Моя работа состоит в том, чтобы развернуть новое приложение (HR, Payroll и т. Д.) Под названием Springbrook для наших удаленных сотрудников. Приложение работает на одном из наших физических серверов (Win 2008 R2), и чтобы использовать его локально, мне пришлось подключить сетевой диск к серверу на компьютере локального сотрудника. Я создал ярлык для приложения на рабочем столе, чтобы пользователю не приходилось заходить внутрь подключенного диска и запускать его таким образом. Они просто нажимают на ярлык на рабочем столе.
Springbrook использует протокол LDAP (в нашем случае Active Directory) для аутентификации пользователя, пытающегося войти в систему с идентификатором входа, уже находящимся внутри Springbrook, поэтому, когда сеанс установлен, он требует, чтобы пользователь вошел в систему и прошел аутентификацию в домене, который, в свою очередь, устанавливает соединение с соединителем LDAP, который проверяет информацию о пользователях и разрешает им доступ.
Наш аппаратный межсетевой экран - это устройство Sonicwall TZ210. У меня есть настройка VPN на этом устройстве. На удаленном сайте на рабочей станции пользователя, который будет использовать Springbrook, я правильно настроил VPN-клиент sonicwall. На удаленной работе я могу установить соединение с нашей сетью, подключить сетевой диск и открыть страницу входа в Springbrook. Когда я ввожу учетные данные, появляется сообщение об ошибке Springbrook, в котором говорится, что я ввел неверный пароль. Это не так, потому что я знаю, что учетные данные верны.
Я связался со Спрингбруком по этому поводу, и технический специалист сказал мне, что каким-то образом аутентификация не происходит в туннеле VPN.
Ладно. Я знал это, ха-ха
Затем он сказал, что они используют Citrix для своих удаленных сотрудников. Я уверен, что у Citrix есть очень хороший инструмент WebApp, но если я смогу сделать это через VPN-туннель и сэкономить нам деньги, это было бы здорово.
Есть предложения, мои друзья-технари?
Сервер: Win 2008 R2 Firewall \ VPN: Sonicwall tz210 Домен Active Directory
Я включил LDAP в нашем брандмауэре и получил те же результаты. Это не сработало. Кроме этого, я ничего не пробовал. Удаленная рабочая станция выполняет те же «вещи», что и локальные рабочие станции, на которых работает Springbrook.
Вам необходимо запустить захват пакетов, чтобы определить, успешно ли удаленный клиент выполняет привязку LDAP. Если это так, так как вы можете отправлять имя пользователя и пароль в виде обычного текста, что упростит проверку.
Вы можете захотеть локализовать это дальше, попытавшись установить привязку LDAP с помощью такого инструмента, как LDP.exe, с удаленного VPN-клиента. Если вы не можете выполнить привязку и аутентификацию с использованием LDP так же, как приложение выполняет привязку и аутентификацию, это укажет вам правильное направление.
Кроме того, учитывая, что это не было проверено, меня не удивит, что даже если вы заставите его работать, производительность может быть чрезвычайно низкой.
Используйте Windows RRAS в качестве VPN-сервера. Затем пользователи будут аутентифицироваться в домене через VPN вместо аутентификации в SonicWall через VPN. Когда они запускают приложение, оно должно использовать учетные данные AD пользователя VPN, то есть его учетную запись AD.