IPSec, isolation de domaine, kerberos+ machines hors domaine

[ash08]

Bonjour à tous,
je cherche à empécher l'accès aux serveurs du domaine Windows par des machines ne fesant pas partie du domaine. Je voudrais être certain que des utilisateurs ne puisse pas utiliser leur compte utilisateur du domaine sur des machines hors domaine.

Je sais que IPSec et le Certificate Service de Windows 2003 permettent de délivrer des certificats machines uniquement aux machines du domaine et que par conséquent ca marche.

Néanmoins, je me demandais si quelqu'un sait si une authentification Keberos en ferait autant ? Même après avoir parcouru un bon paquet de docs je ne suis pas sur que ca marche...

[Koj]

Fait des VLAN ou authentification 802.1x.
Sinon ya la quarantaine...

Koj

[bigstyle]

Si j'ai bien compris ta problématique, l'authentification Kerberos ne répondra pas à tes besoins car un utilisateur pourra toujours s'identifier avec son compte de domaine sur le poste distant. Il ne sert pas à limiter les accès.

IPSec repond davantage à ta problématique.

[ash08]

Salut!
merci pour vos réponses.

Désolé, je n'ai pas été clair dans ma question. En fait IPSec peut utiliser 3 méthodes d'authentification : kerberos, certificats, clé prépartagée. Et dans la cas d'une mise en place d'IPSec, est ce que l'authentification Kerberos pourrait faire ca ?

Des Vlans sont déja en place, mais par exemple, est-ce qu'un utilisateur qui vient avec son PC perso, qui se branche sur une prise réseau, aura moyen de se connecter aux ressources du domaine avec son compte utilisateur du domaine avec IPSec par authentification Kerberos ? avec "run as", "net use" ou je ne sais quoi ?

[bigstyle]

Ah d'accord, oui dans ce cas tu peux utiliser le protocole Kerberos qui répond bien à ton besoin en terme de sécurité

A noter que l'authentification Kerberos ne fonctionnera que pour les postes membre de la meme forêt AD.

[ash08]

Oki merci

ouai, en fait pour l'instant on a un vlan serveur (sur lequel les serveurs discutent entre eux), un vlan admin (ou les machines des admins sont branchées et on peut seulement admnistrer depuis ce vlan les serveurs) et des vlans user. On a des serveurs UNIX dans le vlan serveur.

Pour l'instant je pensais partir sur une politique du genre :
_authentification kerberos
_sécurité requise pour tous les serveurs windows
_définir le vlan serveur comme exception au trafic IPSec
_mode client pour les postes clients (ils sont ts sous windows xp)
Ca aurait l'avantage d'être super facile à maintenir et de prendre en compte tous les systèmes.

Qu'est ce que vous en pensez ?

[bigstyle]

Oki merci

ouai, en fait pour l'instant on a un vlan serveur (sur lequel les serveurs discutent entre eux), un vlan admin (ou les machines des admins sont branchées et on peut seulement admnistrer depuis ce vlan les serveurs) et des vlans user. On a des serveurs UNIX dans le vlan serveur.

Pour l'instant je pensais partir sur une politique du genre :
_authentification kerberos
_sécurité requise pour tous les serveurs windows
_définir le vlan serveur comme exception au trafic IPSec
_mode client pour les postes clients (ils sont ts sous windows xp)
Ca aurait l'avantage d'être super facile à maintenir et de prendre en compte tous les systèmes.

Qu'est ce que vous en pensez ?

Je ne connais pas la volumétrie de ton parc, il faudra juste faire attention à ce que l'IPSec ne diminue pas tes performances lors d'accès réseau