[KB3489] Πώς μπορώ να διαμορφώσω τη συσκευή SSL VPN της Check Point Software για χρήση με το ESET Secure Authentication

Εισαγωγή

Αυτό το άρθρο περιγράφει τον τρόπο διαμόρφωσης μιας συσκευής Check Point Software SSL VPN για την αυθεντικοποίηση χρηστών έναντι ενός ESA Server. Πριν προχωρήσετε, βεβαιωθείτε ότι έχετε εγκαταστήσει το συστατικό RADIUS Server του ESET Secure Authentication και ότι μπορείτε να αποκτήσετε πρόσβαση στην υπηρεσία RADIUS που επιτρέπει σε εξωτερικά συστήματα να πιστοποιούν τους χρήστες.

Πριν η συσκευή SSL VPN του Check Point Software μπορεί να χρησιμοποιήσει τον ESA Server για την πιστοποίηση χρηστών μέσω RADIUS, πρέπει να ρυθμιστεί ως πελάτης RADIUS στον ESA Server. Στη συνέχεια, ο διακομιστής σας που εκτελεί την υπηρεσία ESA RADIUS πρέπει να ρυθμιστεί ως διακομιστής RADIUS στη συσκευή Check Point Software SSL VPN. Όταν καθοριστούν αυτές οι ρυθμίσεις, μπορείτε να αρχίσετε να συνδέεστε στη συσκευή Check Point Software SSL VPN χρησιμοποιώντας ESA OTPs.

Βήμα I - Διαμόρφωση του πελάτη RADIUS

Για να επιτρέψετε στη συσκευή Check Point Software SSL VPN να επικοινωνεί με τον ESA Server σας, πρέπει να διαμορφώσετε τη συσκευή Check Point Software SSL VPN ως πελάτη RADIUS στον ESA Server σας:

1. Συνδεθείτε στην ESA Web Console.

2. Πλοηγηθείτε στην ενότητα Components → RADIUS και εντοπίστε το όνομα κεντρικού υπολογιστή του διακομιστή που εκτελεί την υπηρεσία ESA RADIUS.

3. Κάντε κλικ στο όνομα κεντρικού υπολογιστή και, στη συνέχεια, κάντε κλικ στην επιλογή Δημιουργία νέου πελάτη Radius.

4. Στην ενότητα Βασικές ρυθμίσεις:

   1. Δώστε στον πελάτη RADIUS ένα αξιομνημόνευτο όνομα για εύκολη αναφορά.

   2. Διαμορφώστε τη διεύθυνση IP και το κοινόχρηστο μυστικό για τον πελάτη, ώστε να αντιστοιχούν στη διαμόρφωση της συσκευής VPN. Η διεύθυνση IP είναι η εσωτερική διεύθυνση IP της συσκευής σας. Εάν η συσκευή σας επικοινωνεί μέσω IPv6, χρησιμοποιήστε αυτή τη διεύθυνση IP μαζί με το σχετικό αναγνωριστικό εμβέλειας (αναγνωριστικό διασύνδεσης).

   3. Το κοινόχρηστο μυστικό είναι το κοινόχρηστο μυστικό RADIUS για τον εξωτερικό ελεγκτή ταυτότητας που θα διαμορφώσετε στη συσκευή σας.

5. Στην ενότητα Authentication εφαρμόστε τις ρυθμίσεις που φαίνονται στην Εικόνα 1-1 παρακάτω

Εικόνα 1-1

Το ESA έχει πλέον ρυθμιστεί για να επικοινωνεί με τη συσκευή Check Point Software SSL VPN. Τώρα πρέπει να ρυθμίσετε τις παραμέτρους της συσκευής Check Point Software SSL VPN για να επικοινωνεί με τον ESA Server.

