弊社のネットワークへの VPN アクセスには Palo Alto ファイアウォール (およびその GlobalProtect クライアント) を使用しています。ファイアウォールは、VPN ログインの認証に LDAP を使用します。現在、コンサルタントのユーザー ID を設定しようとしており、コンサルタントが 1 つの特定のサーバーにのみアクセスできるようにしたいと考えています。そのため、彼のプロファイルで、ログオン ワークステーションを 1 つのサーバーへのアクセスのみを許可するように設定しました。しかし、この設定では、認証が失敗するため、彼は VPN を使用できません。LDAP 認証を許可し、1 台のマシンのみにアクセスできるようにする方法はありますか?
答え1
ユーザーに「1 つのサーバー」で必要な権限を付与するだけです。権限がないため、他の場所にログインすることはできません。これは VPN ソリューションや LDAP ソリューションではなく、1 つのサーバーで権限を付与する方法です。
これにより、ユーザーは「ドメイン ユーザー」になりますが、アクセスできるのは許可されたリソースのみであり、制限されることになります。
たとえば、リモート デスクトップの場合、ドメイン ユーザーはデフォルトでこのリソースへのアクセスを拒否される必要があります。CIFS や Web サイトなどの他のリソースについても同様です。そうでない場合は、リソースへのアクセスがどのように許可されるかを確認する絶好の機会です。
必要なアクセス レベルに応じて、ログオン制限を使用して、特定の時間帯および特定のドメイン システムにのみログインできるようにすることができます。
別の方法としては、VPN アクセスとサーバー アクセス用のローカル アカウントを作成します。