Настройка CheckPoint VPN

Чтобы настроить взаимодействие между серверами RADIUS Proxy и CheckPoint VPN, выполните шаги по инструкции (актуально для версии 81.20 и ниже). Настройка проводится через CheckPoint SmartConsole.

Создание хоста RADIUS Proxy

  1. Справа в разделе «Objects» выберите пункт «New» → «Host».
  2. Укажите настройки:
    • Название хоста.
    • Адрес хоста.
  3. Нажмите «ОК».

Создание сервера RADIUS Proxy

  1. Справа в разделе «Objects» выберите пункт «New» → «More» → «Server» → «RADIUS».
  2. Укажите настройки:
    • Название сервера.
    • Host: из шага «Создание хоста RADIUS Proxy».
    • Service: NEW-RADIUS (при использовании порта 1812).
    • Shared secret: из панели управления Kontur.ID.
    • Version: RADIUS Ver. 2.0.
    • Protocol: PAP.
    • Priority: 1.
  3. Нажмите «ОК».

Настройка конфигурации аутентификации

  1. Слева в разделе «Gateways & Servers» нажмите 2 раза по шлюзу безопасности CheckPoint.
  2. В зависимости от установленных блейдов, выполните следующие настройки в разделах «VPN Clients» и/или «Mobile Access» → «Authentication».
  3. Нажмите «Settings».
  4. Укажите настройки:
    1. Authentication method: RADIUS.
    2. Server: Сервер, созданный для RADIUS Proxy.
    3. Ask user for password: опционально. При подключении пользователя CheckPoint VPN запросит ввод логина, пароля сразу или двумя отдельными шагами.
    4. Нажмите «ОК».
  5. Нажмите «ОК».

Изменение времени ожидания аутентификации

Укажите время ожидания для пользовательской аутентификации, чтобы пользователь мог подтвердить push-уведомление.

  1. Слева в разделе «Manage & Settings» выберите пункт «Blades» → «General» → «Global Properties».
  2. Перейдите в раздел «Advanced» → «Configure».
  3. Перейдите в раздел «FireWall-1» → «Authentication» → «RADIUS».
  4. Укажите время ожидания пользовательской аутентификации: radius_retrant_timeout. Рекомендуемое время — 60 (секунд).

Создание Access Role

В политике безопасности для правил VPN в качестве Source должна быть указана Access Role, а не Legacy User Access (группа пользователей).

  1. Справа в разделе «Objects» выберите пункт «New» → «More» → «User/Identity» → «Access Role».
  2. Укажите настройки:
    • Название Access Role.
    • Источник данных об учётных записях.

Установка политики на шлюз безопасности

Слева сверху выберите «Install Policy» → «Publish & Install» → «Install».

Устранение неполадок

Неверный пароль при вводе пароля при однофакторной аутентификации

В логах сопровождается ошибкой:

WrongCredentials. Message: The supplied credential is invalid
  1.  Проверьте правильность ввода пароля.
  2. Проверьте, что в разделе«Objects» корректно указан SharedSecret.
  3. Проверьте, что в разделе «Objects» установлен RADIUS версии 2.0. Старая версия протокола RADIUS некорректно считывает пароли с длиной более 16 символов.

 Пользователя постоянно просит привязать устройство или не впускает в сеть

В логах сопровождается ошибкой:

[RadiusProxy.Decorators.AuthenticationHandlerLoggerDecorator] user UserName need authentication failure. Code: UserNeedRegistration.

Проверьте, что вводимый логин пользователя равен логину пользователя из панели управления.

Дополнительные возможности

Доступ к ресурсу по группам

Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.

Работает только для RADIUS-прокси.

В файл «appsettigns.json» добавьте блок «AuthorizationConfiguration»:

"AuthorizationConfiguration": {
        "AuthorizationStrategy" : "AllUsers" |  "NoOneWithExceptions" |  "AllUsersWithExceptions",
        "AdGroupExceptions": ["UserGroups1","UserGroups2","UserGroups3"]
    }
  1. AuthorizationStrategy — стратегия авторизации. Возможные значения:
    • AllUsers — впускать всех пользователей.
    • AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
    • NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
  2. AdGroupExceptions — список групп.

После обновления «appsettings» нужно перезапустить RADIUS-прокси.


id

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель