Предоставление пользовательского доступа с помощью групп сервера RADIUS - TS Solution

Предоставление пользовательского доступа с помощью групп сервера RADIUS

Предоставление пользовательского доступа с помощью групп сервера RADIUS

Шлюз безопасности позволяет контролировать доступ пользователей RADIUS, прошедших проверку подлинности, основываясь на назначении администратором пользователей групп RADIUS. Эти группы используются в базе правил безопасности (Security Rule Base) для ограничения или предоставления пользовательского доступа к определенным ресурсам. Пользователи не знают о группах, к которым они принадлежат.

Для использования RADIUS групп необходимо определить атрибут возвращаемого в пользовательский профиль RADIUS-сервера. Этот атрибут возвращается в шлюз безопасности и содержит имя группы (например, RAD_<group to which the RADIUS users belong (RAD_ < группа, к которой принадлежат пользователи RADIUS> ).

Используйте эти RADIUS-атрибуты (относится к RFC 2865):

  • для SecurePlatform — атрибут «Class» (25)
  • для других ОС, включая Gaia, Windows, IPSO- атрибут «Vendor-Specific» (26)

Предоставление доступа посредством групп RADIUS-сервера:

  • В панели SmartDashboard, перейдите к Manage > Server and OPSEC Applications.

Откроется окно Servers and OPSEC Applications.

  • Кликните New > RADIUS.

Откроется окно The RADIUS Server Properties (свойства сервера).

  • Настройка новых свойств сервера:
    • Назовите объект RADIUS Server.
    • Кликните New для создания нового объекта хоста.

Откроется окно Host Node.

  • Введите имя и IP-адрес нового объекта RADIUS хоста, и нажмите кнопку ОК.
  • Выберите ServiceRADIUS (порт 1645) или NEWRADIUS (порт 1812, сервис).

Примечание — значение по умолчанию: RADIUS, при этом в качестве группы стандартов RADIUS рекомендуется использовать NEW- RADIUS, поскольку порт 1645 может вступать в противоречие с сервисом метрики данных, который работает на том же порту.

  • Введите секретный ключ (Shared Secret), настроенный на RADIUS-сервере (<10 символов) .
  • Выберите версию — RADIUS Ver. 1.0 Compatible (совместимую с RFC 2138) или RADIUS Ver. 2.0 Compatible (совместимую с RFC 2865) .
  • Выберите Priority, если используете более одного сервера аутентификации RADIUS.11

 

 

 

 

 

 

 

 

 

 

 

  • Кликните OK.
  • Кликните Close.
  • Добавьте FW-правила. Пустите трафик между серверами шлюзов и Radius на порт UDP 1812 или 1645.
  • Создайте группу Radius при необходимости.

22

 

 

 

 

 

 

 

 

 

 

 

 

  • Создайте общий* внешний профиль пользователя:
  • Перейдите к Manage > Users and Administrators.

Откроется окно Users and Administrators.

  • Перейдите к New > External User Profile > Match all users.

Откроется окно External User Profile Properties.

  • На вкладке Authentication (проверка подлинности) выберите RADIUS в качестве схемы аутентификации.
  • Выберите созданный сервер RADIUS (не узел) или группу из выпадающего списка.

33

 

 

 

 

 

 

 

 

 

  • Кликните OK.
  • Кликните Close.

Определение групп пользователей RADIUS

  • Перейдите к Manage > Users & Administrators.

Откроется окно Users and Administrators.

  • Перейдите к New > User Group.

Откроется окно Group Properties.

  • Введите имя группы в следующем формате : < RAD_ группу, к которой принадлежат пользователи RADIUS> (RAD_<group to which the RADIUS users belong>). Всегда используйте RAD_ перед именем группы. Например, RAD_VPN_access, если атрибут радиус 25 содержит имя группы VPN_access. Убедитесь, что группа пуста.

44

 

 

 

 

 

 

 

 

  • Кликните OK.
  • Кликните Close.
  • При необходимости создайте новую группу. Например, RAD_VPN_access_2.
  • Добавьте созданные группы к сообществу удалённого доступа (Remote Access community).

55

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  • Создайте необходимые правила FW, чтобы наладить доступ от VPN-пользователей, а также доступ для VPN-пользователей, если это необходимо (для правильной работы TFTP-сервера и т.д.). Для этого создания ролей доступа для каждой группы VPN.

888

 

 

 

 

 

 

 

 

  • Задайте правила с различными уровнями доступа и разрешениями к источнику. (Rules — Access Roles as Source).

1122

 

 

 

 

 

 

 

 

 

 

  • В свойствах шлюза (или кластера) для VPN Clients поставьте аутентификацию RADIUS и выберите нужный Radius сервер или группу (аналогичные настройки применимы к пользователям Mobile Access, если для них требуется аутентификация через Radius).

