我們使用 Palo Alto 防火牆(及其 GlobalProtect 用戶端)透過 VPN 存取我們的網路。防火牆使用 LDAP 來驗證 VPN 登入。我現在正在嘗試為顧問設定使用者 ID,並且我希望他只能訪問 1 個特定伺服器。因此,在他的個人資料中,我將登入工作站設定為僅允許存取 1 個伺服器。但是,使用此設定後,他無法使用 VPN,因為身份驗證失敗。是否有辦法只允許 LDAP 身份驗證和存取 1 台電腦?
答案1
只需授予使用者在「1 伺服器」上必要的權限即可。他們將無法登入其他任何地方,因為他們沒有權限。這不是 VPN 解決方案或 LDAP 解決方案,而只是在一台伺服器上授予權限的方式。
雖然這確實使他們成為“網域使用者”,但他們仍然只能存取應受限制的授予的資源。
以遠端桌面為例,預設應拒絕網域使用者存取此資源。 CIFS 和網站等其他資源也是如此。如果情況並非如此,那麼這是審查如何授予資源存取權限的絕佳機會。
根據他們所需的存取級別,可以使用登入限制,以便他們只能在特定時間和特定網域系統上登入。
另一種方法是建立本機帳戶以進行 VPN 存取和伺服器存取。