3 votes

jhaar avatar

Comment restreindre le compte Active Directory pour PEAP/non-CIFS uniquement ?

Demandé el 30 de Juillet, 2014
Quand la question a-t-elle été
393 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons quelques téléphones voip que nous voulons intégrer dans notre réseau WiFi PEAP, et je suis préoccupé par la création d'un compte AD standard et son utilisation. Si quelqu'un mettait la main sur les informations d'identification de ce compte à long terme, il pourrait les utiliser pour se connecter aux hôtes et accéder aux ressources du réseau.

Il existe quelques options de politique/réglage pour verrouiller l'accès local, mais elles ne s'appliquent pas à l'accès au réseau. Par exemple, l'option "Log On To" vous permet de limiter les machines auxquelles un compte peut accéder, mais un point d'accès WiFi communiquant avec un NPS/un contrôleur de domaine semble utiliser l'hôte "" - c'est-à-dire qu'il ne définit pas cette variable. L'ensemble de cette solution ne semble fonctionner que contre les ordinateurs Windows membres du domaine - elle ne serait donc pas utile si l'utilisateur venait d'un système Unix/Mac par exemple (ou PEAP bien sûr).

Cette question peut être étendue à une question plus générale sur la façon d'utiliser Active Directory pour l'authentification non-Windows (par exemple LDAP). Je n'ai vu aucune réponse réelle et je crains donc que ce ne soit pas possible - mais il faut demander, n'est-ce pas ? :-)

Demandé el 30 de Juillet, 2014 par jhaar

Réponse

Trop de publicités?

1voto

DarkMoon avatar
DarkMoon Points 1019

La façon dont j'ai abordé ce problème (et je ne dis pas que c'est la "norme industrielle" ou la "meilleure pratique") a été de créer un compte unique qu'ils pourraient utiliser (comme un compte de service), de le placer dans un groupe créé juste pour cela (et utilisé dans NPS pour la correspondance de la politique), de faire de ce groupe le primaire, et de les supprimer des utilisateurs du domaine. De cette façon, même si quelqu'un réussissait à obtenir le mot de passe, il n'aurait accès qu'aux "utilisateurs authentifiés", que nous n'utilisons pas du tout.

Si nous découvrons que le compte a été compromis, il nous suffit de créer un nouveau compte avec un nouveau mot de passe, de modifier le fichier de configuration de démarrage du téléphone et, une fois que tous les téléphones ont reçu les nouveaux paramètres, de supprimer l'ancien compte.

Quant à l'utilisation d'une base de données d'utilisateurs non Active Directory, c'est possible, mais il faut ajouter un serveur RADIUS non NPS. J'ai essayé pendant un long moment de faire fonctionner un serveur Ubuntu avec FreeRadius, mais cela a fini par prendre trop de temps pour apprendre à l'intégrer correctement, alors je suis revenu à NPS. NPS permet de spécifier que pour des critères donnés, il doit transmettre la requête à un serveur RADIUS externe, donc c'est tout à fait possible.

Répondu el 30 de Juillet, 2014 par DarkMoon (1019 Points )

0 votes

Avatar de jhaar

Cela ne fonctionne pas vraiment dans mon scénario. Votre commentaire sur la suppression des "utilisateurs du domaine" est juste - mais en réalité, je doute que vous puissiez garantir que chaque ordinateur de votre réseau soit configuré de telle sorte que les "utilisateurs du domaine" soient une exigence minimale (je sais que je ne le peux certainement pas). Ce que je cherche vraiment, c'est une sorte de drapeau/police de compte qui bloque l'accès CIFS sans avoir d'impact sur l'authentification NPS. Je comprends que ce n'est peut-être pas faisable ;-)

Commenté el 30 de Juillet, 2014 par jhaar

0 votes

Avatar de DarkMoon

Je ne suis pas sûr de ce que vous voulez dire par ""Utilisateurs du domaine" est une exigence minimale" ? Si vous voulez dire l'ouverture de session, alors a) chaque ordinateur qui est joint au domaine obtient des utilisateurs du domaine ajoutés au groupe d'utilisateurs locaux, b) GPO peut faire respecter cela afin qu'il ne puisse pas être supprimé, et c) je ne suis pas sûr de ce que cela a à voir avec cela ? Pouvez-vous clarifier cela ? J'espère alors pouvoir y répondre :-) Sinon, pour refuser l'accès, vous devez soit a) ajouter un refus explicite à chaque partage que vous souhaitez protéger, soit b) définir un GPO pour refuser l'accès via le réseau .

Commenté el 30 de Juillet, 2014 par DarkMoon

0 votes

Avatar de jhaar

Vous avez dit que s'ils n'étaient pas dans "Domain Users", ils n'auraient pas accès, je dis que je ne peux pas contrôler cela : Je veux juste un compte AD qui ne peut être utilisé que pour l'authentification RADIUS - c'est-à-dire qu'il ne peut pas être utilisé pour se connecter à des PC, accéder à des partages CIFS, etc. Votre GPO pourrait faire l'affaire - "Refuser l'accès à cet ordinateur depuis le réseau" pourrait faire l'affaire : évidemment, je devrais appliquer la politique à chaque ordinateur du domaine afin de bloquer ce seul compte. Apparemment, la même politique est déjà appliquée à "Guest" - je me demande si je peux ajouter un compte Guest distinct (avec un mot de passe)

Commenté el 31 de Juillet, 2014 par jhaar
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X