none
VPN windows server 2008

    Domanda

  • Ciao a tutti,

    avrei bisogno di permettere l'accesso tramite vpn al verificarsi contemporaneo di due condizioni.

    L'utente deve appartenere ad un certo gruppo e il computer da cui si collega deve appartenere anch'esso ad un certo gruppo.

    In altre parole vorrei che l'accesso alla vpn non fosse solo subordinato alla conoscenza delle credenziali di accesso ma anche all'utilizzo di uno specifico computer. Questo dovrebbe avere effettuato il join al dominio anche se, ovviamente, al momento dell'accesso alla vpn si trova all'esterno.

    Ho configurato la policy come da immagine seguente ma credo che se l'utente appartiene al gruppo stabilito sia sufficiente per permettere la connessione e la seconda condizione non venga valutata.

    In questo caso c'è un altro modo per realizzare ciò?

    Grazie

     

    mercoledì 14 novembre 2012 21:21

Risposte

  • non è proprio qualcosa di semplice ma io proverei così:

    userei NPS (Network Policy Server) per definire le condizioni di accesso tramite vpn, userei il server (il cui RAS fa da endpoint della vpn) come client radius per l'NPS, utilizzerei i certificati digitali sia per user sia per computer e poi creei la condizione come quella che hai creato tu però dentro alle condizioni di una network policy di grant. le condizioni messe dentro le network policy devono essere validate tutte perchè sia garantito l'accesso e l'appartenenza ai gruppi consentiti verrebbe valutata dalla presenza del certificato digitale.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 15 novembre 2012 12:52

Tutte le risposte

  • ho l'impressione che tu stia suggerendo una soluzione parziale di un qualcosa che, forse, può essere realizzato diversamente.

    puoi spiegare la pura esigenza senza aggiungere le tue idee sulle possibili soluzioni ?


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 15 novembre 2012 10:12
  • Ho bisogno di permettere l'accesso via VPN solo a chi appartiene ad un certo gruppo E (contemporaneamente) è loggato ad un certo pc.

    Se quella persona si collega da un pc terzo (da casa, internet caffè, etc) non dovrebbe potersi connettere.

    Ciao.

    giovedì 15 novembre 2012 12:12
  • non è proprio qualcosa di semplice ma io proverei così:

    userei NPS (Network Policy Server) per definire le condizioni di accesso tramite vpn, userei il server (il cui RAS fa da endpoint della vpn) come client radius per l'NPS, utilizzerei i certificati digitali sia per user sia per computer e poi creei la condizione come quella che hai creato tu però dentro alle condizioni di una network policy di grant. le condizioni messe dentro le network policy devono essere validate tutte perchè sia garantito l'accesso e l'appartenenza ai gruppi consentiti verrebbe valutata dalla presenza del certificato digitale.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 15 novembre 2012 12:52
  • Per creare/distribuire i certificati useresti una CA oppure parli dei certificati creati automaticamente quando un pc fa il join al dominio o un utente si autentica per la prima volta?

    giovedì 15 novembre 2012 14:42
  • userei una CA di dominio con autoenroll sia del certificato user sia del certificato computer

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 15 novembre 2012 14:58
  • Ciao Carlo,

    Il tuo thread nel Forum di Sicurezza è ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community anche condividere una soluzione tua.

    Grazie della collaborazione,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 20 novembre 2012 08:10
  • Scusate se non ho ancora risposto ma sono stato impegnato, tra l'altro proprio su questo problema con il cliente.

    Date le dimensioni molto contenute dell'infrastruttura (1 solo server e 7 client) e dato che la vpn serve solo ad un client in modo saltuario, abbiamo pensato di evitare l'adozione del protocollo sstp proprio per non dover attivare CA e aggiungere ulteriori ruoli al server.

    La vpn in questione è una pptp che dal momento della sua attivazione ha funzionato subito correttamente.

    Ho utilizzato la policy in NPS per definire un gruppo di utenti che hanno l'accesso ("vpn_client"). Da test fatti abbiamo visto che la cosa funziona: gli utenti appartenenti al gruppo vpn_client accedono, gli utenti che non appartengono vengono rifiutati.

    Dato che il pc utilizzato per accedere alla vpn è solo uno (un portatile che è parte del dominio) avevamo pensato di incrementare un poco il livello di sicurezza aggiungendo un'altra condizione, cioè una condizione "Machine groups". Abbiamo creato un gruppo "vpn_client" (global/security) al quale è stato aggiunto il pc in questione. Nella policy di grant è stata aggiunta la condizione "Machine groups" e come gruppo è stato inserito "vpn_client".

    Purtroppo ad ogni tentativo di autenticazione viene restituito un errore e la connessione funziona solo rimuovendo la condizione "Machine groups".

    Riporto di seguito l'errore che sembra fare riferimento all'utente e al metodo di autenticazione usato. In realtà, rimuovendo la condizione "Machine groups" l'accesso funziona utilizzando lo stesso utente/password. Se mi confermate che per utilizzare la condizione "Machine groups" è necessario utilizzare la CA, proporrò al cliente di lasciare la configurazione com'è ora.

    Grazie e a presto.

    Log Name:      System
    Source:        RemoteAccess
    Date:          21/11/2012 17:50:52
    Event ID:      20271
    Task Category: None
    Level:         Warning
    Keywords:      Classic
    User:          N/A
    Computer:      SERVER2008.contoso.com
    Description:
    CoId={6D7DF49F-7BAF-4D73-8248-41A5B43F4946}: The user cfranceschi connected from 192.168.0.100 but failed an authentication attempt due to the following reason: The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="RemoteAccess" />
        <EventID Qualifiers="0">20271</EventID>
        <Level>3</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2012-11-21T16:50:52.000000000Z" />
        <EventRecordID>2094</EventRecordID>
        <Channel>System</Channel>
        <Computer>SERVER2008.contoso.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data>{6D7DF49F-7BAF-4D73-8248-41A5B43F4946}</Data>
        <Data>cfranceschi</Data>
        <Data>192.168.0.100</Data>
        <Data>The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.</Data>
        <Data>0x30</Data>
        <Binary>2C030000</Binary>
      </EventData>
    </Event>

    mercoledì 21 novembre 2012 17:28
  • l'appartenenza al security group di computer non può essere provata dal client usando il  solo nome computer ma deve presentare delle credenziali che possono essere il certificato o un accesso pieno come un logon al dominio. la cosa è ribadita anche qui

    http://technet.microsoft.com/en-us/library/dd314191(v=ws.10).aspx

    dove, oltre all'802.11x, si parla cneh di VPN Enforcement

    http://technet.microsoft.com/en-us/library/dd125309(v=ws.10).aspx


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 22 novembre 2012 14:14