У меня есть сервер, к которому у меня есть технические специалисты, которым необходимо иметь доступ с использованием общих учетных данных. Однако это нарушает нашу политику безопасности (!). Мне нужно, чтобы каждый пользователь имел возможность аутентифицироваться, используя свои собственные учетные данные, но рассматриваемый сервер должен быть авторизован с определенным логином (эти два требования явно диаметрально противоположны).
Я подумал, что это будет отличное приложение для RADIUS-сервера. Я знаю, как настроить RADIUS для перехода из Windows -> Cisco, но я понятия не имею, как использовать RADIUS для аутентификации Windows -> Windows.
Это можно сделать? Если да, то как?
Поместите машину в свой домен. Оставьте логин приложения в сеансе консоли. Лицензируйте его как сервер TS и позвольте им входить в него через RDP со своими учетными записями домена.
/редактировать- Хорошо, я этого не понял. Мое решение по-прежнему работает - если оно находится в домене (или в домене, который доверяет вашему домену), они могут аутентифицироваться и получать доступ через CIFS / SMB или что-либо еще, использующее аутентификацию Windows. Чтобы Windows действительно аутентифицировалась с помощью чего-то другого, кроме локального SAM или домена, вам необходимо заменить GINA, нет встроенных функций для выбора других источников аутентификации. для этого и предназначен GINA - если вы хотите использовать (или создать) другие параметры аутентификации. Насколько я знаю, MS не производит никаких других GINA. pGina говорит, что он будет работать с RADIUS, я сам не использовал его, но знаю, что он существует уже довольно давно.
Вот безумная идея ...
Пусть каждый технический специалист имеет свои собственные логины, но затем запускает оболочку проводника для общей учетной записи. Таким образом, логин каждой технологии может быть зарегистрирован в средстве просмотра событий, но они по-прежнему могут получить доступ к программе-призраку под конкретным логином.
Думайте об этом как о Sudo (TM) из окна гетто.
Первый:
Чтобы перейти на общую учетную запись:
runas /user:sharedaccount cmd
(Чтобы создать командную строку, работающую как общая учетная запись)explorer.exe
Чтобы вернуться в личный кабинет техника:
explorer.exe
-> Нажмите ОКХм ... интересный вопрос. Быстрый поиск в Google, я наткнулся на сообщение на форуме, которое дало мне идею.
Коммутируемый доступ к сети, используйте вход через удаленный доступ для входа через VPN. Это может позволить вам отслеживать вход в систему.