Usamos un firewall de Palo Alto (y su cliente GlobalProtect) para el acceso VPN a nuestra red. El firewall utiliza LDAP para autenticar los inicios de sesión de VPN. Ahora estoy intentando configurar una identificación de usuario para un consultor y quiero que solo tenga acceso a un servidor en particular. Entonces, en su perfil, configuré las estaciones de trabajo de inicio de sesión para permitir solo el acceso a 1 servidor. Pero, con este conjunto, no puede utilizar VPN porque falla la autenticación. ¿Existe alguna forma de permitir la autenticación LDAP y el acceso a una sola máquina?
Respuesta1
Simplemente otorgue al usuario los permisos necesarios en el "servidor 1". No podrán iniciar sesión en ningún otro lugar porque no tendrán permiso. Esta no es una solución VPN o LDAP, sino simplemente cómo se otorgan los permisos en un servidor.
Si bien esto los convierte en "Usuarios de dominio", solo tendrán acceso a los recursos otorgados, que deberían ser limitados.
Tomemos, por ejemplo, el escritorio remoto, a los usuarios del dominio se les debe negar el acceso a este recurso de forma predeterminada. Lo mismo ocurre con otros recursos como CIFS y sitios web. Si este no es el caso, entonces es una gran oportunidad para revisar cómo se otorga el acceso a los recursos.
Dependiendo del nivel de acceso que necesiten, se podrían utilizar restricciones de inicio de sesión para que solo puedan iniciar sesión durante ciertos momentos y en sistemas de dominio específicos.
La alternativa es crear cuentas locales para acceso VPN y acceso al servidor.