autoriser ou interdire des utilisateurs locaux ou externe

Le
sloisy
Bonjour,

Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.

Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.

J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur, mais
pour toute ma flotte d'utilisateurs locaux

Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution

Merci d'avance pour vos réponses

Cordialement
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Laurent Falguière [MVP]
Le #17683601
Bonsoir,

Il n'ya pas de solution orthodoxe pour faire ça simplement... La solution
propre est d'utiliser la passerelle TS de Windows 2008 (encapuslation de rdp
dans https) en spécifiant les utilisateurs autorisés depuis l'extérieur...

Sinon, le critère discrimant étant l'adresse ip du poste client, il faut
bidouiller un script qui remonte l'adresse du poste client (et non du
serveur) et fermer la session si elle ne correspond pas à celle du LAN...
pas top...

--
--
Laurent FALGUIERE
MVP Windows Server - Terminal Server
www.laurentfalguiere.fr
"sloisy" news:
Bonjour,

Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.

Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.

J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur,
mais
pour toute ma flotte d'utilisateurs locaux...

Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution

Merci d'avance pour vos réponses

Cordialement


Emmanuel Dreux
Le #17685701
Bonsoir,

à peu près la même réponse que mon post d'il y a quelques minutes dans ce
même forum.

Dans un script de login, récupérez l'ip du client qui se connecte.
Des outils et scripts sont disponibles, cf
http://www.brianmadden.com/forums/t/21549.aspx

Si l'ip ne correspond pas à une plage interne, alors vérifier l'appartenance
au groupe de l'utilisateur qui se connecte et lancer un logoff s'il n'est pas
dans le bon groupe.


Y'a plus qu'à...

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"sloisy" a écrit :

Bonjour,

Pour faire simple, j'ai un TSE sous 2003 qui fonctionne pour une flotte
d'utilisateurs administratifs et commerciaux, TOUS en local.

Je souhaiterais autoriser uniquement les commerciaux à accéder à mon TSE
depuis chez eux via Internet, MAIS PAS les administratifs.

J'ai redirigé le port 3389, TSE est bien accessible depuis l'exterieur, mais
pour toute ma flotte d'utilisateurs locaux...

Comment faire pour autoriser seulement certaines comptes à attaquer le TSE
depuis l'exterieur ?? je trouve vraiment pas la solution

Merci d'avance pour vos réponses

Cordialement


sloisy
Le #17689441
Merci pour vos réponses !

Alors pour TS sur 2008 j'oublie car c'est vraiment pas à l'ordre du jour...

Après quelques recherches et vos réponses, j'ai quelques pistes mais je ne
sais
plus trop vers quoi m'orienter

j'ai vu effectivement tardivement qu'il y avait possibilité de scripter au
login pour accepter ou rejeter. Je le fais d'ailleurs pour mapper, et
également pour lancer un soft d'inventoring.

Je fais la différence entre un "Login local" et un "Login TSE" avec un
fichier permanent sur le TSE testé pendant le script (méthode pas super
élégante mais ca marche bien).

Par contre, récupérer l'IP pour la tester est moyen (d'ailleurs quelle IP ?
celle locale de l'ordinateur distant?). Mais quoi qu'il en soit cette IP peux
changer d'une part, et d'autre part il peut s'agir d'un PC public par exemple.

Autre solution: j'ai trouvé un logiciel gratuit nommé 2xSecureRDP
http://www.2xsoftware.fr/securerdp/
je ne sais pas si vous connaissez, mais pas mal à 1ere vue. Après quelques
test sur un bureau à distance classique, cela fonctionne bien. Il est capable
de filtrer sur IP, nom de poste et MAC notamment.
Mais je suis moyennement satisfait encore une fois (!). Sur IP c'est bien
pour accepter les TSE locaux. Par nom de poste c'est pas mal, mais rien
n'empeche quelqu'un de nommer son poste de manière à acceder au TSE depuis
l'exterieur, et MAC adresse c'était vraiment bien (mise à part pour les PC
d'hotels) mais la MAC adresse visiblement ne transite pas avec la requette
via Internet et donc pas moyen de filtrer. De plus, les règles de filtrages
de ce soft sont moyennement fiables.

