我们使用Palo Alto防火墙(及其GlobalProtect客户端)来访问我们的networking。 防火墙使用LDAP来validationVPNlogin。 我现在正试图设置一个顾问的用户ID,我希望他只能访问1个特定的服务器。 因此,在他的个人资料中,我将login工作站设置为只允许访问1台服务器。 但是,使用这个集合,他不能在身份validation失败的情况下进行VPN。 有没有办法允许LDAP身份validation和访问只有一台机器?
只需在“1台服务器”上授予用户必要的权限。 他们将无法login其他地方,因为他们没有权限。 这不是VPN解决scheme或LDAP解决scheme,而是在一台服务器上授予许可权。
虽然这确实使他们成为“域用户”,但他们仍然只能访问应该限制的资源。
以远程桌面为例,默认情况下,域用户应该被拒绝访问这个资源。 其他资源(如CIFS和网站)也是如此。 如果情况并非如此,那么这是一个很好的机会来审查如何获得资源。
根据他们所需的访问级别,可以使用login限制,以便他们只能在特定时间和特定域系统上login。
另一种方法是为VPN访问和服务器访问创build本地帐户。