|
В данной статье рассматривается интеграция Индид с Check Point на примере Check Point R81.20 с использованием модуля Indeed NPS RADIUS Extension.
Предварительные требования
Настройка Check Point
При установке Check Point R81.20 Gaia Fresh нужно задать ip адрес по которому будет доступен web интерфейс, а также пароль администратора.
10.20.4.19/24 – внутренний адрес.
10.20.1.200 – внешний адрес.
172.16.10.0/24 - пул для VPN клиентов(CP_default_Office_Mode_address_pool)
В WEB интерфейсе, разделе Status and Actions необходимо установить обновления и hotfix.
В разделе Overview нужно скачать и установить SmartConsole
Запускаем SamrtConsole вводим логин, пароль и адрес Check Point.
Присваиваем зоны доступа интерфейсам. И настраиваем политики для данных зон.
Также изменяем порт для web интерфейса т.к. VPN тоже использует 443, для этого в Check Point Gateway во вкладке Platform Portal нужно задать порт и в политиках добавить правило для доступа по данному порту.
Для работы VPN в Check Point Gateway во вкладке General Properties в поле Network Security необходимо включить IPSec VPN. Для ограничения подключения по группам безопасности в Active Directory(AD) необходимо включить и настроить Identity Awareness.
После включения данных модулей в Check Point Gateway появятся вкладки по настройке данных модулей.
Раскрываем вкладку IPSec VPN и во вкладку Link Selection выбираем внешний адрес к которому будут подключаться vpn клиенты
Раскрываем вкладку VPN Clients и во вкладке Office Mode нужно задать пул адресов для vpn клиентов. И в Optional Parameters задать dns сервер для vpn клиентов.
В меню справа VPN Communities выбираем RemoteAccess. В нем нужно добавить Host самого Check Point и задать подсеть куда будет предоставляется доступ. А также в Participant User Groups можно задать группу из AD которой будет разрешен доступ на подключение по vpn.
Создаем Host Radius сервера, в правом верхнем углу SmartConsole выбираем New-Host
Далее создаем подключение, в правом верхнем углу SmartConsole выбираем New-More-Server-RADIUS
Настраиваем аутентификацию по протоколу Radius, в Check Point Gateway раскрываем VPN Clients переходим во вкладку Authentication в нем убираем галочку “Allow older clients to connect to this gateway” и в “Multiple Authentication Clients Settings” нажимаем Add-New
В появившемся окне прописываем Name(как будет отображаться в предыдущем окне), Display Name(как будет отображаться при подключениях) и в Authentication Methods нажимаем Add
В появившемся окне выбираем RADIUS и созданное ранее подключение. Если установлена галочка Ask user for password, то в vpn клиенте логин и пароль будет запрошен сразу, если убрать, то сперва будет запрошен логин и на следующем этапе пароль.
Для аутентификации по RADIUS для блейда Mobile Access необходимо воспроизвести аналогичные настройки в Check Point Gateway во вкладке Mobile Access - Authentication.
В левом верхнем углу SmartConsole выбираем Global properties, в появившемся окне во вкладке Advanced выбираем Configure. В появившемся окне раскрываем FireWall-1, в нем раскрываем Authentication и выбираем RADIUS. В данной настройке необходимо увеличить radius_retrant_timeout до 60.
В меню слева SmartConsole переходим в раздел SECURITY POLICIES и настраиваем необходимые политики. После в левом верхнем углу SmartConsole нажимаем на Install Policy и в появившемся окне Install, тем самым применяя все настройки и политики.
Настройки на стороне Индид
Заходим в Management Console(MC)
Переходим в раздел "Приложения" > "Создать приложение" > Вводим название приложения > "Создать"
Переходим на вкладку "RADIUS", задаем внутренний адрес Check Point и нажимаем "Сохранить".
Переходим в "Политики" > *нужная политика* > "Приложения" > "Добавить приложение" > Выбираем созданное ранее приложение > "Добавить"
Заходим в приложение, выбираем метод аутентификации "2FA: Windows Password + Software TOTP" и нажимаем "Сохранить" (в данном сценарии должна быть настроена политика Challenge\Response: сообщение пользователю)
Проверим аутентификацию доменного пользователя
В сценарии "2FA: Windows Password + Indeed Key(Push)" после ввода логина пароля в приложении Indeed Key на телефоне придет уведомление, которое необходимо подтвердить.
В сценарии "1FA: Software TOTP"(в данном сценарии у пользователя должна быть настроена персонализация)
Вместо пароля водим одноразовый код из приложения
Настройка аутентификации в Gaia Portal
Для настройки аутентификации в Gaia Portal необходимо перейти в User Management во вкладку Authentication Servers
В RADIUS Servers нажимаем Add и в открывшемся окне заполняем параметры подключения и нажимаем OK. Apply для применения настроек
В User Management вкладки Roles нужно создать роль radius-group-any с необходимыми для Вас параметрами
Т.к. Gaia Portal не поддерживает отображение окна Challenge-Response, то для аутентификации мы можем использовать методы не использующие данное окно(1FA,Indeed Key,One-string authenticator)
Настройка аутентификации в SmartConsole
Для настройки аутентификации в SmartConsole переходим в MANAGE&SETTINGS, раскрываем Permissions&Administrators и переходим во вкладку Administrators. Сверху нажимаем на звездочку и выбираем New Administrators
Имя должно совпадать с подключающимся именем пользователя. Выбираем метод RADIUS и созданное ранее подключени. Также задаем роль пользователю. Нажимаем OK и применяем настройки через Install Policy
Т.к. SmartConsole не поддерживает отображение окна Challenge-Response, то для аутентификации мы можем использовать методы не использующие данное окно(1FA,Indeed Key,One-string authenticator)
Дополнительно
Персонализация - это зашифрованный доменный пароль пользователя, записанный в базу данных AM.
Для этого необходимо авторизоваться под данным пользователем в консоли UC, нажать на провайдер "Windows Password", выбрать "Зарегистрировать" и ввести доменный пароль.
Также можно настроить через модуль Windows Logon, аутентифицироваться под любым провайдером, кроме "Windows Password", после появится ошибка о рассинхронизации и предложение ввести пароль.
| 
(3 голос(а))