Ensuite, une autre solution qu'on m'a proposé sur un autre forum (je le dis
ca peux interresser sait-on jamais?), c'est de jouer avec 2 cartes réseaux.
je cite:
"Perso je rajouterai une 2ème carte réseau sur le serveur TS ...
Ensuite tu crées une deuxième connexion RDP que tu paramètres sur la
deuxième carte réseau ... Tu modifies la première pour pointer sur la
première ...
Tu modifies la sécurité de la premiere pour mettre tes users Local et la
sécurité de la deuxième pour le groupe externe ...
Tu modifies eventuellement le port d'écoute de la deuxième carte ex (3333 au
lieu de 3389) ... et tu peux alors rediriger le port TCP entrant 3389 de ton
FW vers l'@ ip de ta carte n°2..."
Là je dois dire que bien que je comprends globalement le concept, j'ai pas
compris grand chose dans son application précise. J'ai bien 2 cartes réseaux
mais je préfère les garder en teaming. mais ca peux être une solution de
dernier recours, je ne sais pas ce que vous en pensez.


Alors, après tout ca, j'en arrive à la conclusion suivante, la solution la
plus souple est le script mais je ne m'y connais pas beaucoup. Je ne sais
même pas quelles var. d'environnement sont mises à ma disposition.

Dans l'idéal, tant qu'à faire un script, est-il possible de:
- récupérer la MAC address, si SecureRDP arrive à récupérer la MAC en TSE
local et non en TSE externe, cela peux être une point de distinguo important
entre TSE local et TSE externe
- si la MAC address est vide, alors demander un mot de passe spécial accès
TSE externe, sinon, se connecter de manière normale
- logoff si mot de passe invalide

Pour moi la difficulté d'un tel script est de retrouver la MAC address, et
de demander un mot de passe, et d'ailleurs, script en DOS ou script en VB
(jamais fais mais c'est l'occasion)

Merci pour vos avis

Désolé pour la longueur du texte...

Cordialement
sloisy
Le #17689961
Emmanuel, en relisant ton poste,

Finalement, le plus simple est surement un script après login et tester le
groupe du user qui se connecte, et logoff s'il est pas dans le bon groupe.
(quiz de la sécurité par contre...vu qu'il y a connexion et pas refus en
amont..?)

mais petite question, l'IP que l'on récupère dans un tel script, c'est l'IP1
locale du PC distant / l'IP2 public du routeur distant / l'IP3 public du
routeur du site du TSE / l'IP4 locale du routeur du site du TSE ?

Si c'est l'IP1, elle pourrait très bien se trouver dans la plage définie sur
le site TSE... donc problème de sécurité quand même. (et dans ce cas
peut-être mieux vaut se diriger vers la récup. de la MAC?)
Sinon, c'est tout bon ya plus qu'à effectivement :)

En tout cas merci encore pour toutes ces infos !
Emmanuel Dreux
Le #17692831
Oublie une solution basée sur adresse MAC.
Au mieux tu récupéreras celle du dernier routeur, pas celle de l'utilisateur
(C'est le principe du routage).

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"sloisy" a écrit :

Merci pour vos réponses !

Alors pour TS sur 2008 j'oublie car c'est vraiment pas à l'ordre du jour...

Après quelques recherches et vos réponses, j'ai quelques pistes mais je ne
sais
plus trop vers quoi m'orienter

j'ai vu effectivement tardivement qu'il y avait possibilité de scripter au
login pour accepter ou rejeter. Je le fais d'ailleurs pour mapper, et
également pour lancer un soft d'inventoring.

Je fais la différence entre un "Login local" et un "Login TSE" avec un
fichier permanent sur le TSE testé pendant le script (méthode pas super
élégante mais ca marche bien).

Par contre, récupérer l'IP pour la tester est moyen (d'ailleurs quelle IP ?
celle locale de l'ordinateur distant?). Mais quoi qu'il en soit cette IP peux
changer d'une part, et d'autre part il peut s'agir d'un PC public par exemple.

