우리는 네트워크에 대한 VPN 액세스를 위해 Palo Alto 방화벽(및 GlobalProtect 클라이언트)을 사용합니다. 방화벽은 LDAP를 사용하여 VPN 로그인을 인증합니다. 지금 컨설턴트의 사용자 ID를 설정하려고 하는데 그가 특정 서버 1개에만 액세스할 수 있도록 하고 싶습니다. 그래서 그의 프로필에서 로그온 워크스테이션을 1개의 서버에만 액세스하도록 설정했습니다. 하지만 이 세트에서는 인증이 실패하므로 VPN을 사용할 수 없습니다. 어쨌든 LDAP 인증을 허용하고 한 대의 컴퓨터에만 액세스할 수 있습니까?
답변1
"1개 서버"에 대해 사용자에게 필요한 권한을 부여하기만 하면 됩니다. 권한이 없기 때문에 다른 곳에서는 로그인할 수 없습니다. 이는 VPN 솔루션이나 LDAP 솔루션이 아니며, 대신 하나의 서버에서 권한이 부여되는 방식입니다.
이로 인해 해당 사용자는 "도메인 사용자"가 되지만 여전히 제한되어야 하는 부여된 리소스에만 액세스할 수 있습니다.
원격 데스크톱을 예로 들면, 도메인 사용자는 기본적으로 이 리소스에 대한 액세스가 거부되어야 합니다. CIFS 및 웹사이트와 같은 다른 리소스도 마찬가지입니다. 그렇지 않은 경우 리소스에 대한 액세스 권한이 부여되는 방식을 검토할 수 있는 좋은 기회입니다.
필요한 액세스 수준에 따라 로그온 제한을 사용하여 특정 시간 동안 특정 도메인 시스템에만 로그인할 수 있습니다.
대안은 VPN 액세스 및 서버 액세스를 위한 로컬 계정을 만드는 것입니다.