Définir l'auth sur le domaine à partir des machines

Définir l'auth sur le domaine à partir des machines - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 18-09-2008 à 11:57:35    

Bonjour,

 

Quelles solutions sont envisageables pour n'autoriser l'authentification sur le domaine que pour des postes définis ?

 

Exemple : autoriser les users à ouvrir une session sur le domaine à partir de leur poste de travail mais pas de pouvoir accéder aux partages réseaux à partir d'un portable perso à l'aide de leur login/mdp ?

 

En gros : interdire l'accès à toutes ressources des serveurs (ad, partages, exchange, ...) pour des postes hors-domaine où ne satisfaisant pas certains critères (MAC address autorisée par exemple)

 

Merci :)


Message édité par ShonGail le 18-09-2008 à 11:59:25
Reply

Marsh Posté le 18-09-2008 à 11:57:35   

Reply

Marsh Posté le 18-09-2008 à 12:27:20    

IPsec, 802.1x ?

Reply

Marsh Posté le 18-09-2008 à 13:11:13    

Je vois que le 802.1X qui peuy faire ca. Car a partir du moment ou ils-on un accès login/password, il ont leur droit depuis n'importe quel ordi.  
 
Sinon, j'ai jamais testé, mais peut-etre au niveau des droits attribués au "computer" au lieu des groupes ou users. Ainsi opn pouurait limité l'accès uniquement au machine du domaine et pas celle qui ne sont pas intégré... A voir. Jamais essayé !


Message édité par hyperman22 le 18-09-2008 à 13:11:47
Reply

Marsh Posté le 18-09-2008 à 14:36:36    

Isolation de domaine en IPsec fait ça très bien mais c'est complexe :D

Reply

Marsh Posté le 18-09-2008 à 20:04:28    

im me semble que dans l'AD tu peux forcer un user sur un computer... à vérifier

Reply

Marsh Posté le 19-09-2008 à 11:18:50    

Filtrer sur les adresses MAC ? Tu vas t'amuser !

Reply

Marsh Posté le 19-09-2008 à 14:13:51    

Si ton domaine est geré par Active Directory (ce qui a l'air dêtre le cas), seules les machines membres du domaine peuvent se connecter.
Car dans l'AD, il faut autoriser non seulement l'utilisateur, mais aussi les machines.
 
Maintenant des machines, qui n'ont rien à faire dans le domaine, arrivent à se connecter tout de même, c'est que les règles de sécurité ont été mal faites.
En 1er lieu, voir qui est membre du groupe (je ne me souviens pas du nom exact) gérant l'entrée des machines sur le domaine et n'autoriser que des administrateurs.
Sinon vérifier que tu n'a pas une règle permettant à n'importe qui d'entrer une machine sur le domaine.
 
Aller dans l'OU computer et vérifier les postes 1 par 1.


Message édité par akabis le 19-09-2008 à 14:16:16
Reply

Marsh Posté le 19-09-2008 à 15:00:02    

Je@nb & hyperman22 : je vais m'intéresser à 802.1X. Si vous avez des infos en + dessus, je suis preneur. Merci :)
 
bartounet16 : tout à fait mais ce n'est pas ce que je recherche.
 
shinmaki : c'était un exemple. Vu que le spoof d'adresse MAC est aisé, ce n'est pas le critère auquel je m'attacherai en priorité.
 
akabis : par défaut, à moins que j'ai loupé un truc (et là un gros quand même), sur tous les domaines que j'ai installés et ceux des autres, une machine hors domaine peut ouvrir un partage sur serveur dans le domaine à partir du moment où l'user renseigne un login/mdp du domaine (et ou ce compte ou le groupe auquel il appartient est autorisé à accéder au partage bien sur).
C'est justement une des choses que j'aimerai éviter.
 
C'est à dire qu'en plus d'une authentification LDAP pour accéder aux serveurs du domaine (partages, impressions, exchange, ...) il y ait une vérification que la machine de l'user est bien dans le domaine ou qu'elle possède une caractéristique précise (@MAC, certificat, etc.)

Reply

Marsh Posté le 19-09-2008 à 16:03:11    


voir sur le technet mais je suis sure de ce que j'avance.
Par defaut, une machine non déclaré (et donc non autorisée) dans l'AD ne peut obtenir un ticket de la part du DC et donc se connecter au domaine.


Message édité par akabis le 19-09-2008 à 16:05:49
Reply

Marsh Posté le 19-09-2008 à 16:04:54    

NTLM est là :d

Reply

Marsh Posté le 19-09-2008 à 16:04:54   

Reply

Marsh Posté le 19-09-2008 à 16:10:58    

pour s'identifier dans l'AD il faut un compte user valide + une machine autorisée sur le domaine.
 
Pb de droit sur l'AD par un mauvais parametrage
 
Je vous renvoie au technet ou au MOC


Message édité par akabis le 19-09-2008 à 16:11:40
Reply

Marsh Posté le 19-09-2008 à 16:18:56    

On parle pas de s'authentifier dans l'AD (logon interactif).

 

Essaie ce que dit Shongail et tu verras ça marche (et heuresement dans mon cas), si ça t'enchante vraiment amuse toi à décortiquer ce qui se passe


Message édité par Je@nb le 19-09-2008 à 16:19:16
Reply

Marsh Posté le 01-09-2014 à 09:03:48    

Bonjour,
 
Je voudrais savoir si vous aviez trouvé une solution à votre problème car je voudrais également éviter une connexion à partir d'une machine hors domaine?  
 
Merci d'avance.

Reply

Marsh Posté le 01-09-2014 à 10:34:41    

Du NAP, mais c'est très lourd et récemment déprécié par Microsoft.


Message édité par nebulios le 01-09-2014 à 14:32:51
Reply

Marsh Posté le 01-09-2014 à 11:42:42    

Et à partir des GPO? Vous n'avez rien essayé? Mon but étant d'interdire la connexion au domaine à partir des machines hors domaine. En quelque sortes un domaine isolé de l'entreprise. Ainsi un utilisateur du domaine ne pourra pas se connecter à celui-ci avec des machines hors du domaine.  
 
Je me suis aperçu qu'avec des stratégies locales on pouvait introduire cette règle mais n'es toujours pas trouvé la solution.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed