Мы используем брандмауэр Пало-Альто (и его клиент GlobalProtect) для доступа VPN к нашей сети. Брандмауэр использует LDAP для аутентификации логинов VPN. Я теперь пытаюсь установить идентификатор пользователя для консультанта, и я хочу, чтобы у него только был доступ к 1 конкретному серверу. Так, на его профиле я установил Рабочие станции Входа в систему, чтобы только предоставить доступ к 1 серверу. Но с этим набором он не может VPN, поскольку аутентификация перестала работать. Там должен так или иначе позволить аутентификацию LDAP и доступ только к 1 машине?
Просто предоставьте пользователю необходимые разрешения на «1 сервере». Они не смогут войти в систему где-либо еще, потому что у них не будет разрешения. Это не решение VPN или LDAP, это просто способ предоставления разрешений на одном сервере.
Хотя это делает их «пользователем домена», они по-прежнему будут иметь доступ только к предоставленным ресурсам, которые должно быть ограничено.
Возьмем, например, удаленный рабочий стол, пользователям домена по умолчанию должен быть запрещен доступ к этому ресурсу. То же самое и с другими ресурсами, такими как CIFS и веб-сайты. Если это не так, то это отличная возможность проверить, как предоставляется доступ к ресурсам.
В зависимости от необходимого уровня доступа можно использовать ограничения входа в систему, чтобы они могли входить в систему только в определенное время и в определенном домене. системы.
Альтернативой является создание локальных учетных записей для доступа к VPN и серверу.