Usamos um firewall Palo Alto (e seu cliente GlobalProtect) para acesso VPN à nossa rede. O firewall usa LDAP para autenticar logins VPN. Agora estou tentando configurar um ID de usuário para um consultor e quero que ele tenha acesso apenas a um servidor específico. Então, no perfil dele, configurei as Estações de Logon para permitir acesso apenas a 1 servidor. Mas, com este conjunto, ele não pode fazer VPN porque a autenticação falha. Existe alguma maneira de permitir autenticação LDAP e acesso a apenas 1 máquina?
Responder1
Basta conceder ao usuário as permissões necessárias no "1 servidor". Eles não poderão fazer login em nenhum outro lugar porque não terão permissão. Esta não é uma solução VPN ou LDAP; em vez disso, é apenas como as permissões são concedidas em um servidor.
Embora isso os torne um “Usuário de Domínio”, eles ainda terão acesso apenas aos recursos concedidos, que devem ser limitados.
Tomemos, por exemplo, a área de trabalho remota, os usuários do domínio devem ter acesso negado a este recurso por padrão. O mesmo vale para outros recursos, como CIFS e sites. Se este não for o caso, então é uma grande oportunidade para rever como o acesso aos recursos é concedido.
Dependendo do nível de acesso necessário, as restrições de logon podem ser usadas para que eles só possam fazer login em determinados horários e em sistemas de domínio específicos.
A alternativa é criar contas locais para acesso VPN e acesso ao servidor.