Tôi đang tìm cách thiết lập kết nối an toàn từ người dùng từ xa đến một mạng nội bộ khép kín. Tôi đã có thể kết nối máy từ xa với bộ điều khiển miền samba thông qua ứng dụng khách openvpn 2.x trước khi đăng nhập bằng cách sử dụng tác vụ đã lên lịch, vì vậy kết nối từ xa với miền đã được giải quyết.
Điều tôi cần bây giờ là biết liệu có cách nào để bộ điều khiển miền báo cho tường lửa biết rằng máy này hoặc máy kia thuộc về miền hay không và yêu cầu tường lửa sử dụng thông tin này để phân biệt xem máy chủ có thể truy cập mạng nội bộ khác hay không. Ví dụ: tôi sẽ yêu cầu máy chủ openvpn (10.0.0.2) cung cấp cho mỗi người dùng một IP dành riêng trong phạm vi 10.0.0.x để họ có thể thấy bộ điều khiển miền (10.0.0.3). Sau đó, bộ điều khiển miền thông báo cho tường lửa (10.0.0.1, cổng) liệu các máy được kết nối bằng các IP đó có được kết nối với miền hay không và do đó có an toàn để cho phép vào mạng nội bộ thông qua giao diện khác mà tường lửa được kết nối hay không, ví dụ 10.0.1 .x. Cho đến khi điều kiện đó được đáp ứng, người dùng sẽ chỉ có quyền truy cập vào "sảnh" 10.0.0.x.
Ý tưởng là ngăn người dùng từ xa chỉ đơn giản sử dụng thông tin đăng nhập và chứng chỉ vpn trên bất kỳ máy nào (các máy có khả năng không an toàn đang chạy mà chúa mới biết) để truy cập vào mạng nội bộ an toàn. Tôi đã biết về xác thực LDAP cho openvpn, nhưng theo như tôi biết thì điều đó chỉ hỏi bộ điều khiển miền xem thông tin đăng nhập x có ổn không và không kiểm tra xem máy có thực sự ở trên miền hay không.
Điều này có tồn tại không? Nó thậm chí có thể? Nó thậm chí có cần thiết không, hay tôi đang nhìn sai cách này và có một giải pháp thay thế dễ dàng hơn nhiều?
Cảm ơn trước.