Βήμα II - Διαμόρφωση της συσκευής Check Point Software SSL VPN

Ακολουθήστε τα παρακάτω βήματα:

1. Ανοίξτε το Check Point SmartDashboard.
2. Αναπτύξτε τη σελίδα Servers and OPSEC Applications (Εξυπηρετητές και εφαρμογές OPSEC ).
3. Κάντε δεξιό κλικ στην επιλογή Servers και επιλέξτε New → RADIUS.
4. Ονομάστε το νέο διακομιστή σας (για παράδειγμα, ESA).
5. Κάντε κλικ στην επιλογή New δίπλα στο πεδίο Host (κεντρικός υπολογιστής ).
6. Επιλέξτε Γενικές ιδιότητες στα αριστερά.
7. Προσθέστε ένα όνομα για το διακομιστή (για παράδειγμα, ESAradserv).
8. Εισάγετε τη διεύθυνση IPv4 του διακομιστή ESA RADIUS του υπολογιστή σας.
9. Κάντε κλικ στο OK.
10. Επιλέξτε New Radius (για τη θύρα 1812) από το αναπτυσσόμενο μενού Service (Υπηρεσία ).
11. Εισάγετε το κοινόχρηστο μυστικό σας, όπως φαίνεται στην Εικόνα 1-1.
12. Επιλέξτε PAP ως πρωτόκολλο.
13. Κάντε κλικ στο OK.

Βήμα III - Δημιουργία ενός δοκιμαστικού χρήστη

1. Πλοηγηθείτε και επεκτείνετε το Users and Administrators (Χρήστες και διαχειριστές).
2. Κάντε δεξιό κλικ στην επιλογή Users και επιλέξτε New User → Default( Νέος χρήστης → Προεπιλογή).
3. Πληκτρολογήστε το όνομα χρήστη AD του δοκιμαστικού σας χρήστη (για παράδειγμα, Alice) στην καρτέλα general (Γενικά ) στην ενότητα User Properties (Ιδιότητες χρήστη).
4. Στην καρτέλα Έλεγχος ταυτότητας
   1. Ορίστε το σχήμα ελέγχου ταυτότητας σε RADIUS.
   2. Επιλέξτε το διακομιστή που δημιουργήσατε στην ενότητα II.
5. Κάντε κλικ στο κουμπί OK.

Βήμα IV - Δοκιμή της σύνδεσης

Για να δοκιμάσετε τη νέα διαμορφωμένη σύνδεση:

1. Εκκινήστε το Check Point Software SecureClient.
2. Εισάγετε τα διαπιστευτήρια του δοκιμαστικού σας χρήστη. Βεβαιωθείτε ότι χρησιμοποιείτε λογαριασμό με ενεργοποιημένη την εφαρμογή Mobile Application 2FA με χρήση ESA. Όταν σας ζητηθεί κωδικός πρόσβασης, προσαρτήστε τον OTP που παράγεται από την εφαρμογή Mobile Application στον κωδικό πρόσβασης AD. Για παράδειγμα, εάν ο χρήστης έχει κωδικό πρόσβασης AD Esa123 και OTP 999111, θα πρέπει να πληκτρολογήσετε Esa123999111.

Αντιμετώπιση προβλημάτων

Εάν δεν μπορείτε να πραγματοποιήσετε έλεγχο ταυτότητας μέσω του διακομιστή ESA RADIUS, βεβαιωθείτε ότι έχετε εκτελέσει τα ακόλουθα βήματα:

1. Εκτελέστε μια δοκιμή καπνού στον διακομιστή RADIUS, σύμφωνα με το έγγραφο "Επαλήθευση της λειτουργικότητας του ESA RADIUS".
2. Εάν δεν διορθώθηκαν σφάλματα και εξακολουθείτε να μην μπορείτε να συνδεθείτε, επιστρέψτε σε μια υπάρχουσα διαμόρφωση σύνδεσης που δεν χρησιμοποιεί 2FA και επαληθεύστε ότι μπορείτε να συνδεθείτε.
3. Εάν μπορείτε να συνδεθείτε χρησιμοποιώντας τις παλιές ρυθμίσεις, επαναφέρετε τις νέες ρυθμίσεις και επαληθεύστε ότι δεν υπάρχει τείχος προστασίας που να εμποδίζει το UDP 1812 μεταξύ της συσκευής VPN και του διακομιστή RADIUS.
4. Εάν εξακολουθείτε να μην μπορείτε να συνδεθείτε, επικοινωνήστε με την τεχνική υποστήριξη της ESET.