我们使用 Palo Alto 防火墙(及其 GlobalProtect 客户端)通过 VPN 访问我们的网络。防火墙使用 LDAP 来验证 VPN 登录。我现在正在尝试为顾问设置用户 ID,并且我希望他只能访问 1 台特定服务器。因此,在他的个人资料上,我将登录工作站设置为仅允许访问 1 台服务器。但是,设置后,他无法通过 VPN 访问,因为身份验证失败。有没有办法允许 LDAP 身份验证并仅访问 1 台机器?
答案1
只需在“1 台服务器”上授予用户必要的权限即可。他们将无法登录其他任何地方,因为他们没有权限。这不是 VPN 解决方案或 LDAP 解决方案,而是如何在一台服务器上授予权限。
虽然这确实使他们成为“域用户”,但他们仍然只能访问授予的有限资源。
以远程桌面为例,默认情况下域用户应被拒绝访问此资源。其他资源(如 CIFS 和网站)也是如此。如果不是这种情况,那么这是一个审查如何授予资源访问权限的好机会。
根据他们所需的访问级别,可以使用登录限制,以便他们只能在特定时间和特定域系统上登录。
另一种方法是创建用于 VPN 访问和服务器访问的本地帐户。