Accesso client al controller di dominio

1

Sto lavorando a una soluzione per identificare se una macchina è un membro del dominio o meno. Stiamo utilizzando Awareness Identity di Checkpoint R75 con due metodi possibili per recuperare l'identità della macchina.

  • Query AD per estrarre l'autenticazione della macchina dai log.
  • Identity Agent (software) per accedere al Domain Controller tramite il firewall.

Dopo aver lavorato con Identity Agent, che non funziona bene con più controller di dominio, sto valutando la possibilità di consentire ai client di accedere all'AD per stabilire l'identità.

Considerando che l'idea di questa soluzione è bloccare i computer sconosciuti al firewall, sono un po 'riluttante a consentire loro l'accesso al controller di dominio. Soprattutto perché la DC può essere considerata la "corona gioiello" per quanto riguarda la sicurezza.

Ora per la domanda,

Quale traffico dovrebbe essere consentito dai client ai controller di dominio per consentire loro di accedere?

    
posta Dog eat cat world 21.12.2011 - 16:10
fonte

1 risposta

1

Bene, immagino prima di tutto, quale porta stanno passando attraverso il firewall e raggiungendo il controller di dominio? Devi solo assicurarti che possano passare attraverso la porta 389 per LDAP se stanno eseguendo l'autenticazione con AD. Non sono sicuro di cos'altro si sta chiedendo in merito a ciò che il traffico dovrebbe essere consentito dai client, spetta a te impostare le regole per il proprio ambiente.

Personalmente, avrei creato un gruppo di sicurezza nel tuo firewall / dispositivo vpn (supponendo che tu abbia un dispositivo vpn o una funzione sul tuo firewall). Generare alcuni certificati dalla CA interna e creare un accesso Web (alcuni dispositivi VPN ne avranno già uno integrato). Distribuisci questi certificati solo alle persone che desideri accedere alla tua rete al di fuori della tua organizzazione. Questo ora limita l'accesso solo al PC che volevi originariamente fare, dal momento che il certificato può essere installato su un solo PC.

    
risposta data 21.12.2011 - 16:55
fonte

Leggi altre domande sui tag