[KB3489] 如何配置我的 Check Point Software SSL VPN 设备以便与 ESET 安全验证一起使用？

简介

本文描述了如何配置 Check Point 软件 SSL VPN 设备，以通过 ESA 服务器验证用户身份。在继续之前，请确认您已经安装了ESET安全认证的RADIUS服务器组件，并且可以访问RADIUS服务，使外部系统能够认证用户。

在你的 Check Point 软件 SSL VPN 设备使用 ESA 服务器通过 RADIUS 验证用户之前，它必须在 ESA 服务器上设置为 RADIUS 客户端。然后，运行ESA RADIUS服务的服务器必须设置为Check Point软件SSL VPN设备上的RADIUS服务器。指定这些配置后，您就可以开始使用ESA OTP登录您的Check Point软件SSL VPN设备了。

步骤 I - RADIUS 客户端配置

要允许Check Point软件SSL VPN设备与ESA服务器通信，必须将Check Point软件SSL VPN设备配置为ESA服务器上的RADIUS客户端：

1. 登录ESA Web控制台。

2. 导航至组件 → RADIUS，找到运行 ESA RADIUS 服务的服务器主机名。

3. 单击主机名，然后单击创建新的 Radius 客户端。

4. 在 "基本设置"部分

   1. 给 RADIUS 客户端起一个好记的名字，以便于参考。

   2. 为客户端配置IP 地址和共享密文，使其与 VPN 设备的配置相对应。IP 地址是设备的内部 IP 地址。如果设备通过 IPv6 通信，则使用该 IP 地址以及相关的范围 ID（接口 ID）。

   3. 共享密文是您将在设备上配置的外部验证器的 RADIUS 共享密文。

5. 在 "身份验证"部分应用下图 1-1 所示的设置

图 1-1

现在，ESA 已配置为与 Check Point Software SSL VPN设备 通信 。现在必须配置 Check Point 软件 SSL VPN设备与 ESA 服务器通信。

步骤II - 配置Check Point软件SSL VPN设备

按照以下步骤操作：

1. 打开Check Point SmartDashboard。
2. 展开 "服务器和OPSEC应用程序 "页面。
3. 右键单击服务器并选择新建→ RADIUS。
4. 为新服务器命名（例如，ESA）。
5. 单击主机字段旁边的新建。
6. 选择左侧的常规属性。
7. 为服务器添加名称（例如，ESAradserv）。
8. 输入 ESA RADIUS 服务器的 IPv4 地址。
9. 单击确定。
10. 从服务下拉菜单中选择新 Radius（用于端口 1812）。
11. 输入共享密文， 如图 1-1 所示。
12. 选择PAP作为协议。
13. 单击确定。

步骤 III - 创建测试用户

1. 导航并展开用户和管理员。
2. 右键单击 "用户"并选择 "新建用户"→"默认"。
3. 在 "用户属性"下的 "常规"选项卡中键入测试用户的 AD 用户名（例如 Alice）。
4. 在 "身份验证"选项卡中
   1. 将身份验证方案设为RADIUS。
   2. 选择在第二部分中创建的服务器。
5. 单击确定。

第四步 - 测试连接

测试新配置的连接：

1. 启动 Check Point Software SecureClient。
2. 输入测试用户的凭证。确保您使用的账户已启用使用ESA的移动应用2FA。当提示输入密码时，将移动应用程序生成的OTP附加到您的AD密码。例如，如果用户的 AD 密码为 Esa123，OTP 为 999111，则应输入 Esa123999111。

故障排除

如果无法通过 ESA RADIUS 服务器进行身份验证，请确保已执行以下步骤：

1. 根据 "验证 ESA RADIUS 功能 "文档，对 RADIUS 服务器进行烟雾测试。
2. 如果没有修复故障且仍无法连接，请恢复到不使用 2FA 的现有登录配置，并验证是否能够连接。
3. 如果使用旧设置可以连接，请恢复新设置，并确认 VPN 设备和 RADIUS 服务器之间没有防火墙阻止 UDP 1812。
4. 如果仍然无法连接，请联系 ESET 技术支持。