Aladdin E-token, AD, külsős gép, másik token login

Sziasztok!

Adott egy céges hálózat, Windows Operációs rendszerrel, Active Directory-ba léptett gépekkel, ez az alap általános felállás.

Na most van egy pár darab gépünk, amit kihelyezünk külső helyszínre, ahol egy sima publikus interneten keresztül Aladdin E-tokennel, és Cisco AnyConnect segítségével elérheti az ember a belső hálózatot.

Ez úgy működik, hogy bent még a céges hálózaton belép az ember a gépbe, a profilja létrejön, gondolom "gyorsítótárazza" (nem ismerem a pontos szakkifejezést) a profilját, így ha kimegy a géppel a külső helyszínre, akkor a korábban megadott belépési adataival bejelentkezik, majd csatlakozik az AnyConnect-el a VPN-re.

Tök jól működik minden, egy a gond, ha esetleg valaki más akarja használni ezt a gépet, hiába van ott egy másik token, hiába van jogosultsága a hálózat eléréséhez a másik embernek, mivel a VPN csak a belépett profil után csatlakozik (nyilván a VPN jelszó megadását követően) a hálózatra, ezért nem tudja lekérni az AD-ból az ember adatait.

Ez régen úgy volt megoldva, hogy a külsős gépen volt egy alap jelszó, amit ismertünk, oda beléptünk, és már lehetett is csatlakozni a VPN-re.

Aztán kitalálták, hogy csak AD-ba beléptetett gépeket lehet használni, ezért áll most fenn a fenti probléma.

Van esetleg megoldási javaslat erre a problémára azon kívül, hogy kiszedjük AD-ból a gépeket?

Hozzászólások

próbáld ki a következőt:

- belép az a felhasználó a gépbe, akinek van már profilja a gépben, majd kapcsolódik a céges hálózathoz a CISCO-val, és zárolja a gépet (tehát nem jelentkezik ki!).

- ezután a másik felhasználó (akinek nincs még profilja a gépen) belép a gépbe. (mivel a CISCO VPN nem lett megszakítva és megvan a kapcsolat az AD-val, ezért be tud lépni és felépül a profilja.)

Sajnos ez nem jött össze így!

A tokennel csatlakoztam külsős hálózatról a benti hálózatra, a benti hálózatról pingelem a TOKEN-hez tartozó ip címet, végig pingel lezárt képernyőnél is, tehát a kapcsolat nem szakad meg, folyamatos ahogy te is írtad.

A zárolt gépen "Más felhasználó" -ra nyomok, beírom a bejelentkezési adatokat, és ezt a hibaüzenetet kapom.

"Pillanatnyilag nincsenek olyan beléptető kiszolgálók, amelyek teljesíthetnék a belépési kérelmet."

Frissítve:

Közben sikerült beszélnem hálózatossal, aki szerint ez egy AD Policy lehet, hogy így nem enged belépni.

Tippnek annyit mondtak, hogy egy helyi fiókot csináljak, mint régen, aztán használja azt akinek szüksége van rá. Persze még utána kell járni, hogy ezzel kapcsolatban milyen szabályok vannak, lehet nem is engedélyezett ilyen.

- a hibaüzenet arra utal, hogy a kliens nem látja az AD (illetve a hozzá tartozó DNS-t sem éri el). Biztos, hogy jól müködik a VPN? Elérhetőek VPN-n keresztül a belső szolgáltatások, lehet jelszót változtatni a kliens gépen VPN-n keresztül? Lehet pingelni a AD domain nevet? 

- elméletileg az lmhosts fájlban be lehet állítani, hogy melyik gépen (merre) található az AD. Lehet, hogy erre felé is tapogatoznék. 

A VPN-en alapból minden tiltva van, fehér listák vannak.

A használt szolgáltatások hiba nélkül működnek.

Jelszó változtatást kipróbáltam, még sosem csináltam ott, több rendszer van, egy másik központi felületen változtatunk jelszót általában. VPN-en keresztül a jelszó változtatás sikeres, utána a benti gépen már az új jelszóval enged csak be.

Az AD domain pingelhető vpn-en keresztül, a DNS között fel van véve az ip címe, belső hálózaton ugyan ezek az ip-k vannak kitöltve.

lmhosts fájlt megnéztem, alap tartalom van csak benne kikommentelve.