義したホストを選択します。
    • [Service(サービス)]NEW-RADIUSに変更して、以前にRADIUSアプリで設定したUDPポート1812と一致させます。
    • [Shared Secret(共有シークレット)]:先ほどOkta RADIUSアプリで定義したRADIUSシークレットを入力します。
    • [Version(バージョン)]RADIUS Ver 2.0を選択します。
    • [Protocol(プロトコル)]PAPを選択します。
    • [Priority(優先度)]1がデフォルトです。複数のRADIUSサーバーを使用する場合は、必要に応じて変更します。
    • [OK]をクリックします。

  5. 左上のメニューから、[Global Properties(グローバルプロパティ)]>[Advances(詳細設定)]>[SecuRemote/SecuClient]に移動し、[add_radius_groups]をオンにし、[OK]をクリックします。

  6. RADIUSユーザーグループを定義します。

    注:RADIUSユーザーグループを参加者ユーザーグループとして使用する必要がない場合は、そのグループを定義する必要はありません。

    • 左上のメニューから、[New object(新しいオブジェクト)]>[more object types(オブジェクトの種類をさらに表示)]>[user(ユーザー)]>[new user group(新しいユーザーグループ)]に移動します。

    • 次の形式でグループの名前を入力します:RAD_<RADIUSユーザーが所属するグループ>。注:以前のバージョンでは、形式が異なる場合があります。詳しくは、管理者ガイドを参照してください。

    • グループが空であることを確認します。[OK]をクリックし、続いて[Close(閉じる)]をクリックします。

RADIUS認証を使用するようにポリシーを構成する

この手順では、次の2つのユースケースについて説明します。

リモートアクセスVPNクライアントの例

  1. SmartConsoleでゲートウェイオブジェクトを編集し、[IPSec VPN]を選択します。

  2. ゲートウェイオブジェクトの編集中に、IPSec VPNブランチの[Link Selection(リンクの選択)]を選択します。必要に応じて、外部ゲートウェイアドレスを使用するようにゲートウェイアドレスも変更します。

  3. [VPN Clients(VPNクライアント)]>[Office Mode(オフィスモード)]ブランチを選択し、デフォルトの[CP_default_Office_Mode_addresses_pool]オブジェクトを使用して、すべてのユーザーに対して[Allow Office Mode(オフィスモードを許可)]を有効にします

  4. [VPN Clients(VPNクライアント)]>[Authentication(認証)]>[Settings(設定)]に移動し、[Single Authentication Clients Settings(単一認証クライアントの設定)]ダイアログで[Authentication method(認証方法)]として[RADIUS]を選択し、[Server(サーバー)]には前に作成したRADIUSサーバーを選択します。完了したら[OK]をクリックします。

  5. [SECURITY POLICIES(セキュリティポリシー)]に移動し、[Access Control(アクセス制御)]を選択します。アクセスツールVPNコミュニティが表示されます。[VPN Communities(VPNコミュニティ)]をクリックします。RemoteAccessコミュニティをダブルクリックして開き、[+](プラス)をクリックしてゲートウェイを追加します。

  6. [Participant User Groups(特定のユーザーグループ)]をクリックし、デフォルトの[All Users(すべてのユーザー)]を受け入れます。

Check Point Mobile Access SSL VPNポータルへのブラウザーアクセスを構成する

  1. [Access Control Policy(アクセス制御ポリシー)]を右クリックして、[Edit Policy(ポリシーを編集)]を選択します。[Access Control Layer(アクセス制御レイヤー)]メニューボックスを選択し、ポリシーで[Edit Layer(レイヤーを編集)][Enable Mobile Access(モバイルアクセスを有効にする)]を選択します。

  2. [Access Control(アクセス制御)]ポリシーで[Mobile Access(モバイルアクセス)]を選択します。リンクをクリックして、SmartDashboardの[Mobile Access Policy(モバイルアクセスポリシー)]を開きます。

  3. 左下の[Users(ユーザー)]オブジェクトをクリックします。[External User Profiles(外部ユーザーのプロファイル)]を右クリックし、[New External User Profile(新しい外部ユーザーのプロファイル)]>[Match all users(すべてのユーザーと一致)]に移動します。

  4. 以下のような[External User Profile Properties(外部ユーザーのプロファイルのプロパティー)]ダイアログが開きます。

  5. [Authentication(認証)]を選択し、[Authentication Scheme(認証スキーム)]として[RADIUS]を選択してから、上記で構成したRADIUSサーバー(例:RadiusServer-1)を選択します。完了したら[OK]をクリックします。

  6. [OK]をクリックし、[Menu(メニュー)]ボタンをクリックし、[File(ファイル)]->[Update(アップデート)]を選択します。SmartDashboardを閉じてSmartConsoleに戻ります。

  7. [Install Policy(ポリシーをインストール)]をクリックして変更を公開し、R80ゲートウェイにポリシーをインストールします。