|
以前 FireWall-1 と RADIUS サーバの記事を書きましたが、この後 RADIUS の Class 属性を用いてユーザをグループ化できることを知ったのでまとめておきます。
手順はさほど難しくなく、先の記事の手順に加えて GUIdbEdit というツールを用いて add_radius_groups の値を true にするだけでオッケーです。この方法は以下の通りです。
-
GUIdbEdit.exe は SmartConsole の PROGRAM ディレクトリの中にあり、起動時に SmartCenter サーバを指定できます。
-
左のツリーから "Table" - "Global Properties" - "properties" を選び、右画面で "Object Name" が "firewall_properties" の行を選択すると下に add_radius_groups という "Field Name" の存在を確認できると思います。
この add_radius_groups の "Value" を true にして、"File" - "Save All" して終了します。
もし、add_radius_groups が見つからなかったら "Search" - "Find" メニューより検索しましょう。
-
SmartCenter が稼動しているサーバ上で cpstop/cpstart を実行してサービスを再起動します。
以上で、準備が整いました。
後はポリシーを作成してインストールするだけです。
ポリシーについてですが、"Users and Administrators" - "User Groups" で "RAD_(クラス属性の値)" というグループを作成し、これを用いてポリシーを作成すれば良いです。
グループの中身は空でよいです。
例えば RADIUS サーバに Class が "Users" として登録されているユーザに対しては、グループ名が "RAD_Users" のグループを含むポリシーが適用されます。
RADIUS サーバの登録の仕方は先の記事を参照してください。
"External User Profiles" の "Match all users" の設定も忘れずに行っておきます。
このように作成したポリシーをインストールすれば、ユーザとその所属するグループの管理を RADIUS で行うことができるようになります。
Class 以外の RADIUS attribute を用いるように変更することも可能です。
詳しくは「ファイアウォールと SmartDefense (Firewall and SmartDefence)」の中の「認証 (Authentication)」の章に書いてあります (R60A の場合) 。
R55 の頃のドキュメントには記述はないようですが、昔から出来たようです (例) 。
他の「CheckPoint 関連」に関する記事を見る!
|
