سلام.
دوستان میخوام از تجربیاتتون استفاده کنم لطفا.
من یک سناریو دارم که به این شرحه :
یک شبکه دامین با 100 کاربر وجود داره. به لحاظ امنیت از نظر اقتصادی و فنی کاربران اجازه بیرون بردن هیچ سند، فایل و یا مدرکی از شرکت رو ندارند. حتی مهندسین ارشد شرکت بازجویی بدنی هم میشن در ورود و خروجشون. هیچ موبایل دوربین داری نباید وحود داشته باشه و از این جور داستانا. تابحال برای استفاده از اینترنت که برای کاربران اینجا خیلی هم ضروری است از یک کافی نت استفاده میشد. کاربران باید بعد از اینکه از اینترنت فایلهای مورد نظرشون رو برداشتن به مدیر شبکه اطلاع بدن و درخواست انتقال فایل های و دانلود هاشونو بدن. مدیر شبکه هم با سرپرست ها فایل هارو بررسی میکنن و درصورت تایید فایل ها رو به سیستم فرد مورد نظر اتاقال میدن. درواقع دسترسی به اینترنت به نوعی یک طرفه هست.

حالا با توجه به اضافه شدن تعداد کاربران و وقت زیادی که از کاربران میگیره برای رفتن به کافی نت، جستجو و انتقال اسناد و امتحان یک قطعه و این روال که ممکنه بارها تکرار بشه میخوام یه کار جدید انجام بدم. البته امنیت بسیار مهمه. بسیار.

کاری که انجام دادم در محیط آزمایشی اینه :
برای کاربرانی که نیاز به اینترنت دارن دو نام کاربری در اکتیو دایکتوری درست کردم. مثلا Hosseiny و Hosseiny-Net و تنظیماتی که به کاربران -net اجازه میده به اینترنت دسترسی داشته باشند اما این کاربران به شدت محدود بوده و اجازه دسترسی به هیچ منبع لوکالی رو ندارند. همه فولدرهای اصلی مثل دسکتاپ و داکیومت فوروارد شده روی شبکه و جایی که هیچ کاربری اجازه دسترسی بهش نداره. الباقی روال های انتقال فایل همه و همه سر جاشه. فقط کاربران از روی سیستم خودشون و با یک نام کاربری دوم که بهمش میگم دش نت اجازه استفاده از اینترنت دارند.

حالا مشکل اینجاست : چون در TMG از پروکسی استفاده شده کاربران در یوزر معمولی بدون اجازه به اینترنت میتونن بسیار ساده با ست کردن آدرس پروکسی و قراردادن نام کاربری و رمز یوزر دش نتشون به اینترنت دسترسی پیداکنن و این یعنی فاجعه.

چطور میتونم از طریق TMG خود گت وی رو احراض هویت کنم. بدون پروکسی. با باگ هایی که من در پروکسی دیدم قطعا امکان استفاده از پروکسی در این سناریو وجود نداره.

ممنون میشم تجربیاتتون رو در اختیارم قرار بدید.

سپاسگذارم.




موضوعات مشابه: