Настройка CheckPoint VPN
Чтобы настроить взаимодействие между серверами RADIUS Proxy и CheckPoint VPN, выполните шаги по инструкции (актуально для версии 81.20 и ниже). Настройка проводится через CheckPoint SmartConsole.
Создание хоста RADIUS Proxy
- Справа в разделе «Objects» выберите пункт «New» → «Host».
- Укажите настройки:
- Название хоста.
- Адрес хоста.
- Нажмите «ОК».
Создание сервера RADIUS Proxy
- Справа в разделе «Objects» выберите пункт «New» → «More» → «Server» → «RADIUS».
- Укажите настройки:
- Название сервера.
- Host: из шага «Создание хоста RADIUS Proxy».
- Service: NEW-RADIUS (при использовании порта 1812).
- Shared secret: из панели управления Kontur.ID.
- Version: RADIUS Ver. 2.0.
- Protocol: PAP.
- Priority: 1.
- Нажмите «ОК».
Настройка конфигурации аутентификации
- Слева в разделе «Gateways & Servers» нажмите 2 раза по шлюзу безопасности CheckPoint.
- В зависимости от установленных блейдов, выполните следующие настройки в разделах «VPN Clients» и/или «Mobile Access» → «Authentication».
- Нажмите «Settings».
- Укажите настройки:
- Authentication method: RADIUS.
- Server: Сервер, созданный для RADIUS Proxy.
- Ask user for password: опционально. При подключении пользователя CheckPoint VPN запросит ввод логина, пароля сразу или двумя отдельными шагами.
- Нажмите «ОК».
- Нажмите «ОК».
Изменение времени ожидания аутентификации
Укажите время ожидания для пользовательской аутентификации, чтобы пользователь мог подтвердить push-уведомление.
- Слева в разделе «Manage & Settings» выберите пункт «Blades» → «General» → «Global Properties».
- Перейдите в раздел «Advanced» → «Configure».
- Перейдите в раздел «FireWall-1» → «Authentication» → «RADIUS».
- Укажите время ожидания пользовательской аутентификации: radius_retrant_timeout. Рекомендуемое время — 60 (секунд).
Создание Access Role
В политике безопасности для правил VPN в качестве Source должна быть указана Access Role, а не Legacy User Access (группа пользователей).
- Справа в разделе «Objects» выберите пункт «New» → «More» → «User/Identity» → «Access Role».
- Укажите настройки:
- Название Access Role.
- Источник данных об учётных записях.
Установка политики на шлюз безопасности
Слева сверху выберите «Install Policy» → «Publish & Install» → «Install».
Устранение неполадок
В логах сопровождается ошибкой:
WrongCredentials. Message: The supplied credential is invalid
- Проверьте правильность ввода пароля.
- Проверьте, что в разделе«Objects» корректно указан SharedSecret.
- Проверьте, что в разделе «Objects» установлен RADIUS версии 2.0. Старая версия протокола RADIUS некорректно считывает пароли с длиной более 16 символов.
В логах сопровождается ошибкой:
[RadiusProxy.Decorators.AuthenticationHandlerLoggerDecorator] user UserName need authentication failure. Code: UserNeedRegistration.
Проверьте, что вводимый логин пользователя равен логину пользователя из панели управления.
Дополнительные возможности
Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.
Работает только для RADIUS-прокси.
В файл «appsettigns.json» добавьте блок «AuthorizationConfiguration»:
"AuthorizationConfiguration": {
"AuthorizationStrategy" : "AllUsers" | "NoOneWithExceptions" | "AllUsersWithExceptions",
"AdGroupExceptions": ["UserGroups1","UserGroups2","UserGroups3"]
}
- AuthorizationStrategy — стратегия авторизации. Возможные значения:
- AllUsers — впускать всех пользователей.
- AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
- NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
- AdGroupExceptions — список групп.
После обновления «appsettings» нужно перезапустить RADIUS-прокси.