2021-05-18 11:24:34
#tech
Частенько необходимо сделать двухфакторную аутентификацию для пользователей VPN в CHKP.
И для этого, есть множество вариантов:
- EMAIL/SMTP через DynamicID (устаревшая вещь)
- OTP токены (через RADIUS)
- SMS/Telegram/OTP и прочее (все через тот же RADIUS)
Есть даже целая табличка - какие клиенты, какую многофакторку поддерживают
- Через сертификаты, выпущенные управлялкой CHKP
Причем процесс выпуска сертификатов можно автоматизировать !
Есть интересный тред на этот счет на Check Mates - https://community.checkpoint.com/t5/API-CLI-Discussion/Creating-user-a-certificate-via-API/m-p/100015#M5257
Но в целом, алгоритм простой:
Создаем пользователя
mgmt_cli -r true -f json add user name VPNUSR
Выпускаем сертификат
mgmt_cli -r true -f json set user name VPNUSR certificates.add.certificate-file.password CERTPASSWD certificates.add.certificate-file.comment certificate_1 | jq -r '.certificates[] | select(.comments == "certificate_1") | ."base64-certificate"' | base64 --decode -i >VPNUSR.p12
Импортируем на ПК
cpopenssl pkcs12 -in ./VPNUSR.p12 -info
Кстати, еще можно выдавать сертификаты пользователям при первом подключении к шлюзу через VPN, но это уже другая история...
406 views08:24