Autre solution: j'ai trouvé un logiciel gratuit nommé 2xSecureRDP
http://www.2xsoftware.fr/securerdp/
je ne sais pas si vous connaissez, mais pas mal à 1ere vue. Après quelques
test sur un bureau à distance classique, cela fonctionne bien. Il est capable
de filtrer sur IP, nom de poste et MAC notamment.
Mais je suis moyennement satisfait encore une fois (!). Sur IP c'est bien
pour accepter les TSE locaux. Par nom de poste c'est pas mal, mais rien
n'empeche quelqu'un de nommer son poste de manière à acceder au TSE depuis
l'exterieur, et MAC adresse c'était vraiment bien (mise à part pour les PC
d'hotels) mais la MAC adresse visiblement ne transite pas avec la requette
via Internet et donc pas moyen de filtrer. De plus, les règles de filtrages
de ce soft sont moyennement fiables.

Ensuite, une autre solution qu'on m'a proposé sur un autre forum (je le dis
ca peux interresser sait-on jamais?), c'est de jouer avec 2 cartes réseaux.
je cite:
"Perso je rajouterai une 2ème carte réseau sur le serveur TS ...
Ensuite tu crées une deuxième connexion RDP que tu paramètres sur la
deuxième carte réseau ... Tu modifies la première pour pointer sur la
première ...
Tu modifies la sécurité de la premiere pour mettre tes users Local et la
sécurité de la deuxième pour le groupe externe ...
Tu modifies eventuellement le port d'écoute de la deuxième carte ex (3333 au
lieu de 3389) ... et tu peux alors rediriger le port TCP entrant 3389 de ton
FW vers l'@ ip de ta carte n°2..."
Là je dois dire que bien que je comprends globalement le concept, j'ai pas
compris grand chose dans son application précise. J'ai bien 2 cartes réseaux
mais je préfère les garder en teaming. mais ca peux être une solution de
dernier recours, je ne sais pas ce que vous en pensez.


Alors, après tout ca, j'en arrive à la conclusion suivante, la solution la
plus souple est le script mais je ne m'y connais pas beaucoup. Je ne sais
même pas quelles var. d'environnement sont mises à ma disposition.

Dans l'idéal, tant qu'à faire un script, est-il possible de:
- récupérer la MAC address, si SecureRDP arrive à récupérer la MAC en TSE
local et non en TSE externe, cela peux être une point de distinguo important
entre TSE local et TSE externe
- si la MAC address est vide, alors demander un mot de passe spécial accès
TSE externe, sinon, se connecter de manière normale
- logoff si mot de passe invalide

Pour moi la difficulté d'un tel script est de retrouver la MAC address, et
de demander un mot de passe, et d'ailleurs, script en DOS ou script en VB
(jamais fais mais c'est l'occasion)

Merci pour vos avis

Désolé pour la longueur du texte...

Cordialement



Emmanuel Dreux
Le #17693031
Justement, le premier lien propose des solutions.

La méthode la plus officielle consiste à utiliser les api TSE encapsulées
dans wtsmanager.dll. Elles permettent de récupérer dans une session TSE
l'adresse du client qui s'y est connecté. (Tu trouveras plein de scripts sur
Internet en cherchant cette dll).
Ensuite la logique est simple: Si l'IP récupérée n'est pas dans la plage
d'adresse locale, c'est que c'est de l'accès distant et tu peux appliquer ta
logique, à savoir faire uun logoff pour les users qui ne sont pas dans le bon
groupe.

Algorithme:
GetClientIPaddress.
Si adresse non locale:
Vérifie appartenance au groupe.
Si pas le bon groupe
Logoff
Fin Si
Fin si

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"sloisy" a écrit :

Emmanuel, en relisant ton poste,

Finalement, le plus simple est surement un script après login et tester le
groupe du user qui se connecte, et logoff s'il est pas dans le bon groupe.
(quiz de la sécurité par contre...vu qu'il y a connexion et pas refus en
amont..?)

mais petite question, l'IP que l'on récupère dans un tel script, c'est l'IP1
locale du PC distant / l'IP2 public du routeur distant / l'IP3 public du
routeur du site du TSE / l'IP4 locale du routeur du site du TSE ?

