Restringir o acesso a sites com base na associação do grupo LDAP / Active Directory

Navegue suas respostas
2

Estou tentando configurar um controle refinado de sites externos com base nas associações de grupos AD de usuários e computadores.

Geralmente, bloqueamos sites como YouTube, Facebook, MySpace et al, mas nosso departamento de vídeo precisa de acesso ao YouTube. o departamento de marketing precisa acessar o Facebook e assim por diante. Também temos vários PCs que devem ter acesso irrestrito à Web. Atualmente, isso é administrado usando IPs estáticos inseridos em nossa configuração de firewall - que é demorada e propensa a erros, e seria muito mais fácil de fazer isso por meio da associação ao grupo AD, e nosso firewall de hardware existente não é compatível este cenário :(

Então, nossos requisitos são:

  1. Controle o acesso em nível de usuário a sites específicos por meio da associação ao grupo do Active Directory. Os usuários que são membros do grupo "Usuários do Facebook" no Active Directory podem acessar o Facebook durante o horário de expediente, independentemente de qual computador estejam usando, e os usuários que NÃO são membros do "Usuários do Facebook" não devem poder acessar este site durante o horário de expediente. Queremos repetir isso para 5 a 6 sites diferentes e gerenciar o acesso totalmente por meio da associação ao grupo AD.

  2. Controle o acesso COMPUTER-LEVEL a sites específicos - por exemplo, eu gostaria de poder tornar um computador de domínio específico um membro do grupo "Usuários do Facebook", para que qualquer usuário que esteja usando esse computador tem acesso ao Facebook, independentemente das participações do grupo AD do usuário.

Idealmente, tudo isso é completamente transparente para o usuário final - eles não precisam inserir suas credenciais de rede novamente. Além disso, a configuração de um proxy local, etc., é aceitável desde que seja gerenciável por meio da política de grupo.

Obrigado,

Dylan

    
por Dylan Beattie 27.10.2010 / 19:21

6 respostas

2

Fazemos isso com o Filtro da Web da Barracuda Network , que pode ser integrado ao Active Diretório. Você também pode atribuir certas permissões específicas a endereços IP - é fácil garantir que o mesmo computador tenha sempre o mesmo endereço IP em sua rede via DHCP ou configuração estática antiga simples. Escolhemos isso porque gostamos da reportagem, e conseguimos um bom acordo.

Existem várias soluções concorrentes de filtro da Web, hardware, software, código aberto e até mesmo soluções de software como serviço baseadas em nuvem, que se integram ao Active Directory - se fizerem isso, quase 100% farão o que precisar.

    
por 27.10.2010 / 19:50
2

O MIcrosoft ForeFront TMG pode fazer isso com o cliente de firewall instalado localmente ou com o proxy transparente. Como o cliente conhece a identidade do computador E (!) A identidade do usuário, regras podem ser definidas para eles.

    
por 27.10.2010 / 19:27
1

Dê uma olhada na Palo Alto Networks.

Temos uma de suas caixas e ela pode fazer exatamente o que você acabou de descrever, e fará isso em um nível de aplicativo, em vez de você precisar especificar URLs para cada site.

    
por 27.10.2010 / 19:27
1

O Microsoft ISA Server fará tudo isso por você e funcionará como um proxy local.

Ele exige que o Microsoft Firewall Client seja configurado nos PCs clientes para funcionar da maneira mais transparente, mas isso é feito facilmente usando a Diretiva de Grupo.

    
por 27.10.2010 / 19:27
1

Uma palavra da multidão de código aberto: Eu vou dar um grito para usar o Squid Cache para fazer o que você está procurando.

Você pode ver alguns documentos para configurar e versões mais antigas do Squid aqui (que ainda são aplicáveis a versões recentes do Squid para Win32): link

Na verdade, é bastante fácil obter a configuração do Squid para autenticar com um domínio do AD no Windows. Depois disso, é apenas configurar um arquivo squid.conf com seus controles de acesso desejados. É um pouco confuso para entender no começo, mas uma vez que você se envolve com o modelo Squid ACL, você descobrirá que pode fazer algumas coisas realmente loucas com ele. Ter ACLs com base no endereço IP de origem (ou nome DNS) misturado com as ACLs baseadas em usuário e baseadas em tempo é possível. O sistema ACL é realmente muito poderoso.

O Internet Explorer suporta a autenticação transparente do NTLM para o Squid (como, creio, o Chrome também). Eu não acredito que o Firefox ou o Safari tenham conseguido integrar essa funcionalidade ainda. No entanto, para clientes Windows com domínio associado usando o IE, "simplesmente funciona" de maneira transparente.

Eu usaria scripts de configuração automática de proxy em vez de tentar enviar configurações de proxy com a Diretiva de Grupo, scripts , etc. Os scripts de configuração automática de proxy são muito úteis.

    
por 27.10.2010 / 22:59
0

Se você for restringir o acesso com base na associação ao grupo, convém certificar-se de que esses grupos estejam sendo atualizados dinamicamente. Caso contrário, você ainda receberá tickets do suporte técnico e seus usuários sem o acesso adequado.

    
por 27.10.2010 / 20:58

Tags

Reduzindo o modo EVC no vSphere iptables: o que significa “--src-type LOCAL” exatamente?