Usuário com melhor resposta
Dominios distintos - Acesso sem autenticação

Pergunta
-
Amigos,
Tenho um problema, um servidor na DMZ que possui uma pasta compartilhada e outro servidor na rede local, entre eles um firewall que estabelece o acesso entre ambos, porém, preciso que esse acesso da rede local para a pasta do servidor da dmz seja realizado SEM autenticação.
Detalhe: Eles não possuem relação de confiança, são 2 domínios distintos!!!
Tem como fazer? Ou somente com relação de confiança estabelecida?
Dreyher
Respostas
-
Crie um trust relationship entre o domínio da DMZ e o domínio interno como informado anteriormente e faça a limitação de acesso para somente os objetos no AD DS que precisam acessá-lo e também em seu firewall para garantir que somente a origem necessária possa acessar o destino na DMZ via SMB e que o oposto seja bloqueado.
Como existe um firewall no meio e o acesso pode ser restrito a somente os objetos e hosts necessárias, não há problema algum e este tipo de situação é mais comum do que se imagina.
A não ser que você siga a linha de pensamento de um "pseudo profissional de TI", ou seja, liberar o acesso sem nenhuma restrição, não há má prática neste caso.
- Marcado como Resposta Thales F Quintas segunda-feira, 9 de maio de 2016 13:05
Todas as Respostas
-
A melhor solução é criar o trust entre o domínio da DMZ e o domínio PRD, mas tenha atenção que apenas é necessário um trust unidirecional, ou seja, one-way no sentido de que o domínio da DMZ deve confiar no domínio PRD e não transitiva.
Após isso, delegue apenas aos objetos que precisam acessar este compartilhamento o privilégio de acesso ao mesmo por questões de segurança.
-
Dreyher,
Se são dois domínios distintos e os mesmos não possuem relação de confiança, isso já quer dizer que um não acesso o outro por padrão. Portanto não existe autenticação neste cenário de um para o outro.
Agora tem que saber o que você realmente deseja, porque não é uma boa prática compartilhar uma pasta da DMZ para rede local ou ao contrário.
Você pode explicar com mas detalhes o proposito desta pasta compartilhada?
Fabio Gomes STS,LPI,MCP,MCTS,MCSA,MCITP,MCT Veja meus artigos no TechNet Wiki Veja meus artigos no blog http://virtualizandoaju.wordpress.com/ "Você pode, se acredita que pode."
-
-
Crie um trust relationship entre o domínio da DMZ e o domínio interno como informado anteriormente e faça a limitação de acesso para somente os objetos no AD DS que precisam acessá-lo e também em seu firewall para garantir que somente a origem necessária possa acessar o destino na DMZ via SMB e que o oposto seja bloqueado.
Como existe um firewall no meio e o acesso pode ser restrito a somente os objetos e hosts necessárias, não há problema algum e este tipo de situação é mais comum do que se imagina.
A não ser que você siga a linha de pensamento de um "pseudo profissional de TI", ou seja, liberar o acesso sem nenhuma restrição, não há má prática neste caso.
- Marcado como Resposta Thales F Quintas segunda-feira, 9 de maio de 2016 13:05