LDAPを介した認証を停止するドメインコントローラーに対する「ログオンワークステーション」の制限を回避する方法
外部のLinuxベースのアプリケーションサーバーのユーザーが、LDAPSを介してActiveDirectory資格情報を使用してサービスで認証できるようにしようとしています。管理者アカウントではうまく機能しますが、通常のユーザーアカウントでは失敗します。
問題は、ユーザーがドメインコントローラー(DC)にログオンすることを制限する(または、割り当てられたワークステーションにのみログオンできるという制限を作成する)ユーザー用の「ログオンワークステーション」設定があることです。
最初のLDAPクエリはサービスアカウントの名前で機能しますが、HTTP認証が実行される時点で、LDAPサービスはサービスアカウントからバインドを解除し、ユーザーとしてバインドしようとします。この時点で失敗します。
これを回避する方法はありますか?この方法でDC)へのアクセスを制限するのが一般的な方法ですか?
GPOを使用したDCへのインタラクティブ/ RDPログオンを拒否することをお勧めします。
「コンピュータ設定/セキュリティ設定/ローカルポリシー/ユーザー権利の割り当て/ローカルログオンの拒否」
私はカスタム/企業ソフトウェアといくつかのLinuxボックスでそのような問題を見てきました。このような場合、「ログオンワークステーション」には、許可されるワークステーションのリストにDCを含める必要があります。これらのシステムがユーザーを認証しようとする方法に関連していると思います。例を参照してください: https://confluence.atlassian.com/display/CONFKB/Unable+to+Log+in+Because+of+userWorkstations+Attribute+in+Active+Directory
最終的にLinuxのログを分析し、データコード531を検索します https://primalcortex.wordpress.com/2007/11/28/active-directory-ldap-errors/
「User-Workstations」属性には制限があることに注意してください: https://support.Microsoft.com/en-us/kb/938458