Check Point FWの評価ガイド① パスワード認証
目的
Check Point FWの以下の認証をSingleIDで実施します。
- 管理者の認証(パスワード認証)
- リモートアクセスVPNの認証(パスワード認証)
- 無線LANアクセスの認証(EAP-TTLS-PAP方式のパスワード認証)
- user1は、Check Point FWへスーパー管理者としてログイン可能。user2、user3はログインできない。
- user2は、Check Point FWへVPNでリモートアクセス可能。user1、user3は、アクセスできない。
- user3は、Check Point FWの無線LANアクセスポイントを利用可能。user1、user2は、利用できない。
環境
グループの情報
グループ名 | グループの説明 | メンバー |
システム管理者 | Check Point FWの「スーパー管理者」権限をもつユーザのグループ | user1 |
リモートアクセスユーザ | Check Point FW のリモートアクセスVPNを許可されたユーザのグループ | user2 |
無線アクセスユーザ | Check Point FWの無線LANアクセスポイントへのアクセスを許可されたユーザのグループ | user3 |
RADIUSの情報
設定に必要な情報 | 説明および情報取得の方法など |
RADIUSサーバのホスト名 | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「ホスト名」です。 |
RADIUSサーバのIPアドレス | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「IPアドレス」です。 |
RADIUSサーバのポート番号 | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「RADIUSポート番号」です。デフォルトUDP1812です。 |
RADIUSクライアントのIPアドレス | Check Point FW側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。 |
RADIUSクライアントのシークレット | 任意の文字列を設定します。ここでは、シークレットを「checkpoint」とします。 |
設定方法
SingleIDの設定
グループの作成
SingleIDの管理者ポータルへログインします。
SingleID 管理者ポータル>グループ一覧画面へ移動します。
「グループ追加」をクリックします。

グループ名を入力し、「登録」をクリックします。作成するグループは、環境/グループの情報を参照します。

3つのグループを登録します。

ユーザの作成
SingleID 管理者ポータル>ユーザ一覧画面へ移動します。
「登録」をクリックします。

ユーザ登録画面の「基本情報」を入力します。 作成するユーザは、環境/グループの情報を参照します。 「グループ」タブをクリックします。
user2およびuser3の「メールアドレス」は、実際にメールを受け取れるメールアドレスを入力してください。Check Point FWの評価ガイド②で、クライアント証明書をメールで受け取るために必要となります。

参加するグループを選択し、「登録」をクリックします。参加するグループについては、環境/グループの情報を参照します。

3人分のユーザを登録します。

RADIUSの設定(「簡易設定-CheckPoint」画面から設定した場合)
SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「CheckPoint」タブへ移動します。
「登録」をクリックします。

RADIUSクライアントに関する以下の項目を入力します。
- IPアドレス:環境/RADIUSの情報を参照
- シークレット: 環境/RADIUSの情報を参照
選択するサーバの番号により、RADIUSサーバのポート番号が異なります。
サーバが1の場合には、UDP1812です。
SingleID 管理者ポータル>認証>RADIUS>基本情報タブ画面の「RADIUSポート番号」にサーバの番号と通信ポート番号の対応が記載されています。
「VPNアクセスの認証」タブへ移動します。

許可グループの設定で「リモートアクセスユーザ」グループをダブルクリックし、許可へ移動させます。
「無線アクセスの認証」タブへ移動します。

許可グループの設定で「無線アクセスユーザ」グループをダブルクリックし、許可へ移動させます。
「管理アクセスの認証」タブへ移動します。

許可グループの設定で「システム管理者」グループをダブルクリックし、許可へ移動させます。「スーパー管理者」の権限を選択します。
「登録」をクリックします。

Check Point FWの設定
ローカル管理者でログイン
https://<Check PointのIP>:4434/ へアクセスします。
ローカル管理者ののユーザ名、パスワードを入力し、「ログイン」をクリックします。

RADIUSサーバの設定
Check Point FW GUI>デバイス>管理者画面へ移動します。
「RADIUSの設定」をクリックし、RADIUSサーバの設定を行います。環境/RADIUSの情報を参照しながら、入力し、「適用」をクリックします。

管理者の認証の設定
Check Point FW GUI>デバイス>管理者画面へ移動します。
「権限の編集」をクリックし、「管理者のRADIUS認証を有効にする」にチェックします。「RADIUSサーバで定義されたロールを使用」を選択し、「適用」をクリックします。

リモートアクセスユーザの認証の設定
Check Point FW GUI>VPN>認証サーバへ移動します。 「RADIUS ユーザの権限」をクリックします。
「RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にする」へチェックし、「適用」をクリックします。

無線LANアクセスユーザの認証の設定
Check Point FW GUI>デバイス>ワイヤレスへ移動します。
「設定の編集」をクリックします。
ワイヤレスセキュリティにおいて、「保護されているネットワーク(推奨)」を選択し、次のように設定し、「適用」をクリックします。
- セキュリティタイプ:WPA2(最も安全)
- 暗号化タイプ:CCMP-AES(最も安全)
- 認証方式:RADIUSサーバ(エンタープライズモード)

動作確認方法
管理者の認証(パスワード認証)
https://<Check PointのIP>:4344/ へアクセスします。
SingleIDのユーザ(user1)でログインを試み、ログインが成功することを確認します。

リモートアクセスVPNの認証(パスワード認証)
リモートアクセスクライアントのインストール
Check Point FWのリモートアクセスクライアントである、 Check Point Remote Access VPN Clients をインストールしていない場合には、以下よりダウンロードしてインストールします。
接続先の設定
Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、「Next」をクリックします。

「Server address or Name」に、Check Point FWのWANのIPアドレスを入力し、「Next」をクリックします。

「VPN Client (Default)」が選択されていることを確認し、「Next」をクリックします。

「Username and Password」を選択し、「Next」をクリックします。

「Site created successfully」が表示されたら、サイトが無事作成されました。「Finish」をクリックします。

VPN接続
「Connect」をクリックします。

「Site」に、作成した接続先を選択します。
SingleIDのユーザ(user2)でログインを試み、ログインが成功することを確認します。

「Details」をクリックすると、詳細が表示され、user2で、RADIUS認証が行われて、接続が成功したことが確認できます。

無線LANアクセスの認証(EAP-TTLS-PAP方式のパスワード認証)
Windows 10 の場合
Point FWの無線LANアクセスポイントへ接続
Check Point FWの無線LANアクセスポイントのSSIDを選択し、「接続」をクリックします。

SingleIDのユーザ(user3)の認証情報を入力し、「OK」をクリックします。

接続先が正しいかどうかの確認を要求されます。「証明書の詳しい内容の表示」でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。
- 発行先:SingleID 管理者ポータル>認証>RADIUSの基本情報画面のホスト名
- 発行元:R3
接続先が正しければ、「接続」をクリックします。

接続成功したことを確認します。
