- - PR -
windows2003 LANとVPNのアクセス制限について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-07-10 16:56
Windows2003にてワークグループ構成にてネットワーク構築をしています。
ASP型のVPNを導入したのですがLANでのアクセス制限と異なる制限をかける事は可能なのでしょうか? 例えば サーバー内に「社内共有」というフォルダがあるとします。 社内LANで接続している場合はフォルダ内のファイル変更・削除が可能で VPNからの接続に対しては表示のみで、変更・削除できない。 ・・・など。 さらに言えば、VPNからの接続に対しては表示できなくする事も可能でしょうか? 通常であれば、VPN側でフィルタを掛ければ出来るのでしょうが、VPNがASP型でVPNルーター等は社内に設置しておらず、サーバーとクライアントPCに専用ソフトウェアをインストールしてサーバー⇔クライアント間のVPN構成となっています。 何か良い案があればご教授ください。 [ メッセージ編集済み 編集者: run1980 編集日時 2007-07-10 16:58 ] [ メッセージ編集済み 編集者: run1980 編集日時 2007-07-10 16:58 ] | ||||||||||||
|
投稿日時: 2007-07-11 09:28
VPNは通信手段の話なので、難しいのではないでしょうか。 ワークグループ構成との事ですので、共有フォルダアクセス時に聞かれる ユーザー名とパスワードをVPNアクセス用のもの(共有フォルダに対するNTFS権限を読み取りにする 等) で検討されてみては如何でしょうか。 *クライアントのログインID,パス=サーバに登録されているログインID,パスだと効果ないですが・・・ | ||||||||||||
|
投稿日時: 2007-07-11 09:39
こんにちは。直接回答ではない内容で恐縮です。
きめ細かなアクセス制限を行いたいのであるならば、現状のワークグループ構成を AD環境に移行することを推奨します。 # ワークグループ環境ではアクセス制御で可能なことが限られます。 ASP型のVPNの認証に関する仕様が不明ですが「契約企業のLAN内に認証サーバ が設置可能」であるならば、新たにRADIUSサーバをたてて前述のADコントローラと シンクロさせれば技術的には可能だと思えます。 # 認証サーバに関しては、現在利用中のVPN提供ベンダに確認してください。 補足) 後半部分が不可能だった場合でも、AD環境にできていれば「社内LAN利用時とVPN 接続時で利用者IDを分ける」等の運用で希望内容に近いことが実現可能です。 | ||||||||||||
|
投稿日時: 2007-07-11 09:56
ご回答ありがとう御座います。
上記内容はAD環境の構成であれば、フォルダ毎に利用IDで制限を掛けれると 解釈して宜しいのでしょうか? 社内LANとVPNでの利用IDの制限をしたいのでは無く、あるフォルダに対して 社内LANからのアクセス権限とVPNからのアクセス権限を異なる設定にしたいのです。 こちらの説明ベタで申し訳ないです。 AD環境の構成で可能でしょうか? ちなみにAD環境構成にした場合、社内クライアントPCはXP HOMEも存在しますが、 クライアントPCのOSは関係なく制限できるのか気になります。 | ||||||||||||
|
投稿日時: 2007-07-11 10:05
[quote]
run1980さんの書き込み (2007-07-11 09:56) より: ご回答ありがとう御座います。
別にワークグループ構成でも制限は可能ですが、 AD環境の方がはるかに管理は容易です。 そもそも、今は何か制限かけてるんですか?
Windowsファイル共有はあくまでもユーザ・グループなどに関して 権限を与えるセキュリティモデルであり、 接続経路等で権限を使い分けるような形態ではありません。 その辺工夫次第で出来る点もありますが、 ファイル共有に限れば、「接続できる・出来ない」程度の 区分けくらいしかできないでしょう。 参照だけ許可させるために、VPNセグメントからファイルサーバへの ファイル共有接続自体をファイアウォール等で制限してしまい、 別途Webサーバ経由でそのフォルダを見せるとか、そんな構成自体はありえます。 もしくは要件自体を見直してください。
ファイル共有へのアクセス権は、投げる認証情報によって区別されますので、 クライアントOSがProfessionalでもHomeでも、制限自体は可能ですが、 HomeはADに参加できず、ADユーザアカウントでのシングルサインオン環境を 実装できないのがしんどいかもしれません。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||
|
投稿日時: 2007-07-11 10:09
AD環境へ移行すればユーザグループ単位でのアクセス制限を上手く設定する 対応で可能になります。 # 但し、XP HOMEはAD環境には参加できません(MSの仕様)ので、XP Proに # 変更する必要があります。 | ||||||||||||
|
投稿日時: 2007-07-11 12:15
ご回答有難う御座います。
やはりXP Homeが存在するとAD環境での運用は困難のようですね。 共有フォルダのアクセス制限で何とかならないかと考えていましたが、 例えばこんな事でも実現できるのでしょうか? 社内LANで使用するユーザーとVPNで使用するユーザーを別々に作成して それぞれをアクセス制限する。 「フォルダA」と、「フォルダB」があるとして、 社内LANユーザーからはフォルダAおよびフォルダBにアクセス可能 VPNユーザーはフォルダAにはアクセス可であるが、フォルダBにはアクセス不可。 このような事もAD環境でないと出来ないのでしょうか | ||||||||||||
|
投稿日時: 2007-07-11 12:31
VPNを利用するユーザが、社内で使うユーザIDを知らない状態であれば、 それでもいいかと思います。 社内ユーザが外に出てVPNを使う、ってケースでは、 VPN経由でVPN用のIDを使ってくれる保障はありませんから。
どちらでも出来ます。 単に管理しやすいかそうでないかの違いしかないです。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。