Como contornar uma restrição de “estações de trabalho de logon” para o controlador de domínio parar a autenticação via LDAP

Navegue suas respostas
4

Estou tentando permitir que os usuários de um servidor de aplicativos externo baseado em Linux se autentiquem com o serviço usando suas credenciais do Active Directory por meio de LDAPS. Ele funciona bem para contas de administrador, mas falha para contas de usuário normais.

O problema é que há uma configuração de "estações de trabalho de logon" para os usuários que os impede de fazer logon no Controlador de Domínio (DC) (ou melhor, cria uma restrição de que eles podem fazer logon apenas na estação de trabalho atribuída)

A consulta LDAP inicial está no nome de uma conta de serviço em funcionamento, mas no ponto em que a Autenticação HTTP é executada, o serviço LDAP é desvinculado da conta de serviço e tenta vincular-se como usuário. Nesse ponto, ele falha.

Existe alguma maneira de contornar isso? É prática comum restringir o acesso ao DC dessa maneira?

    
por Sean Cull 02.07.2015 / 17:34

1 resposta

2

Sugiro negar o logon interativo / RDP para os DCs com o GPO:

"Configurações do Computador / Configurações de Segurança / Políticas Locais / Designações de Direitos do Usuário / Negar Logon Localmente"

Eu já vi problemas com softwares personalizados / corporativos e algumas caixas Linux. Nesses casos, as "Estações de Logon" devem incluir o (s) CD (s) na lista de estações de trabalho permitidas. Suponho que esteja conectado à maneira como esses sistemas tentam autenticar usuários. Veja um exemplo: link

Eventualmente, analise os registros do Linux e pesquise código de dados 531 de acordo com o link

Lembre-se de que o atributo "User-Workstations" tem limitações: link

    
por 02.07.2015 / 20:33

Tags

O nginx não direcionará tráfego para um host upstream com peso 0? O que faz a opção mkfs.ext4 -G?