web-dev-qa-db-ja.com

ドメインコントローラーへのクライアントアクセス

マシンがドメインのメンバーであるかどうかを識別するためのソリューションに取り組んでいます。マシンIDを取得するために、2つの可能な方法でCheckpoint R75 IdentityAwarenessを使用しています。

  • ログからマシン認証を引き出すADクエリ。
  • ファイアウォールを介してドメインコントローラーにログオンするためのIDエージェント(ソフトウェア)。

複数のドメインコントローラーではうまく機能しないIdentityAgentを使用した後、クライアントがADにログオンしてIDを確立できるようにする可能性を検討しています。

このソリューションのアイデアがファイアウォールで未知のコンピューターをブロックすることであることを考えると、ドメインコントローラーへのアクセスを許可することには少し消極的です。特にDCは、セキュリティ面で「クラウンジュエル」と見なすことができるためです。

さて、質問のために、

クライアントがログインできるようにするには、クライアントからドメインコントローラーにどのようなトラフィックを許可する必要がありますか?

1

まず最初に、ファイアウォールを通過してドメインコントローラーに到達するポートは何ですか? ADに対して認証している場合は、LDAPのポート389を通過できることを確認する必要があります。クライアントからどのトラフィックを許可するかに関して、他に何を求めているのかわかりません。環境のルールを設定するのはあなた次第です。

個人的には、ファイアウォール/ VPNアプライアンスにセキュリティグループを設定します(ファイアウォールにVPNアプライアンスまたは機能があると仮定します)。内部CAからいくつかの証明書を生成し、Webログインを作成します(一部のVPNアプライアンスにはすでに証明書が組み込まれています)。これらの証明書は、組織の外部からネットワークにアクセスしたい人にのみ配布してください。証明書は1台のPCにしかインストールできないため、これにより、最初に実行したいPCのみにアクセスが制限されるようになりました。

1
Split71