コンテンツにスキップ

リモートアクセスVPN-2要素認証(パスワード認証+ワンタイムパスワード認証)

目的

  • SingleIDのユーザで、Check Point Quantum SparkへVPNを使ってリモートアクセスします。
  • 接続する際の認証方式は、2要素認証(パスワード認証+ワンタイムパスワード認証)です。
  • SingleIDの標準RADIUSサーバを利用します。
  • ユーザ/グループによるアクセス制限をします。

考慮事項

RADIUS連携時のCheckPointのVPN接続で、使用できるパスワードの文字数は最大16文字です。そのため、2要素認証(パスワード認証+ワンタイムパスワード認証)をVPN接続で使用する場合には、10文字以上のパスワードが設定されたユーザではログインできません。

Info

  • ワンタイムパスワードで使用するトークンの長さ:6文字
  • パスワードとワンタイムパスワードトーンの区切り文字:1文字

設定方法

SingleIDのグループの作成

  1. SingleID 管理者ポータル>グループ画面へ移動します。
  2. グループ追加をクリックします。グループ追加画面がポップアップします。
  3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
  3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
  4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのRADIUSサイトの登録

  1. SingleID 管理者ポータル>認証>RADIUS>簡易設定画面へ移動します。
  2. カタログ表示ボタンをクリックします。
  3. カタログからCheck Point Quantum Spark登録ボタンをクリックします。Check Point Quantum Spark画面がポップアップします。

  4. 基本情報タブに、以下を設定します。

    設定項目 設定内容
    有効/無効 有効
    サーバ 標準
    サーバ番号 適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル>認証>RADIUS>基本情報画面の標準RADIUSサーバ>RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
    IP or ホスト名 Check Point Quantum Spark側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
    シークレット 任意の文字列を設定します。

  5. VPNアクセスの認証タブへ移動します。

  6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

    Info

    • 2要素認証(OTP)のみ許可有効にすると、2要素認証(OTP)以外の認証方式のアクセスを拒否します。

  7. 登録ボタンをクリックします。

Check Point Quantum SparkのRADIUSサーバの設定

  1. Check Point Quantum Spark GUI>デバイス>管理者画面へ移動します。
  2. RADIUSの設定をクリックします。RADIUSサーバの設定画面がポップアップします。

  3. 以下を設定します。

    設定項目 設定内容
    IPv4アドレス SingleID 管理者ポータル>認証>RADIUS>基本情報画面の標準RADIUSサーバ>IPアドレスプライマリです。
    ポート SingleIDのRADIUSサイトの登録の手順4のサーバ番号に対応したポート番号です。
    共有秘密キー SingleIDのRADIUSサイトの登録の手順4のシークレットに設定した文字列です。

  4. 適用ボタンをクリックします。

Check Point Quantum Sparkのリモートアクセスユーザの認証の設定

  1. Check Point Quantum Spark GUI>VPN>認証サーバ画面へ移動します。
  2. RADIUS ユーザの権限をクリックします。RADIUS設定画面がポップアップします。
  3. RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にするし、適用ボタンをクリックします。

動作確認方法

リモートアクセスVPNの認証(パスワード認証+ワンタイムパスワード認証)

ソフトウェアトークンのインストール

ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。

  • FreeOTP
  • Google Authenticator

SingleIDへソフトウェアトークンの登録

Warning

SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。

  1. SingleIDのユーザポータルへログインします。
  2. SingleID ユーザポータル>オーセンティケーター画面へ移動します。

  3. QRコードが表示されていることを確認します。

    Screenshot

  4. スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)

  5. をクリックし、新規アカウントを追加します。

    Screenshot

  6. QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。

    Screenshot

  7. アカウントを追加をクリックし、アカウントを追加します。

    Screenshot

  8. 表示されている数字SingleID ユーザポータル>オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。

    Screenshot

    Info

    ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。

リモートアクセスクライアントのインストール

Check Point Quantum Sparkのリモートアクセスクライアントである、 Check Point Remote Access VPN Clients をインストールしていない場合には、以下よりダウンロードしてインストールします。

ダウンロード

接続先の設定

  1. Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、Nextボタンをクリックします。

    Screenshot

  2. Server address or Nameに、Check Point Quantum SparkのWANのIPアドレスを入力し、Nextボタンをクリックします。

    Screenshot

  3. VPN Client (Default)が選択されていることを確認し、Nextボタンをクリックします。

    Screenshot

  4. Username and Passwordを選択し、Nextボタンをクリックします。

    Screenshot

  5. Site created successfullyが表示されたら、サイトが無事作成されました。Finishボタンをクリックします。

    Screenshot

VPN接続

  1. Connectボタンをクリックします。

    Screenshot

  2. Siteに、作成した接続先を選択します。

  3. ログインを試み、ログインが成功することを確認します。なお、パスワードの形式は、ユーザのパスワードソフトウェアトークンに表示されたワンタイムパスワードを:(コロン)でつなげた文字列を入力します。(例:password:123456)

    Screenshot

  4. Detailsボタンをクリックすると、詳細が表示され、RADIUS認証が行われて、接続が成功したことが確認できます。

    Screenshot