Si c'est l'IP1, elle pourrait très bien se trouver dans la plage définie sur
le site TSE... donc problème de sécurité quand même. (et dans ce cas
peut-être mieux vaut se diriger vers la récup. de la MAC?)
Sinon, c'est tout bon ya plus qu'à effectivement :)

En tout cas merci encore pour toutes ces infos !



sloisy
Le #17693671
Juste pour revenir avec l'adr. MAC,
Le but en soit n'était pas de connaitre la MAC, mais de savoir si on pouvait
l'obtenir. (c'est ce que SecureRDP renvoie en tout cas, en local la MAC est
renseignée et pas en externe).
Donc c'est une indication d'accès externe ou non. mais la MAC en elle même
ne servirai pas de filtrage. Bon enfin, quoi qu'il en soit j'ai rien trouvé
pour la récupérer.

Quant à la solution basée sur le filtrage IP puis tests des groupes de users.
J'ai fais quelques tests, donc avec WTSManager. le problème c'est que l'IP
récupérée est l'IP1 (dans la note précédente). C'est à dire l'IP locale de la
machine distante.
Donc le filtrage par IP me parait un peu aléatoire.

Cas de figure, sur mon AD, mes users sont de 1.2.3.10 à 1.2.3.100.
Si le PC distant a une IP locale (totalement indépendante de l'AD...) de
2.3.4.X le filtrage marchera, si par manque de bol, l'IP locale du PC externe
est 1.2.3.48
--> le script va croire que c'est un PC du site et donc... va se connecter
sans problème sans le test sur le groupe....
Même si ma plage actuelle n'est pas une plage la plus standard possible (ie
192.168.0.x), il est quand même facile de retomber dessus :(

C'est dingue qu'il n'y pas une petite information à récupérer pour savoir si
le client TSE est en dehors de l'AD ou non.

En tout cas, j'ai bien avancé grâce à vous, merci!

Cordialement
Emmanuel Dreux
Le #17710111
ça ne fera pas avancer le chmilblick mais dans vista et 2008, les
utilisateurs connectés par une liaison à distance font maintenant partie du
groupe "Ligne".

Pour ton problème il sera possible de tester l'appartenance à ce groupe pour
déterminer si c'est un accès depuis le réseau local ou par RAS/VPN.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr

"sloisy" news:
Juste pour revenir avec l'adr. MAC,
Le but en soit n'était pas de connaitre la MAC, mais de savoir si on
pouvait
l'obtenir. (c'est ce que SecureRDP renvoie en tout cas, en local la MAC
est
renseignée et pas en externe).
Donc c'est une indication d'accès externe ou non. mais la MAC en elle même
ne servirai pas de filtrage. Bon enfin, quoi qu'il en soit j'ai rien
trouvé
pour la récupérer.

Quant à la solution basée sur le filtrage IP puis tests des groupes de
users.
J'ai fais quelques tests, donc avec WTSManager. le problème c'est que l'IP
récupérée est l'IP1 (dans la note précédente). C'est à dire l'IP locale de
la
machine distante.
Donc le filtrage par IP me parait un peu aléatoire.

Cas de figure, sur mon AD, mes users sont de 1.2.3.10 à 1.2.3.100.
Si le PC distant a une IP locale (totalement indépendante de l'AD...) de
2.3.4.X le filtrage marchera, si par manque de bol, l'IP locale du PC
externe
est 1.2.3.48
--> le script va croire que c'est un PC du site et donc... va se connecter
sans problème sans le test sur le groupe....
Même si ma plage actuelle n'est pas une plage la plus standard possible
(ie
192.168.0.x), il est quand même facile de retomber dessus :(

C'est dingue qu'il n'y pas une petite information à récupérer pour savoir
si
le client TSE est en dehors de l'AD ou non.

En tout cas, j'ai bien avancé grâce à vous, merci!

Cordialement


Publicité
Poster une réponse
Anonyme