Настройка CheckPoint VPN
Чтобы настроить взаимодействие между серверами RADIUS Proxy и CheckPoint VPN, выполните шаги по инструкции (актуально для версии 81.20 и ниже). Настройка проводится через CheckPoint SmartConsole.
Создание хоста RADIUS Proxy
- Справа в разделе «Objects» выберите пункт «New» → «Host».
- Укажите настройки:
- Название хоста.
- Адрес хоста.
- Нажмите «ОК».
Создание сервера RADIUS Proxy
- Справа в разделе «Objects» выберите пункт «New» → «More» → «Server» → «RADIUS».
- Укажите настройки:
- Название сервера.
- Host: из шага «Создание хоста RADIUS Proxy».
- Service: NEW-RADIUS (при использовании порта 1812).
- Shared secret: из панели управления Kontur.ID.
- Version: RADIUS Ver. 2.0.
- Protocol: PAP.
- Priority: 1.
- Нажмите «ОК».
Настройка конфигурации аутентификации
- Слева в разделе «Gateways & Servers» нажмите 2 раза по шлюзу безопасности CheckPoint.
- В зависимости от установленных блейдов, выполните следующие настройки в разделах «VPN Clients» и/или «Mobile Access» → «Authentication».
- Нажмите «Settings».
- Укажите настройки:
- Authentication method: RADIUS.
- Server: Сервер, созданный для RADIUS Proxy.
- Ask user for password: опционально. При подключении пользователя CheckPoint VPN запросит ввод логина, пароля сразу или двумя отдельными шагами.
- Нажмите «ОК».
- Нажмите «ОК».
Изменение времени ожидания аутентификации
Укажите время ожидания для пользовательской аутентификации, чтобы пользователь мог подтвердить push-уведомление.
- Слева в разделе «Manage & Settings» выберите пункт «Blades» → «General» → «Global Properties».
- Перейдите в раздел «Advanced» → «Configure».
- Перейдите в раздел «FireWall-1» → «Authentication» → «RADIUS».
- Укажите время ожидания пользовательской аутентификации: radius_retrant_timeout. Рекомендуемое время — 60 (секунд).
Создание Access Role
В политике безопасности для правил VPN в качестве Source должна быть указана Access Role, а не Legacy User Access (группа пользователей).
- Справа в разделе «Objects» выберите пункт «New» → «More» → «User/Identity» → «Access Role».
- Укажите настройки:
- Название Access Role.
- Источник данных об учётных записях.
Установка политики на шлюз безопасности
Слева сверху выберите «Install Policy» → «Publish & Install» → «Install».
Устранение неполадок
Неверный пароль при вводе пароля при однофакторной аутентификации
Установите RADIUS версии 2.0, если пароль введен верно. Старая версия протокола RADIUS некорректно считывает пароли с длиной более 16 символов.