[KB3489] Jak skonfigurować urządzenie Check Point Software SSL VPN do użytku z ESET Secure Authentication?

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Rozwiązanie

Wprowadzenie

W tym artykule opisano, jak skonfigurować urządzenie Check Point Software SSL VPN do uwierzytelniania użytkowników na serwerze ESA. Przed kontynuowaniem należy sprawdzić, czy zainstalowano komponent serwera RADIUS programu ESET Secure Authentication i czy można uzyskać dostęp do usługi RADIUS, która umożliwia zewnętrznym systemom uwierzytelnianie użytkowników.

Zanim urządzenie Check Point Software SSL VPN będzie mogło używać serwera ESA do uwierzytelniania użytkowników za pośrednictwem usługi RADIUS, musi zostać skonfigurowane jako klient RADIUS na serwerze ESA. Następnie serwer z uruchomioną usługą ESA RADIUS musi zostać skonfigurowany jako serwer RADIUS na urządzeniu Check Point Software SSL VPN. Po określeniu tych konfiguracji można rozpocząć logowanie do urządzenia Check Point Software SSL VPN przy użyciu OTP ESA.

UWAGA

Ten przewodnik integracji wykorzystuje klienta, który nie weryfikuje nazwy użytkownika i hasła typu klienta dla tego konkretnego urządzenia VPN. Jeśli chcesz użyć innego typu klienta, zapoznaj się z generic description of Client types i sprawdź u dostawcy, czy urządzenie VPN je obsługuje.

Krok I - Konfiguracja klienta RADIUS

Aby umożliwić urządzeniu Check Point Software SSL VPN komunikację z serwerem ESA, należy skonfigurować urządzenie Check Point Software SSL VPN jako klienta RADIUS na serwerze ESA:

  1. Zaloguj się do ESA Web Console.

  2. Przejdź do Komponenty → RADIUS i znajdź nazwę hosta serwera z uruchomioną usługą ESA RADIUS.

  3. Kliknij nazwę hosta, a następnie kliknij przycisk Create New Radius Client.

  4. W sekcji Ustawienia podstawowe:

    1. Nadaj klientowi RADIUS łatwą do zapamiętania nazwę.

    2. Skonfiguruj adres IP i wspólny klucz tajny dla klienta tak, aby odpowiadały konfiguracji urządzenia VPN. Adres IP to wewnętrzny adres IP urządzenia. Jeśli urządzenie komunikuje się za pośrednictwem protokołu IPv6, należy użyć tego adresu IP wraz z powiązanym identyfikatorem zakresu (identyfikatorem interfejsu).

    3. Współdzielony sekret to współdzielony sekret RADIUS dla zewnętrznego uwierzytelniacza, który zostanie skonfigurowany na urządzeniu.

  5. W sekcji Uwierzytelnianie zastosuj ustawienia pokazane na rysunku 1-1 poniżej

Konfigurowanie klienta usługi RADIUS

  • Aby zapobiec zablokowaniu istniejących użytkowników AD nieobsługujących uwierzytelniania dwuskładnikowego w sieci VPN, zalecamy zezwolenie użytkownikom nieobsługującym uwierzytelniania dwuskładnikowego w fazie przejściowej. Zaleca się również ograniczenie dostępu VPN do grupy zabezpieczeń w sekcji Użytkownicy.
  • Upewnij się, że pole wyboru obok aplikacji mobilnej jest zaznaczone.

Rysunek 1-1

ESA została skonfigurowana do komunikacji z urządzeniem Check Point Software SSL VPN. Teraz należy skonfigurować urządzenie Check Point Software SSL VPN do komunikacji z serwerem ESA.

Krok II - Konfiguracja urządzenia Check Point Software SSL VPN

Wykonaj poniższe kroki:

  1. Otwórz Check Point SmartDashboard.
  2. Rozwiń stronę Serwery i aplikacje OPSEC .
  3. Kliknij prawym przyciskiem myszy Servers i wybierz New RADIUS.
  4. Nadaj nazwę nowemu serwerowi (na przykład ESA).
  5. Kliknij przycisk New obok pola Host.
  6. Wybierz Ogólne właściwości po lewej stronie.
  7. Dodaj nazwę serwera (na przykład ESAradserv).
  8. Wprowadź adres IPv4 serwera ESA RADIUS.
  9. Kliknij przycisk OK.
  10. Wybierz New Radius (for port 1812) z rozwijanego menu Service.
  11. Wprowadź współdzielony klucz tajny, jak pokazano na rysunku 1-1.
  12. Wybierz PAP jako protokół.
  13. Kliknij przycisk OK.

Krok III - Utwórz użytkownika testowego

  1. Przejdź do zakładki Użytkownicy i Administratorzy i rozwiń ją.
  2. Kliknij prawym przyciskiem myszy Użytkownicy i wybierz Nowy użytkownikDomyślny.
  3. Wpisz nazwę użytkownika AD użytkownika testowego (na przykład Alice) na karcie ogólnej w obszarze Właściwości użytkownika.
  4. W zakładce Uwierzytelnianie
    1. Ustaw schemat uwierzytelniania na RADIUS.
    2. Wybierz serwer utworzony w sekcji II.
  5. Kliknij przycisk OK.

Krok IV - Przetestuj połączenie

Aby przetestować nowo skonfigurowane połączenie:

  1. Uruchom program Check Point Software SecureClient.
  2. Wprowadź poświadczenia użytkownika testowego. Upewnij się, że używasz konta z włączoną funkcją 2FA aplikacji mobilnej przy użyciu ESA. Po wyświetleniu monitu o hasło dołącz OTP wygenerowane przez aplikację mobilną do hasła AD. Na przykład, jeśli użytkownik ma hasło AD Esa123 i OTP 999111, należy wpisać Esa123999111.

Rozwiązywanie problemów

Jeśli nie możesz uwierzytelnić się za pomocą serwera ESA RADIUS, upewnij się, że wykonałeś następujące kroki:

  1. Przeprowadź test dymu przeciwko swojemu serwerowi RADIUS, zgodnie z dokumentem "Weryfikacja funkcjonalności ESA RADIUS".
  2. Jeśli żadne błędy nie zostały naprawione i nadal nie możesz się połączyć, powróć do istniejącej konfiguracji logowania, która nie używa 2FA i sprawdź, czy możesz się połączyć.
  3. Jeśli możliwe jest połączenie przy użyciu starych ustawień, przywróć nowe ustawienia i sprawdź, czy zapora sieciowa nie blokuje protokołu UDP 1812 między urządzeniem VPN a serwerem RADIUS.
  4. Jeśli nadal nie możesz się połączyć, skontaktuj się z pomocą techniczną ESET.

Ostatnio zaktualizowany: 18 gru 2025

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów
ESET Status Portal ESET Technical Support

Obecny klient?