CheckPoint. IA AD Query с минимальными правами

Для авторизации пользователей мы используем Identity Awareness AD Query. Для его полноценной работы требуется создать пользователя с правами администратора на контроллерах домена, но делать этого не обязательно. Поискав на UserPortal’e удалось выяснить, что не обязательно давать права админа данному пользователю, а лишь достаточно провести несколько манипуляций:

Требования к создаваемому пользователю:
1)  Пользователь должен состоять в группе Distributed COM Users, Event Log Readers и Server Operators
2)  На DC должен быть настроен WMI согласно инструкции

Настройка WMI на DC:
1)  Запускаем wmimgmt.msc
2) ПКМ на WMI Control, вызываем свойства
3) Вкладка Security, разворачиваем список Root
4) Выделяем пункт CIMV2, заходим в Security

CheckPoint. WMI Control Properties

5) Добавляем пользователя  CheckPoint (service_checkpoint), даем ему права «Enable Account» и «Remote Enable»
CheckPoint. WMI Control User add

6) Заходим в Advanced и проверяем, что «Apply to» установлен в «this namespace and subnamespaces»
CheckPoint. WMI Permission Entry

9) Подтверждаем изменения во всех окнах
10)  Запускаем services.msc
11) Находим службу Windows Management Instrumentation и рестартуем ее
CheckPoint. Service

 

Инфа по IA: AdminGuide
Инфа по созданию пользователя AD: SupportCenter

You may also like...

  • олег55

    коллеги подскажите, как можно добиться авторизации на captive portal чекпойнта из под машины с линуксом без xorg?
    нашел github.com/felixb/cpfw-login но оно не работает, месяца два назад перестало работать.

    • OKI

      С таким, к сожалению, не сталкивались, т.к. все сервера у нас выпущены через стандартные правила по стандартным портам и не требуют авторизации.
      Были ли поставлены какие-либо обновления на CP перед тем как оно перестало работать? Насколько мне известно в последнее время в плане captive portal ничего не меняли. Возможно проблема кроется в смене сертификата на CP?