Настройка Check Point

Шаги, необходимые для настройки двухфакторной аутентификации в Check Point:

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Создание конфигурации ресурса

1. Зайдите в кабинет администратора.
2. Перейдите в «Ресурсы» и выберите Check Point.
3. Добавьте новую конфигурацию.

4. Заполните настройки:

   • Название конфигурации: укажите любое имя, например, Kontur.ID.

   • Платформа: укажите операционную систему, на которой будет развернут серверный компонент RADIUS.

   • Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
   • Shared Secret: скопируйте и сохраните секрет — он понадобится для настройки Check Point.
   • Основной фактор: укажите Active Directory, OTP-код или Radius.
   • Второй фактор: выберите второй фактор — OTP-код или Push/звонок. 
   • Запрос второго фактора: укажите «У всех» или настройте ограничения по группам пользователей.
   • Саморегистрация пользователей: включите или отключите саморегистрацию.

   • Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.

5. Нажмите на кнопку «Сохранить и скачать».

В результате вы получите zip-архив, в котором содержится папка с настройками двухфакторной аутентификации.

Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.

Настройка Check Point

Создание хоста RADIUS-адаптера

1. Откройте графический интерфейс Check Point — Check Point SmartConsole.
2. Справа в разделе «Objects» выберите пункт «New» → «Host».
3. Заполните настройки:
   • Название хоста.
   • Адрес хоста.

     

4. Нажмите «ОК».

Создание сервера RADIUS-адаптера

1. Справа в разделе «Objects» выберите пункт «New» → «More» → «Server» → «RADIUS».

2. Заполните настройки:
   • Название сервера.
   • Host: из шага «Создание хоста RADIUS-адаптера».

   • Service: NEW-RADIUS, если используете порт 1812.

   • Shared Secret: скопируйте Shared Secret из панели управления Контур.ID или из файла appsettings.json.
   • Version: RADIUS Ver. 2.0.

   • Protocol: PAP.

   • Priority: 1.

     

3. Нажмите «ОК».

Настройка конфигурации аутентификации

Настройте шлюз безопасности Check Point.

1. Слева в разделе «Gateways & Servers» нажмите два раза по шлюзу безопасности Check Point.
2. Перейдите в раздел «VPN Clients» → «Authentication».
3. Нажмите «Settings».

   

4. Укажите настройки:
   • Allow newer clients that supports Multiple Login Options to use this authentication method: включите настройку.
   • Authentication method: RADIUS.

   • Server: укажите сервер, на котором работает RADIUS-адаптер.

   • Ask user for password: опционально. При подключении пользователя CheckPoint запросит ввод логина и пароля сразу, если включить настройку.

     

5. Повторите настройку для «Mobile Access» → «Authentication».
6. Нажмите «ОК».

Изменение времени ожидания аутентификации

Укажите время ожидания для пользовательской аутентификации. Настройка используется для подтверждения доступа через push-уведомление.

1. Слева в разделе «Manage & Settings» выберите пункт «Blades» → «General» → «Global Properties».

2. Перейдите в раздел «Advanced» → «Configure».

   

3. Перейдите в раздел «FireWall-1» → «Authentication» → «RADIUS».

4. Укажите время ожидания пользовательской аутентификации для radius_retrant_timeout 60 секунд.

   

Создание Access Role

В политике безопасности для правил VPN в качестве Source укажите Access Role.

1. Справа в разделе «Objects» выберите пункт «New» → «More» → «User/Identity» → «Access Role».

2. Укажите настройки:
   • Название Access Role.
   • Источник данных об учётных записях.

Установка политики на шлюз безопасности

Слева сверху выберите «Install Policy» → «Publish & Install» → «Install».

Настройка двухфакторной аутентификации в Check Point завершена.

Устранение неполадок

WrongCredentials. Message: The supplied credential is invalid

[RadiusProxy.Decorators.AuthenticationHandlerLoggerDecorator] user UserName need authentication failure. Code: UserNeedRegistration.