Caut o modalitate de a stabili conexiuni sigure de la utilizatori la distanță la o rețea internă închisă. Pot deja conecta mașina de la distanță la un controler de domeniu samba printr-un client openvpn 2.x înainte de a mă autentifica folosind o sarcină programată, astfel încât conexiunea la distanță la domeniu este rezolvată.
Ceea ce mi-ar trebui acum este să știu dacă există o modalitate prin care controlerul de domeniu să spună unui firewall că aceasta sau acea mașină aparține domeniului și ca firewall-ul să folosească aceste informații pentru a discrimina dacă gazda poate accesa o altă rețea internă. De exemplu, aș avea ca serverul openvpn (10.0.0.2) să ofere fiecărui utilizator un IP rezervat în intervalul 10.0.0.x, astfel încât să poată vedea controlerul de domeniu (10.0.0.3). Apoi controlerul de domeniu îi spune firewallului (10.0.0.1, gateway) dacă mașinile conectate folosind acele IP-uri sunt conectate la domeniu și, prin urmare, pot fi introduse în siguranță într-o rețea internă printr-o altă interfață la care este conectat firewall-ul, de exemplu 10.0.1 .X. Până când această condiție este îndeplinită, utilizatorii ar avea acces doar la „lobby-ul” 10.0.0.x.
Ideea este de a împiedica utilizatorul de la distanță să folosească pur și simplu acreditările și certificatul vpn pe orice mașină (mașini potențial nesigure care rulează Dumnezeu știe ce) pentru a accesa rețeaua internă securizată. Știu deja despre autentificarea LDAP pentru openvpn, dar din câte știu, asta întreabă doar controlerul de domeniu dacă acreditările x sunt ok și nu verifică dacă mașina este de fapt pe domeniu.
Aceasta există? Este chiar posibil? Este chiar necesar, sau mă uit la asta în mod greșit și există o alternativă mult mai ușoară?
Mulțumesc anticipat.