7878

 

 

 

 

 

 

 

 

 

 

 

  • Сохраните изменения.
  • Закройте все окна консоли SmartConsole.
  • На сервере управления безопасностью «Security Management Server», используйте GuiDBedit чтобы изменить значение атрибута add_radius_groups с «false» на «true» (на верный).

8989

 

 

 

 

 

 

989898

 

 

 

 

 

 

 

 

 

 

  • В нижней панели перейдите к add_radius_groups.

909090

 

 

 

 

 

 

 

 

  • Нажмите File->Save All.
  • Закройте окно GuiDBedit.
  • Откройте консоль SmartDashboard.
  • Установите политики.
  • На сервере RADIUS, перейдите в редактировние пользователей RADIUS, чтобы включить атрибут класса RADIUS в список пользователей, который соответствует группе пользователей, чтобы они получали доступ Return.

Пример для Cisco ACS v4.2:

67676868

 

 

 

 

 

 

 

 

 

 

 

  • Если на шлюзе используется Identity Awareness и настроены LDAP сервера, то VPN клиент может не подключиться к шлюзу, увидев ошибку «User does not belong to the remote access community» в логах трекера . Это значит, что пользователь не попал в нужную группу, которая принадлежит community.

979797979797

 

 

 

 

 

 

 

 

 

 

 

Шлюз ищет аккаунты в следующей последовательности – локальная база, LDAP сервера, другие внешние базы, использующие generic* профиль. В этом случае надо воспользоваться решением sk91844, изменить приоритет поиска для конкретного блейда:

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk91844&partition=Advanced&product=IPSec

 

Решение

Для того, чтобы пропустить данные разделы поиска LDAP (LDAP Account Units search) и выбрать общий (generic*) профиль (как пре-R76 поведение, если глобальные параметры User Directory не доступны), конфигурация VPN должна быть отредактирована, что может быть сделано с помощью настроек GuiDBedit Tool.

  1. Закройте все окна SmartConsole (SmartDashboard, SmartView Tracker и т.д.).
  2. Установите соединение между Security Management Server и GuiDBedit Tool.
  3. В левой верхней панели, перейдите к TableNetwork Objectsnetwork_objects.
  4. В верхней правой панели, выберите нужный шлюз безопасности/ объект кластера.
  5. Нажмите CTRL+F (или перейдите к меню поиска SearchFind) — вставьте realms_for_blades – кликните на Find Next
    (Примечание: «realms_for_blades» появляется несколько раз в шлюзе безопасности/ объекте кластера).
  6. В нижней панели, перейдите к realms_for_bladesvpnauthenticationauth_schemes(см. следующий скриншот).

Если нужно сделать аналогичные настройки для Mobile Access, прокрутите чуть ниже, до следующей секции ssl_vpn.

  1. Кликните правой кнопкой мыши на auth_scheme – кликните наEdit – измените на «defined_on_user» — кликните OK.
  2. Кликните правой кнопкой мыши на fetch_type(медленно прокрутите — под «directory«) – кликните на Edit – задайте вместо «all» значение «fetch_options» – кликните на OK.
  3. Кликните правой кнопкой мыши на fetch_options — кликните на Edit – ничего не меняйте — кликните OK.Справа под fetch_options, появятся три новых суб-атрибута:
    • do_generic_fetch
    • do_internal_fetch
    • do_ldap_fetch

Пример:

0707070707

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  1. Кликните правой кнопкой мыши на каждый из суб-атрибутов (sub-attributes) под опциями fetch_optionsEdit – выберите значение desiredtrue» или «false«) — кликните OK. Например, чтобы пропустить раздел аккаунтов LDAP и выбрать основной профиль (generic* profile):
    • установите значение «false» для параметра do_ldap_fetch;
    • установите значение «true» для параметра do_generic_fetch.

Примечание: Установка значения «false» для do_internal_fetch предотвратит поиск внутренних пользователей. Это вызовет для VPN Security Gateway / Mobile Access Gateway постоянное запрашивание RADIUS сервером аутентификации (в общем случае, когда общий профиль установлен для ‘radius’ аутентификации), даже если логин и пароль устройства Check Point были введены. В результате, попытка входа VPN Client / SNX Client может потерпеть неудачу. В таком случае, SmartView Tracker покажет следующее:

Action = Failed Log In

Reason = User is unknown

Authentication = RADIUS

 

  1. Сохраните изменения: перейдите к меню FileSave All.
  2. Закройте панель настроек GuiDBedit Tool.
  3. Установите соединение сервера Security Management Server с консолью
  4. Установите политики на шлюз безопасности / объект кластера.