Check Point SmartConsoleを構成する

このタスクでは、Check PointがOkta RADIUSアプリを使用するように構成します。

はじめに

• 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバーオブジェクトを定義する

1. Check Point SmartConsoleを起動します（Windows OSのみ）。
2. 左上のメニューから、［New object（新しいオブジェクト）］［New Host（新しいホスト）］に移動します。

   

3. 次を入力します。
   • ［Name（名前）］：RADIUSサーバーがインストールされているホストの一意の名前。たとえば、MyHostです。
   • ［IPv4 address（IPv4アドレス）］：RADIUSサーバーがインストールされているホストの一意のIPアドレス。たとえば、［192.168.1.101］です。
   • ［OK］をクリックします。

   

4. 左上のメニューから［New object（新しいオブジェクト）］［More object types（オブジェクトの種類をさらに表示）］［Server（サーバー）］［More New RADIUS（新しいRADIUSを増やす）］に移動し、次を入力します。
   • ［Name（名前）］：RADIUSサーバーの一意の名前。たとえば、MyRADIUSです。
   • ［Host（ホスト）］：上で定義したホストを選択します。
   • ［Service（サービス）］：NEW-RADIUSに変更して、以前にRADIUSアプリで設定したUDPポート1812と一致させます。
   • ［Shared Secret（共有シークレット）］：以前にOkta RADIUSアプリで定義したRADIUSシークレットを入力します。
   • ［Version（バージョン）］：RADIUS Ver 2.0を選択します。
   • ［Protocol（プロトコル）］：PAPを選択します。
   • ［Priority（優先度）］：［1］がデフォルトです。複数のRADIUSサーバーを使用する場合は、必要に応じて変更します。
   • ［OK］をクリックします。

   

5. 左上のメニューから、［Global Properties（グローバルプロパティ）］［Advances（詳細設定）］［SecuRemote/SecuClient］に移動し、［add_radius_groups］をオンにし、［OK］をクリックします。

   

6. RADIUSユーザーグループを定義します。

   注：RADIUSユーザーグループを参加者ユーザーグループとして使用する必要がない場合は、そのグループを定義する必要はありません。

   • 左上のメニューから、［New object（新しいオブジェクト）］［more object types（オブジェクトの種類をさらに表示）］［user（ユーザー）］［new user group（新しいユーザーグループ）］に移動します。
   • 次の形式でグループの名前を入力します：RAD_<RADIUSユーザーが所属するグループ>。

     注：以前のバージョンでは、形式が異なる場合があります。詳しくは、管理者ガイドを参照してください。

   • グループが空であることを確認します。［OK］をクリックし、続いて［Close（閉じる）］をクリックします。

   

   

RADIUS認証を使用するようにポリシーを構成する

この手順では、次の2つのユースケースについて説明します。

リモートアクセスVPNクライアントの例

1. SmartConsoleでゲートウェイオブジェクトを編集し、［IPSec VPN］を選択します。

   

2. ゲートウェイオブジェクトの編集中に、IPSec VPNブランチの［Link Selection（リンクの選択）］を選択します。必要に応じて、外部ゲートウェイアドレスを使用するようにゲートウェイアドレスも変更します。

   

3. ［VPN Clients（VPNクライアント）］［Office Mode（オフィスモード）］ブランチを選択し、デフォルトの［CP_default_Office_Mode_addresses_pool］オブジェクトを使用して、すべてのユーザーに対して［Allow Office Mode（オフィスモードを許可）］を有効にします

   

4. ［VPN Clients（VPNクライアント）］［Authentication（認証）］［Settings（設定）］に移動し、［Single Authentication Clients Settings（単一認証クライアントの設定）］ダイアログで［Authentication method（認証方法）］として［RADIUS］を選択し、［Server（サーバー）］には前に作成したRADIUSサーバーを選択します。完了したら［OK］をクリックします。

   

5. ［SECURITY POLICIES（セキュリティポリシー）］に移動し、［Access Control（アクセス制御）］を選択します。アクセスツールVPNコミュニティが表示されます。［VPN Communities（VPNコミュニティ）］をクリックします。RemoteAccessコミュニティをダブルクリックして開き、［+（追加）］（プラス）をクリックしてゲートウェイを追加します。

   

6. ［Participant User Groups（特定のユーザーグループ）］をクリックし、デフォルトの［All Users（すべてのユーザー）］を受け入れます。

Check Point Mobile Access SSL VPNポータルへのブラウザーアクセスを構成する

1. ［Access Control Policy（アクセス制御ポリシー）］を右クリックして、［Edit Policy（ポリシーを編集）］を選択します。［Access Control Layer（アクセス制御レイヤー）］メニューボックスを選択し、ポリシーで［Edit Layer（レイヤーを編集）］と［Enable Mobile Access（モバイルアクセスを有効にする）］を選択します。

   

2. ［Access Control（アクセス制御）］ポリシーで［Mobile Access（モバイルアクセス）］を選択します。リンクをクリックして、SmartDashboardの［Mobile Access Policy（モバイルアクセスポリシー）］を開きます。

   

3. 左下の［Users（ユーザー）］オブジェクトをクリックします。［External User Profiles（外部ユーザーのプロファイル）］を右クリックし、［New External User Profile（新しい外部ユーザーのプロファイル）］［Match all users（すべてのユーザーと一致）］に移動します。

   

4. 以下のような［External User Profile Properties（外部ユーザーのプロファイルのプロパティー）］ダイアログが開きます。

   

5. ［Authentication（認証）］を選択し、［Authentication Scheme（認証スキーム）］として［RADIUS］を選択してから、上記で構成したRADIUSサーバー（例：RadiusServer-1）を選択します。完了したら［OK］をクリックします。

   

6. ［OK］をクリックし、［Menu（メニュー）］ボタンをクリックして［File（ファイル）］［Update（アップデート）］を選択します。SmartDashboardを閉じてSmartConsoleに戻ります。

7. ［Install Policy（ポリシーをインストール）］をクリックして変更を公開し、R80ゲートウェイにポリシーをインストールします。