Check Point SmartConsoleを構成する

このタスクでは、Check PointがOkta RADIUSアプリを使用するように構成します。

手順

開始する前に

共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバーオブジェクトを定義する

  1. Check Point SmartConsoleを起動します(Windows OSのみ)。
  2. 左上のメニューから、新しいオブジェクト(New object) > 新しいホスト(New Host)に移動します。
  3. 以下を入力します。
    • 名前(Name):RADIUSサーバーがインストールされているホストの一意の名前。たとえば、MyHostです。
    • IPv4アドレス(IPv4 address):RADIUSサーバーがインストールされているホストの一意のIPアドレス。たとえば、192.168.1.101です。
    • OKをクリックします。
  4. 左上のメニューから新しいオブジェクト(New object) > オブジェクトの種類をさらに表示(More object types) > サーバー(Server) > 新しいRADIUSを増やす(More New RADIUS)に移動し、次を入力します。
    • 名前(Name):RADIUSサーバーの一意の名前。たとえば、MyRADIUSです。
    • ホスト(Host):上で定義したホストを選択します。
    • サービス(Service)NEW-RADIUSに変更して、以前にRADIUSアプリで設定したUDPポート1812と一致させます。
    • 共有シークレット(Shared Secret):以前にOkta RADIUSアプリで定義したRADIUSシークレットを入力します。
    • バージョン(Version)RADIUS Ver 2.0を選択します。
    • プロトコル(Protocol)PAPを選択します。
    • 優先度(Priority)1がデフォルトです。複数のRADIUSサーバーを使用する場合は、必要に応じて変更します。
    • OKをクリックします。
  5. 左上のメニューから、グローバルプロパティ(Global Properties) > 詳細設定(Advances) > SecuRemote/SecuClientに移動し、add_radius_groupsをオンにし、OKをクリックします。
  6. RADIUSユーザーグループを定義します。

    注:RADIUSユーザーグループを参加者ユーザーグループとして使用する必要がない場合は、そのグループを定義する必要はありません。

    • 左上のメニューから、新しいオブジェクト(New object) > オブジェクトの種類をさらに表示(more object types) > ユーザー(user) > 新しいユーザーグループ(new user group)に移動します。
    • 次の形式でグループの名前を入力します:RAD_<group to which the RADIUS users belong>

      注:以前のバージョンでは、形式が異なる場合があります。詳しくは、管理者ガイドを参照してください。

    • グループが空であることを確認します。OKをクリックし、続いて閉じる(Close)をクリックします。

RADIUS認証を使用するようにポリシーを構成する

この手順では、次の2つのユースケースについて説明します。

リモートアクセスVPNクライアントの例

  1. SmartConsoleでゲートウェイオブジェクトを編集し、IPSec VPNを選択します。

  2. ゲートウェイオブジェクトの編集中に、IPSec VPNブランチのリンクの選択(Link Selection)を選択します。必要に応じて、外部ゲートウェイアドレスを使用するようにゲートウェイアドレスも変更します。

  3. VPNクライアント(VPN Clients) > オフィスモード(Office Mode)ブランチを選択し、デフォルトのCP_default_Office_Mode_addresses_poolオブジェクトを使用して、すべてのユーザーに対してオフィスモードを許可(Allow Office Mode)を有効にします。

  4. VPNクライアント(VPN Clients) > 認証(Authentication) > 設定(Settings)に移動し、単一認証クライアントの設定(Single Authentication Clients Settings)ダイアログで認証方法(Authentication method)としてRADIUSを選択し、サーバー(Server)には前に作成したRADIUSサーバーを選択します。完了したらOKをクリックします。

  5. セキュリティポリシー(SECURITY POLICIES)に移動し、アクセス制御(Access Control)を選択します。アクセスツールVPNコミュニティ(Access Tools VPN Communities)が表示されます。VPNコミュニティ(VPN Communities)をクリックします。RemoteAccessコミュニティをダブルクリックして開き、追加(+)(プラス)をクリックしてゲートウェイを追加します。

  6. 特定のユーザーグループ(Participant User Groups)をクリックし、デフォルトのすべてのユーザー(All Users)を受け入れます。

Check Point Mobile Access SSL VPNポータルへのブラウザーアクセスを構成する

  1. アクセス制御ポリシー(Access Control Policy)を右クリックして、ポリシーを編集(Edit Policy)を選択します。アクセス制御レイヤー(Access Control Layer)メニューボックスを選択し、ポリシーでレイヤーを編集(Edit Layer)モバイルアクセスを有効にする(Enable Mobile Access)を選択します。

  2. アクセス制御(Access Control)(Mobile Access)ポリシーでモバイルアクセス(Mobile Access)(Access Control)を選択します。リンクをクリックして、SmartDashboardのモバイルアクセスポリシー(Mobile Access Policy)を開きます。

  3. 左下のユーザー(Users)オブジェクトをクリックします。外部ユーザーのプロファイル(External User Profiles)を右クリックし、新しい外部ユーザーのプロファイル(New External User Profile) > すべてのユーザーと一致(Match all users)に移動します。
  4. 以下のような外部ユーザーのプロファイルのプロパティ(External User Profile Properties)ダイアログが開きます。

  5. 認証(Authentication)を選択し、認証スキーム(Authentication Scheme)(RADIUS)としてRADIUS(Authentication Scheme)を選択してから、上記で構成したRADIUSサーバー(例:RadiusServer-1)を選択します。完了したらOKをクリックします。

  6. OKをクリックし、メニュー(Menu)ボタンをクリックして、ファイル -(File -) > 更新(Update)を選択します。SmartDashboardを閉じてSmartConsoleに戻ります。

  7. ポリシーをインストール(Install Policy)をクリックして変更を公開し、R80ゲートウェイにポリシーをインストールします。

次の手順

Check Pointの任意設定を構成する