- PR -

特定のサーバのみ接続させたい

1|2 次のページへ»
投稿者投稿内容
akio
会議室デビュー日: 2007/09/20
投稿数: 5
投稿日時: 2007-09-20 17:23
皆様お世話になります。

今度、社内でプロジェクトが立ち上がり、外部の人間が常駐するのですが、これらの人間には、特定のサーバのみだけに接続出来るようにしたいと思っております。
弊社はAD構築済みで、ドメインは1個のみです。

何か、良い方法は無いでしょうか。
Kozoo
ベテラン
会議室デビュー日: 2005/11/10
投稿数: 52
お住まい・勤務地: コンクリートジャングル東京
投稿日時: 2007-09-20 17:40
引用:
akioさんの書き込み (2007-09-20 17:23) より:
今度、社内でプロジェクトが立ち上がり、外部の人間が常駐するのですが、これらの人間には、特定のサーバのみだけに接続出来るようにしたいと思っております。
弊社はAD構築済みで、ドメインは1個のみです。

環境が分からないので的外れかもしれませんが、特定のフォルダに対してとかであれば
NTFSアクセス権で絞り込むのは如何でしょうか。
WEBサービスとかまで絡んでくるなら、環境が掴めないと何とも言えないです。
akio
会議室デビュー日: 2007/09/20
投稿数: 5
投稿日時: 2007-09-20 17:58
Kozooさん、早速のご返信有難うございます。

そうですね、NTFSアクセス権での絞り込みも一案なのですが、何せ、サーバが多くって。
出来れば、ルータ等で、常駐人間パソコンIP(MAC)⇔×⇔登録外サーバIP(MAC)てな具合で
制限かけられれば良いのですが。
また、ADのグループポリシーで、こんな機能は無いでしょうかね。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-09-20 21:53
こんばんは.
引用:

akioさんの書き込み (2007-09-20 17:23) より:

今度、社内でプロジェクトが立ち上がり、外部の人間が常駐するのですが、これらの人間には、特定のサーバのみだけに接続出来るようにしたいと思っております。

常駐している外部の方々の使う PC も Active Directory に参加しているのですか?
そもそもそういった場合は firewall などで隔離するべきでしょう.
最初からちゃんと network を分けるなどして,
隔離しやすい環境にしておくことをお奨めします.
firewall ではないにしても,routing で隔離することも理屈の上では可能です.

以上,ご参考までに.
akio
会議室デビュー日: 2007/09/20
投稿数: 5
投稿日時: 2007-09-21 09:50
kazさんこんにちは

常駐する外部の方たちも、ADに参加させる予定です。
ただ、ファイルサーバは参加させてもさせなくても共用フォルダは見れちゃうので、いずれにしても意味無いかと思っとります。

う〜ん、何か簡単にフィルタリングでも出来れば良いのですが。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-09-21 10:44
引用:

ただ、ファイルサーバは参加させてもさせなくても共用フォルダは見れちゃうので、

認証情報を知っていてかつアクセス権があるか、
Guest接続を有効にしているかしないかぎりは、
フォルダの中身までは見れません。

簡単にやるもなにも、簡単にやるための前提になる環境を
整備しているわけでもなんでもないんですから。

その環境で手間かけずにやるならファイアウォール関連の
ネットワーク通信遮断で対応が無難でしょう。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-09-22 04:22
Hosts や Static Arpを使い、うそのIPやMACなどで隠蔽できますね。

Hosts:

172.16.1.128  PC_AAA #またはレコードなし


127.0.0.1  PC_AAA #


ARP:DOS窓で、
arp -s 172.16.1.128 00-00-00-00-00-00-00-00


でも、サーバーの台数が多いと、作業が大変ですね。
うそRouteでも対応できます。DOS窓で、

Route -p add 172.16.1.128 mask 255.255.255.255 172.16.1.253 metric 1

これで、253がルーティングデバイスとして存在しない場合は、通信できなくなります。
maskを広げていけば、複数のIPに対応できます。

Route -p add 172.16.1.128 mask 255.255.255.192 172.16.1.253 metric 1

これ一行で、128から191までの64台が通信できなくなります。


追記:
予算があれば、IPフィルタが書けるL2スイッチの導入などが楽ですね。

_________________
_福田太郎_

[ メッセージ編集済み 編集者: たらお 編集日時 2007-09-22 04:27 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-09-22 10:11
こんにちは.
引用:

akioさんの書き込み (2007-09-21 09:50) より:

常駐する外部の方たちも、ADに参加させる予定です。
ただ、ファイルサーバは参加させてもさせなくても共用フォルダは見れちゃうので、いずれにしても意味無いかと思っとります。

う〜ん、何か簡単にフィルタリングでも出来れば良いのですが。

基本的には Mattun 様のご指摘の通りかと.
domain controller や file server,akio 様の会社の PC を守るものとして
透過型 firewall で通信を制限して,外側に他所の PC を配置すれば良いのでは?
Active Directory に参加させることができて,
かつ特定の外側の PC を特定の守っている server に
選んで接続を許可できるでしょう.

以上,ご参考までに.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)