Мы используем брандмауэр Palo Alto (и его клиент GlobalProtect) для VPN-доступа к нашей сети. Брандмауэр использует LDAP для аутентификации входов VPN. Сейчас я пытаюсь настроить идентификатор пользователя для консультанта и хочу, чтобы у него был доступ только к 1 конкретному серверу. Поэтому в его профиле я настраиваю рабочие станции входа так, чтобы они разрешали доступ только к 1 серверу. Но с этим набором он не может подключиться к VPN, так как аутентификация не проходит. Можно ли как-то разрешить аутентификацию LDAP и доступ только к 1 машине?
решение1
Просто предоставьте пользователю необходимые разрешения на "1 сервере". Он не сможет войти в систему где-либо еще, потому что у него не будет разрешения. Это не решение VPN или LDAP, это просто способ предоставления разрешений на одном сервере.
Хотя это и делает их «пользователями домена», у них по-прежнему будет доступ только к предоставленным ресурсам, которые должны быть ограничены.
Возьмем, к примеру, удаленный рабочий стол, доменным пользователям по умолчанию должен быть запрещен доступ к этому ресурсу. То же самое касается и других ресурсов, таких как CIFS и веб-сайты. Если это не так, то это отличная возможность пересмотреть, как предоставляется доступ к ресурсам.
В зависимости от необходимого им уровня доступа могут использоваться ограничения на вход в систему, позволяющие входить в систему только в определенное время и в определенных доменных системах.
Альтернативой является создание локальных учетных записей для доступа к VPN и серверу.