web-dev-qa-db-ja.com

IPに基づいてRDゲートウェイへのアクセスを制限する

グループメンバーシップとIPアドレスの両方に基づいてRDゲートウェイにアクセスできるユーザーを制限しようとしています(グループAのユーザーはIPアドレスXからのみシステムにアクセスできます)。 RDゲートウェイによってインストールされたネットワークポリシーサーバーは、これが可能であることを示唆しているようです。クライアントIPアドレスに基づいてアクセスを制限する設定がありますが、これは正しく機能していないようです。

IPアドレス制限を追加すると、適切なIPを持っていてもユーザーは接続できません。その制限を削除すると、ユーザーは接続できるようになります。監査ログを見ると、IPアドレスがそこに存在しないようです。

誰かがこれを機能させる方法を知っていますか?

5
Sam Cogan

残念ながら、これは不可能です。

NPSから見ると、radius clientはRDSゲートウェイサーバーです(NPS/RADIUSサーバーに認証やアカウンティングを実際に要求するのはクライアントです)。したがって、RDSゲートウェイに接続しているクライアントマシンは、RADIUSサーバーからは見えません。

これは、クライアントが実際に接続しようとしているデバイスではなく、auth/acc要求をNPS/RADIUSサーバーに転送しているデバイスである他のデバイス(例はアクセスポイント)でもほとんど同じです。

ネットワーク層でのアクセスを制限できますが、現時点では、異なるユーザーグループを区別することはできません。

1
Daniel Nachtrub