Мне нужно выполнить аутентификацию на шлюзе удаленных рабочих столов против удаленный домен.
У нас есть внутренняя корпоративная сеть с доменом corpdomain. Дополнительно есть сеть на сайте удаленного датацентра с доменом dcdomain. Машины на dcdomain доступны через удаленный рабочий стол с помощью шлюза удаленного рабочего стола rdgateway(используя локальные учетные записи на каждой машине).
Я хочу добиться того, чтобы пользователи corpdomain могут пройти аутентификацию на шлюзе rd, используя свои corpdomain учетная запись.
Так что rdgateway должен иметь возможность аутентифицировать пользователей в удаленном домене corpdomain. Это должно быть достигнуто с минимальным влиянием на безопасность для corpdomain.
Поскольку шлюз удаленных рабочих столов не поддерживает аутентификацию RADIUS, мне на ум пришли две возможности:
dcdomain к corpdomain. Разрешить аутентификацию через WAN (если возможно, с защитой через VPN или SSL)corpdomain в dcdomain сеть. Использование одностороннего доверия между доменами. Так rdgateway может аутентифицироваться против этого RODC локально.Не будет большого количества аутентификаций, поэтому функция кэширования для аутентификации на RODC не будет иметь значения. Какой подход выбрать с точки зрения безопасности?
Есть ли альтернативы?
Я думаю, вы на правильном пути со всем, что сказали. На самом деле нет более простого способа получить тот сценарий аутентификации, который вы ищете.
Если предположить, что физическая безопасность в центре обработки данных является разумной, я думаю, что оба варианта, которые вы обрисовали, имеют примерно одинаковую уязвимость. Наличие контроллера домена только для чтения (RoDC) в центре обработки данных означает меньшую задержку при входе в систему. Вы можете запросить msDS-RevealedList значение, если RoDC скомпрометирован для определения раскрытия вашего пароля.
В идеале, если вы можете отключить протоколы NTLM и полностью использовать Kerberos, ваша уязвимость в случае перехвата трафика злоумышленником в центре обработки данных также будет минимизирована.
Если бы под вопросом была физическая безопасность центра обработки данных, я бы отключил кешированные учетные данные на всех машинах в центре обработки данных и аутентифицировал бы пользователей через VPN-соединение. Есть смысл поставить там RoDC, если кто-то может уйти с ним. Однако, если бы это было так, я бы искал другой центр обработки данных.