[ sarmudin @ 01.04.2022. 08:06 ] @
Ima li neko iskustva sa Mikotik VPN-om koji radi autentikaciju preko AD-a.
Složio sam Raduis na obe strane i spajanje putem AD Login-a radi, ali naiša sam na problem ograničavanja pristupa.
Koliko sam vidio na webu postoji mogućnost da user prenese Access List member putem Attributa na AD-u ali nigdje nemogu nać ništa detaljnije, pa me zanima može li me neko uputit u kojem smjeru tražit.
I još bolje postoji li mogućnost da se putem atributa prenese ime grupe pa imam firewall rule-ove na razini grupa sa AD-a?
[ valjan @ 01.04.2022. 14:05 ] @
Ja sam kod mene u firmi podesio AD autentifikaciju za Mikrotik VPN, ali ne shvatam iz pitanja šta tačno želiš da ograničiš...
[ sarmudin @ 04.04.2022. 11:47 ] @
Pristup serverima / mrezama, da ne mogu svi svugdje iz VPN-a
[ valjan @ 06.04.2022. 15:14 ] @
Pa ne znam zašto bih pristup serverima regulisao preko pravila na ruteru kada je sasvim dovoljno da ograničiš pristup resursima preko ACL-a, za RDP se mogu podesiti grupe koje imaju pristup i globalno i za svaki server pojedinačno (a mogu se i serveri grupisati, kako ti volja), za deljene foldere i printere takođe, nikakav problem što ga on vidi na mreži i može da ga pinga, neće moći da mu priđe sa svojim nalogom dokle god ne dobije eksplicitnu dozvolu. A za pristup mrežama jednostavno odrediš određeni opseg VPN korisnicima na DHCP-u i tom segmentu zabraniš rutiranje i rešen problem, zašto bi još dodatno sve komplikovao proverom AD-a, osim ako nekim korisnicima treba pristup a drugima ne, ali i onda možeš da kreiraš dve grupe korisnika i jednima dodeliš adrese iz jednog opsega a drugima iz drugog...
[ bachi @ 07.04.2022. 07:58 ] @
To je sad moderno valjane i zove se layered security.
[ valjan @ 08.04.2022. 12:38 ] @
Eh ta današnja omladina, samo komplikuju stvari :-)
[ sdurut @ 08.04.2022. 13:08 ] @
Na mikrotiku bi za određenog vpn usera stavio poseban adresni opseg. Na firewallu bi podesio sa kojeg opsega ima prestup kojim serverima i gotovo.