Check Point SmartConsoleを構成する
このタスクでは、Check PointがOkta RADIUSアプリを使用するように構成します。
開始する前に
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
RADIUSサーバー・オブジェクトを定義する
- Check Point SmartConsoleを起動します(Windows OSのみ)。
- 左上のメニューから、[新しいオブジェクト] > [新しいホスト]に移動します。
- 以下を入力します。
- 名前:RADIUSサーバーがインストールされているホストの一意の名前。 たとえば、MyHostです。
- IPv4アドレス:RADIUSサーバーがインストールされているホストの一意のIPアドレス。 たとえば、192.168.1.101です。
- [OK]をクリックします。
- 左上のメニューから、[新しいオブジェクト] > [オブジェクトの種類をさらに表示] > [サーバー] > [新しいRADIUSを増やす]に移動し、以下を入力します。
- 名前:RADIUSサーバーの一意の名前。 たとえば、MyRADIUSです。
- ホスト:上で定義したホストを選択します。
- サービス:NEW-RADIUSに変更して、以前にRADIUSアプリで設定したUDPポート1812と一致させます。
- 共有シークレット:先ほどOkta RADIUSアプリで定義したRADIUSシークレットを入力します。
- バージョン:RADIUS Ver 2.0を選択します。
- プロトコル:PAPを選択します。
- 優先度:1がデフォルトです。複数のRADIUSサーバーを使用する場合は、必要に応じて変更します。
- [OK]をクリックします。
- 左上のメニューから、[グローバルな優先度] > [詳細設定] > [SecuRemote/SecuClient]に移動し、[add_radius_groups]をオンにして[OK]をクリックします。
- RADIUSユーザー・グループを定義します。
注:RADIUSユーザー・グループを参加者ユーザー・グループとして使用する必要がない場合は、そのグループを定義する必要はありません。
- 左上のメニューから、[新しいオブジェクト] > [オブジェクトの種類をさらに表示] > [ユーザー] > [新しいユーザー・グループ]に移動します。
次の形式でグループの名前を入力します。RAD_<RADIUS userが属するグループ>。注: 以前のバージョンでは、形式が異なる場合があります。詳しくは、管理者ガイドを参照してください。
グループが空であることを確認します。[OK]をクリックし、続いて[閉じる]をクリックします。
RADIUS認証を使用するようにポリシーを構成する
この手順では、次の2つのユース・ケースについて説明します。
リモート・アクセスVPNクライアントの例
-
SmartConsoleでゲートウェイ・オブジェクトを編集し、[IPSec VPN]を選択します。
-
ゲートウェイ・オブジェクトの編集中に、IPSec VPNブランチの[リンクの選択]を選択します。必要に応じて、外部ゲートウェイ・アドレスを使用するようにゲートウェイ・アドレスも変更します。
- [VPNクライアント] > [オフィス・モード]ブランチを選択し、デフォルトの[CP_default_Office_Mode_addresses_pool]オブジェクトを使用して、[オフィス・モードを許可]を有効にします
-
[VPNクライアント] > [認証] > [設定]に移動し、[単一認証クライアントの設定]ダイアログで[認証方法]として[RADIUS]を選択し、[サーバー]には前に作成したRADIUSサーバーを選択します。完了したら[OK]をクリックします。
-
[セキュリティー・ポリシー]に移動し、[アクセス制御]を選択します。アクセス・ツールVPNコミュニティーが表示されます。[VPNコミュニティー]をクリックします。RemoteAccessコミュニティーをダブルクリックして開き、[+](プラス)をクリックしてゲートウェイを追加します。
-
[特定のユーザー・グループ]をクリックし、デフォルトの[すべてのユーザー]を受け入れます。
Check Point Mobile Access SSL VPNポータルへのブラウザー・アクセスを構成する
- [アクセス制御ポリシー]を右クリックして、[ポリシーを編集]を選択します。[アクセス制御レイヤー]メニュー・ボックスを選択し、ポリシーで[レイヤーを編集]と[モバイル・アクセスを有効にする]を選択します。
-
[アクセス制御]ポリシーで[モバイル・アクセス]を選択します。リンクをクリックして、SmartDashboardの[モバイル・アクセス・ポリシー]を開きます。
- 左下の[ユーザー]オブジェクトをクリックします。[外部ユーザーのプロファイル]を右クリックし、[新しい外部ユーザーのプロファイル] > [すべてのユーザーと一致]に移動します。
- 以下のような[外部ユーザーのプロファイルのプロパティー]ダイアログが開きます。
-
[認証]を選択し、[認証スキーム]として[RADIUS]を選択してから、上記で構成したRADIUSサーバー(例:RadiusServer-1)を選択します。完了したら[OK]をクリックします。
-
[OK]をクリックしてから、[メニュー]ボタンをクリックし、[ファイル->更新]を選択します。SmartDashboardを閉じてSmartConsoleに戻ります。
- [ポリシーをインストール]をクリックして変更を公開し、R80ゲートウェイにポリシーをインストールします。