Ответы пользователя по тегу Kerio
  • Запрет RDP для определённых пользователей с определённых IP?

    @vitalb Автор вопроса
    Спасибо всем. Идея с vpn крутилась в голове, но хотел сделать уже имеющимися средствами. Есть одна мысль, но необходим совет людей, работавших с Kerio:

    • Kerio поддерживает создание «своих» кериововских пользователей. В свойствах этих пользователей есть тип их идентификации. Я обычно использую идентификацию по IP, к примеру, если IP 192.168.1.6, то это Kerio пользователь директор и т.д… Но там есть также и другой вариант. Как я предполагаю, это тип идентификации средставми Windows.
      Т.е. если директор зашёл по RDP под windows-учёткой Director и своим паролем и в Kerio есть учётка с именем таким же именем Director, то текущая сессия будет считаться от имени Kerio-учётки Director.
    • Если предыдущий пункт действительно работает так, как я догадываюсь, то останется только сделать Kerio пользователей с такими же именами, как Windows пользователи и создать в Kerio правило:
      Name: Deny rdp users
      Source: Internet //интерфейс с интернетом
      Destination: Prohibited //эта группа Kerio пользователей, которым должен быть запрещён доступ по RDP из интернета. (Да, Kerio позволяет указывать в этом поле группы пользователей)
      Service: RDP //определяем, к какому сервису закрыть доступ (определение идёт по порту)
      Action: Deny //собственно, правило — отказать.

      Таким образом, правило будет НЕ пускать по RDP из интернета пользователей, которые прошли виндовую авторизацию на сервере под своей учёткой, были автоматически сопоставлены с Kerio учёткой на основании имени пользователя и отнесены к группе Prohibited.

    • Осталось дождаться мнения человека, работавшего с Kerio по первому пункту: действительно ли оно таким образом работает? Надеюсь, такой человек найдётся :)
    Ответ написан