השבוע יצר עימי קשר לקוח שלי וטען כי בעת נסיון התחברות באמצעות ה-Secure Client ל-R70 הוא לא נדרש להזין את קוד ה-PIN וכי הוא מצליח לבצע התחברות באמצעות הקשת ה-TokenCode בלבד.
ללקוח Check Point Firewall/VPN R70 ומערכת RSA Authentication Manager 7.1 SP4 המבצעת אותנתיקציה מול שרת RADIUS.
כמובן שניגשתי מיד לבדיקת מאפיני המשתמש הספציפי על מנת לוודא שהוא מחוייב להזין קוד PIN וכי לא מוגדרת לו האופציה להשתמש ב-Emergency Code ,כמו כן בדקתי גם את ה-Password Policy אשר חלה על ה-Security Domain.
לאחר בדיקת הממצאים אשר נמצאו תקינים,התייעצתי עם אחד ממהנדסי המערכות הבחירים ביותר בתחוםה-RSA וב-IT Security בפרט אשר הפנה את תשומת ליבי למאמר הבא:
ID Title
a29250 New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Fact
Check Point Firewall NG
RSA RADIUS Server 6.1 Powered by Funk Steel-Belted RADIUS
Symptom
New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Users not prompted for New PIN or Next Tokencode Modes
$FWDIR/log/vpnd.elg file on the gateway logs "attribute 76 not recognized, response dropped"
Cause
This attribute is the response from the RADIUS. It is being dropped by Check Point, and therefore the client does not get prompted.
Fix
To correct this issue, open SmartDashboard and go to Policy > Global Properties > SmartDashboard Customization > Configure > +Firewall-1 > + Authentication > RADIUS. Set the "radius_ignore" attribute to a value of 76. After setting the "radius_ignore" attribute, reinstall the policy to your gateway.
המאמר מתייחס לגרסת 6.1 אבל חל גם על 7.1 בתצורת RADIUS .
אני חייב להודות שלא נתקלתי בדבר כזה קודם לכן אך תמיד יש פעם ראשונה!
מרשים .
השבמחקכל הכבוד