这是Checkpoint SSL 虚拟专用网系列实验室的第三部分。
第1部分: 启用Checkpoint SSL 虚拟专用网远程访问:分步说明第1部分(本地用户身份验证)
第2部分: 启用Checkpoint SSL 虚拟专用网远程访问:分步说明第2部分(AD身份验证)
第3部分: 启用Checkpoint SSL 虚拟专用网远程访问:分步说明第3部分(证书和两因素身份验证)
第4部分: 启用Checkpoint SSL 虚拟专用网远程访问:逐步第4部分–两因素身份验证 (AD and SMS)

在这一部分中,它将介绍如何使用Checkpoint内部CA颁发的证书以及如何使用证书和AD帐户启用两因素身份验证。

在第2部分中,AD身份验证已经过测试,下一步是为每个远程用户创建证书。

启用证书身份验证步骤:

1.为用户test2创建证书。

2.输入“证书文件”的所有信息后,单击“确定”。

3.创建证书后,它将显示在列表中。也可以撤消。

4.将证书导入客户端计算机

双击客户端计算机上的证书文件。它将启用证书导入向导。输入密码,单击“下一步”,然后单击“下一步”,将完成此导入。

5.在网关属性上,将身份验证方法从用户名和密码更改为个人证书:

6.在将策略安装到网关之后,请使用导入的个人证书从客户端计算机进行测试:

启用两个因素身份验证(证书和AD帐户)步骤

1.证书是第一种方法,AD用户名/密码是第二种方法。 

这是清单 支持的身份验证方案组合:

2. GuiDBedit工具 

它将用于配置多种身份验证方案,以允许管理员请求多个用户身份证明。例如,在我们的示例中,要求用户安装其证书并输入其AD密码进行身份验证。

可以在C:\ Program Files(x86)CheckPointSmartConsoleRXXPROGRAMGuiDBedit.exe中找到GuiDBedit工具。

3.验证第一因素身份验证为证书。

可以在表格中找到-> 网络 Objects ->network_objects.
找到了“网关/群集”对象,在本例中为R77。
在下部窗格中,检查realms_for刀片的值-> ssl_vpn ->authentication-> auth_schemes->Element Index 0 -> auth_scheme.
它是在智能仪表板之前配置的证书。

4.右键点击“ auth_schemes”,-> ‘Add…’

5. 输入索引值:  

第二种身份验证方案请参见图1。第一个因素已经有0,即“元素索引0”

6.转到“元素索引1”,右键单击“ auth_scheme”->'编辑…'。选择AD用户名和密码的“ user_pass”作为第二因素。

7.保存更改(“文件”菜单-“全部保存”)。 

关闭GuiDBedit工具。使用SmartDashboard连接到Security Management Server。将策略安装到Security Gateway / Cluster对象上。

8.测试

参考:

1. 移动访问的多种身份验证方案

通过 约翰

发表评论