ドメインコントローラーへのクライアントアクセス
マシンがドメインのメンバーであるかどうかを識別するためのソリューションに取り組んでいます。マシンIDを取得するために、2つの可能な方法でCheckpoint R75 IdentityAwarenessを使用しています。
- ログからマシン認証を引き出すADクエリ。
- ファイアウォールを介してドメインコントローラーにログオンするためのIDエージェント(ソフトウェア)。
複数のドメインコントローラーではうまく機能しないIdentityAgentを使用した後、クライアントがADにログオンしてIDを確立できるようにする可能性を検討しています。
このソリューションのアイデアがファイアウォールで未知のコンピューターをブロックすることであることを考えると、ドメインコントローラーへのアクセスを許可することには少し消極的です。特にDCは、セキュリティ面で「クラウンジュエル」と見なすことができるためです。
さて、質問のために、
クライアントがログインできるようにするには、クライアントからドメインコントローラーにどのようなトラフィックを許可する必要がありますか?
まず最初に、ファイアウォールを通過してドメインコントローラーに到達するポートは何ですか? ADに対して認証している場合は、LDAPのポート389を通過できることを確認する必要があります。クライアントからどのトラフィックを許可するかに関して、他に何を求めているのかわかりません。環境のルールを設定するのはあなた次第です。
個人的には、ファイアウォール/ VPNアプライアンスにセキュリティグループを設定します(ファイアウォールにVPNアプライアンスまたは機能があると仮定します)。内部CAからいくつかの証明書を生成し、Webログインを作成します(一部のVPNアプライアンスにはすでに証明書が組み込まれています)。これらの証明書は、組織の外部からネットワークにアクセスしたい人にのみ配布してください。証明書は1台のPCにしかインストールできないため、これにより、最初に実行したいPCのみにアクセスが制限されるようになりました。