Check Point SmartConsoleを構成する

このタスクでは、Check PointがOkta RADIUSアプリを使用するように構成します。

手順

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバー・オブジェクトを定義する

  1. Check Point SmartConsoleを起動します(Windows OSのみ)。
  2. 左上のメニューから、[新しいオブジェクト] > [新しいホスト]に移動します。

  3. 以下を入力します。
    • 名前:RADIUSサーバーがインストールされているホストの一意の名前。 たとえば、MyHostです。
    • IPv4アドレス:RADIUSサーバーがインストールされているホストの一意のIPアドレス。 たとえば、192.168.1.101です。
    • [OK]をクリックします。

  4. 左上のメニューから、[新しいオブジェクト] > [オブジェクトの種類をさらに表示] > [サーバー] > [新しいRADIUSを増やす]に移動し、以下を入力します。
    • 名前:RADIUSサーバーの一意の名前。 たとえば、MyRADIUSです。
    • ホスト:上で定義したホストを選択します。
    • サービスNEW-RADIUSに変更して、以前にRADIUSアプリで設定したUDPポート1812と一致させます。
    • 共有シークレット:先ほどOkta RADIUSアプリで定義したRADIUSシークレットを入力します。
    • バージョンRADIUS Ver 2.0を選択します。
    • プロトコルPAPを選択します。
    • 優先度1がデフォルトです。複数のRADIUSサーバーを使用する場合は、必要に応じて変更します。
    • [OK]をクリックします。

  5. 左上のメニューから、[グローバルな優先度] > [詳細設定] > [SecuRemote/SecuClient]に移動し、[add_radius_groups]をオンにして[OK]をクリックします。

  6. RADIUSユーザー・グループを定義します。

    注:RADIUSユーザー・グループを参加者ユーザー・グループとして使用する必要がない場合は、そのグループを定義する必要はありません。

    • 左上のメニューから、[新しいオブジェクト] > [オブジェクトの種類をさらに表示] > [ユーザー] > [新しいユーザー・グループ]に移動します。

    • 次の形式でグループの名前を入力します。RAD_<RADIUS userが属するグループ>。注: 以前のバージョンでは、形式が異なる場合があります。詳しくは、管理者ガイドを参照してください。

    • グループが空であることを確認します。[OK]をクリックし、続いて[閉じる]をクリックします。

RADIUS認証を使用するようにポリシーを構成する

この手順では、次の2つのユース・ケースについて説明します。

リモート・アクセスVPNクライアントの例

  1. SmartConsoleでゲートウェイ・オブジェクトを編集し、[IPSec VPN]を選択します。

  2. ゲートウェイ・オブジェクトの編集中に、IPSec VPNブランチの[リンクの選択]を選択します。必要に応じて、外部ゲートウェイ・アドレスを使用するようにゲートウェイ・アドレスも変更します。

  3. [VPNクライアント] > [オフィス・モード]ブランチを選択し、デフォルトの[CP_default_Office_Mode_addresses_pool]オブジェクトを使用して、[オフィス・モードを許可]を有効にします

  4. [VPNクライアント] > [認証] > [設定]に移動し、[単一認証クライアントの設定]ダイアログで[認証方法]として[RADIUS]を選択し、[サーバー]には前に作成したRADIUSサーバーを選択します。完了したら[OK]をクリックします。

  5. [セキュリティー・ポリシー]に移動し、[アクセス制御]を選択します。アクセス・ツールVPNコミュニティーが表示されます。[VPNコミュニティー]をクリックします。RemoteAccessコミュニティーをダブルクリックして開き、[+](プラス)をクリックしてゲートウェイを追加します。

  6. [特定のユーザー・グループ]をクリックし、デフォルトの[すべてのユーザー]を受け入れます。

Check Point Mobile Access SSL VPNポータルへのブラウザー・アクセスを構成する

  1. [アクセス制御ポリシー]を右クリックして、[ポリシーを編集]を選択します。[アクセス制御レイヤー]メニュー・ボックスを選択し、ポリシーで[レイヤーを編集][モバイル・アクセスを有効にする]を選択します。

  2. [アクセス制御]ポリシーで[モバイル・アクセス]を選択します。リンクをクリックして、SmartDashboardの[モバイル・アクセス・ポリシー]を開きます。

  3. 左下の[ユーザー]オブジェクトをクリックします。[外部ユーザーのプロファイル]を右クリックし、[新しい外部ユーザーのプロファイル] > [すべてのユーザーと一致]に移動します。

  4. 以下のような[外部ユーザーのプロファイルのプロパティー]ダイアログが開きます。

  5. [認証]を選択し、[認証スキーム]として[RADIUS]を選択してから、上記で構成したRADIUSサーバー(例:RadiusServer-1)を選択します。完了したら[OK]をクリックします。

  6. [OK]をクリックしてから、[メニュー]ボタンをクリックし、[ファイル->更新]を選択します。SmartDashboardを閉じてSmartConsoleに戻ります。

  7. [ポリシーをインストール]をクリックして変更を公開し、R80ゲートウェイにポリシーをインストールします。