我的工作是向我们的远程员工推出一款名为 springbrook 的新应用程序(HR、Payroll 等)。该应用程序在我们的一台物理服务器(Win 2008 R2)上运行,为了在本地使用它,我必须将网络驱动器映射到本地员工计算机上的服务器。我创建了该应用程序的桌面快捷方式,这样用户就不必进入映射驱动器并以此方式运行它。他们只需单击桌面快捷方式即可。
Springbrook 使用 LDAP 协议(在我们的例子中是 Active Directory)根据 Springbrook 内部已有的登录 ID 对尝试登录的用户进行身份验证,因此在建立会话时,它要求用户登录并通过域的身份验证,进而建立与 LDAP 连接器的连接,该连接器验证用户信息并允许他们访问。
我们的硬件防火墙是 Sonicwall TZ210 设备。我已在该设备中设置 VPN。在将使用 Springbrook 的用户工作站的远程站点上,我已正确设置了 Sonicwall VPN 客户端。在远程工作站,我可以建立与我们网络的连接,映射网络驱动器并调出 Springbrook 登录页面。当我输入凭据时,会弹出一条 Springbrook 错误消息,告诉我我输入了错误的密码。事实并非如此,因为我知道凭据是正确的。
我就此事联系了 Springbrook,技术人员告诉我,VPN 隧道中某种程度上没有进行身份验证。
好的。我知道,哈哈
然后他说他们为远程员工使用 Citrix。我相信 Citrix 有一个非常好的 WebApp 工具,但如果我可以通过 VPN 隧道做到这一点并为我们节省资金,那就太好了。
各位技术同仁有什么建议吗?
服务器:Win 2008 r2 防火墙\VPN:Sonicwall tz210 Active Directory 域
我在我们的防火墙中启用了 LDAP,得到了相同的结果。这不起作用。除此之外,我没有尝试任何东西。远程工作站运行与运行 springbrook 的本地工作站相同的“内容”。
答案1
使用 Windows RRAS 作为 VPN 服务器。然后,用户将通过 VPN 向域进行身份验证,而不是通过 VPN 向 SonicWall 进行身份验证。当他们启动应用程序时,它应该使用 VPN 用户的 AD 凭据,即他们的 AD 帐户。
答案2
您需要运行数据包捕获来确定远程客户端是否成功执行了 LDAP 绑定。如果是,由于您可能以纯文本形式发送用户名和密码,因此这将使验证变得相当容易。
您可能希望通过尝试使用远程 VPN 客户端中的 LDP.exe 等工具建立 LDAP 绑定来进一步本地化此问题。如果您无法使用 LDP 进行绑定和身份验证,就像应用程序绑定和身份验证一样,那么这将为您指明正确的方向。
此外,考虑到这还没有经过测试,即使你让它运行,其性能也可能非常差,这也不会让我感到惊讶。