リモートアクセスVPN-2要素認証(パスワード認証+ワンタイムパスワード認証)
目的
- SingleIDのユーザで、Check Point Quantum SparkへVPNを使ってリモートアクセスします。
- 接続する際の認証方式は、2要素認証(パスワード認証+ワンタイムパスワード認証)です。
- SingleIDの拡張RADIUSサーバを利用します。
- ユーザ/グループによるアクセス制限をします。
考慮事項
RADIUS連携時のCheckPointのVPN接続で、使用できるパスワードの文字数は最大16文字です。そのため、2要素認証(パスワード認証+ワンタイムパスワード認証)をVPN接続で使用する場合には、10文字以上のパスワードが設定されたユーザではログインできません。
Info
- ワンタイムパスワードで使用するトークンの長さ:6文字
- パスワードとワンタイムパスワードトーンの区切り文字:1文字
設定方法
SingleIDのグループの作成
- SingleID 管理者ポータル>グループ画面へ移動します。
- グループ追加をクリックします。グループ追加画面がポップアップします。
- グループ名を入力し、登録ボタンをクリックします。
SingleIDのユーザの作成
- SingleID 管理者ポータル>ユーザ画面へ移動します。
- 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
- ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
- メンバーとなるグループを選択し、登録ボタンをクリックします。
SingleIDの拡張RADIUSサーバの登録
- SingleID 管理者ポータル>認証>RADIUS>基本設定画面へ移動します。
-
拡張RADIUSサーバ>RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。
設定項目 設定内容 使用するプロトコル UDP シークレット 任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。 -
登録ボタンをクリックします。
Check Point Quantum SparkのRADIUSサーバの設定
- Check Point Quantum Spark GUI>デバイス>管理者画面へ移動します。
- RADIUSの設定をクリックします。RADIUSサーバの設定画面がポップアップします。
-
以下を設定します。
設定項目 設定内容 IPv4アドレス SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>IPアドレスのプライマリです。 ポート SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>RADIUSポート番号のポート番号です。 共有秘密キー SingleIDの拡張RADIUSサーバの登録の手順2のシークレットに設定した文字列です。 -
適用ボタンをクリックします。
Check Point Quantum Sparkのリモートアクセスユーザの認証の設定
- Check Point Quantum Spark GUI>VPN>認証サーバ画面へ移動します。
- RADIUS ユーザの権限をクリックします。RADIUS設定画面がポップアップします。
- RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にするをし、適用ボタンをクリックします。
サイト識別する属性の確認方法
Check Point Quantum Sparkが送信するNAS-IP-Address属性およびNAS-Identifier属性の属性値を確認します。
- 動作確認方法に従って、認証を試みます。
- 認証が失敗します。
- SingleID 管理者ポータル>ログ>RADIUS認証ログ画面へ移動します。
- 認証失敗したログのNAS-IPまたはNAS-IDの項目を確認します。NAS-IPが、NAS-IP-Address属性の属性値です。NAS-IDが、NAS-Identifier属性の属性値です。
SingleIDのRADIUSサイトの登録
- SingleID 管理者ポータル>認証>RADIUS>簡易設定画面へ移動します。
- カタログ表示ボタンをクリックします。
- カタログからCheck Point Quantum Sparkの登録ボタンをクリックします。Check Point Quantum Spark画面がポップアップします。
-
基本情報タブに、以下を設定します。
設定項目 設定内容 有効/無効 有効 サーバ 拡張 サーバ番号 SingleIDの拡張RADIUSサーバの登録で登録したサーバ番号を選択します。 サイト識別する属性 サイト識別する属性の確認方法で確認できた属性を選択します。 属性値 サイト識別する属性の確認方法で確認できた属性の属性値を設定します。 -
VPNアクセスの認証タブへ移動します。
-
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。
Info
- 2要素認証(OTP)のみ許可を有効にすると、2要素認証(OTP)以外の認証方式のアクセスを拒否します。
-
登録ボタンをクリックします。
動作確認方法
リモートアクセスVPNの認証(パスワード認証+ワンタイムパスワード認証)
ソフトウェアトークンのインストール
ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。
- FreeOTP
- Google Authenticator
SingleIDへソフトウェアトークンの登録
Warning
SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。
- SingleIDのユーザポータルへログインします。
- SingleID ユーザポータル>オーセンティケーター画面へ移動します。
-
QRコードが表示されていることを確認します。
-
スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)
-
+をクリックし、新規アカウントを追加します。
-
QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。
-
アカウントを追加をクリックし、アカウントを追加します。
-
表示されている数字をSingleID ユーザポータル>オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。
Info
ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。
リモートアクセスクライアントのインストール
Check Point Quantum Sparkのリモートアクセスクライアントである、 Check Point Remote Access VPN Clients をインストールしていない場合には、以下よりダウンロードしてインストールします。
接続先の設定
-
Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、Nextボタンをクリックします。
-
Server address or Nameに、Check Point Quantum SparkのWANのIPアドレスを入力し、Nextボタンをクリックします。
-
VPN Client (Default)が選択されていることを確認し、Nextボタンをクリックします。
-
Username and Passwordを選択し、Nextボタンをクリックします。
-
Site created successfullyが表示されたら、サイトが無事作成されました。Finishボタンをクリックします。