Wir verwenden eine Palo Alto-Firewall (und ihren GlobalProtect-Client) für den VPN-Zugriff auf unser Netzwerk. Die Firewall verwendet LDAP zur Authentifizierung von VPN-Anmeldungen. Ich versuche jetzt, eine Benutzer-ID für einen Berater einzurichten, und möchte, dass er nur auf einen bestimmten Server zugreifen kann. Daher habe ich in seinem Profil die Anmeldearbeitsstationen so eingestellt, dass nur der Zugriff auf einen Server möglich ist. Mit dieser Einstellung kann er jedoch kein VPN verwenden, da die Authentifizierung fehlschlägt. Gibt es eine Möglichkeit, LDAP-Authentifizierung und Zugriff auf nur einen Computer zuzulassen?
Antwort1
Gewähren Sie dem Benutzer einfach die erforderlichen Berechtigungen auf dem „1. Server“. Er kann sich sonst nirgendwo anmelden, da er keine Berechtigung hat. Dies ist keine VPN- oder LDAP-Lösung, sondern nur die Art und Weise, wie Berechtigungen auf dem einen Server gewährt werden.
Dadurch werden sie zwar zu „Domänenbenutzern“, haben jedoch weiterhin nur Zugriff auf die gewährten Ressourcen, und dieser sollte eingeschränkt sein.
Nehmen wir zum Beispiel Remote-Desktop. Domänenbenutzern sollte der Zugriff auf diese Ressource standardmäßig verweigert werden. Dasselbe gilt für andere Ressourcen wie CIFS und Websites. Wenn dies nicht der Fall ist, ist dies eine gute Gelegenheit, zu überprüfen, wie der Zugriff auf Ressourcen gewährt wird.
Abhängig von der benötigten Zugriffsebene können Anmeldebeschränkungen verwendet werden, sodass sie sich nur zu bestimmten Zeiten und auf bestimmten Domänensystemen anmelden können.
Die Alternative besteht darin, lokale Konten für den VPN-Zugriff und den Serverzugriff zu erstellen.