Необходимо настроить сервер RADIUS для аутентификации клиента Windows на сервере Windows
У меня есть сервер, к которому у меня есть технический персонал, которому необходимо иметь доступ с использованием общих учетных данных. Однако это нарушает нашу политику безопасности (!). Мне нужно, чтобы каждый пользователь мог проходить проверку подлинности, используя свои собственные учетные данные, но рассматриваемый сервер должен входить в систему с определенным именем входа (эти два требования явно диаметрально противоположны).
Я думал, что это будет отличное приложение для сервера RADIUS. Я знаю, как настроить RADIUS для перехода из Windows -> Cisco, но я не знаю, как использовать RADIUS для аутентификации Windows -> Windows.
Можно ли это сделать? Если так, то как?
3 ответа
Поместите машину в свой домен. Оставьте вход приложения в консольную сессию. Лицензируйте его как сервер TS и позвольте им войти в систему через RDP со своими учетными записями домена.
/ edit- ОК, я этого не понял. Мое решение все еще работает - если оно находится в домене (или в домене, который доверяет вашему домену), тогда они могут проходить аутентификацию и получать доступ через CIFS/SMB или через что-либо еще, использующее аутентификацию Windows. Чтобы Windows действительно аутентифицировалась на чем-то ином, чем локальный SAM или домен, вам нужно заменить GINA, нет встроенной функциональности для выбора других источников аутентификации. это то, для чего предназначен GINA - если вы хотите использовать (или создать) другие параметры аутентификации. Насколько я знаю, MS не делает никаких других GINA. pGina говорит, что он будет работать с RADIUS, я сам им не пользовался, но знаю, что он существует довольно давно.
Хм... интересный вопрос. Быстрый гугл, я наткнулся на сообщение на форуме, которое дало мне идею.
Коммутируемая сеть, используйте вход через коммутируемую сеть для входа через VPN. Это может позволить вам отслеживать входы.
Вот сумасшедшая идея...
Пусть у техников есть свои собственные логины, но затем они запускаются как оболочка для общей учетной записи. Таким образом, логин каждой технологии может быть зарегистрирован в Event Viewer, но они по-прежнему могут получить доступ к программе-призраку под определенным логином.
Думайте об этом как о Судо Окна Гетто (ТМ).
Первый:
- Создайте логины для каждого из техников.
- Убедитесь, что вход в систему и использование привилегий регистрируется Windows.
Чтобы перейти к общему аккаунту:
- В командной строке введите:
runas /user:sharedaccount cmd(Чтобы создать командную строку в качестве общей учетной записи) - Ctrl + Alt + Delete
- Убить процесс explorer.exe
- В окне оболочки введите:
explorer.exe
Чтобы вернуться в личный кабинет технического специалиста:
- Ctrl + Alt + Delete
- Убить исследователь
- Файл -> Новая задача -> Тип:
explorer.exe-> Нажмите ОК - Нажмите на меню "Пуск", чтобы подтвердить, что оболочка вашего обозревателя работает как личный кабинет