Je veux globaliser les accès à mes différentes machines (Windows, Linux,
Périph Cisco et APC). J'aimerai donc mettre en place un radius, ça
m'évitera de changer les mots de passe sur x machines. Je souhaite donc
utiliser une machine windows en tant que contrôleur de domaine, je pense
que ce sera le plus simple.
Sachant que toutes les machines ont une adresse IP publique, que vaut il
mieux ?
1. Mettre le serveur DNS primaire de mon réseau (qui gère près de 1000
zones), sur la machine utilisée en tant que contrôleur de domaine et
donc utiliser un domaine réel genre toto.com.
Avantage : je peux rajouter une machine en dehors de ce réseau au domaine.
Inconvénient (si s'en est un au niveau sécurité, je ne sais pas) : les
informations du domaine sont diffusées dans la zone de mon domaine et
donc intérogeable via le serveur DNS.
2. Dissocier le serveur DNS primaire de celui du contrôleur de domaine.
Toutes les machines utilisent le serveur DNS du contrôleur de domaine
sur un domaine genre toto.local. Les machines de l'extérieur tombe sur
le DNS primaire (qui gère toto.com).
Avantage, ça me permettra de sécurirer le DNS publique puisque je
pourrais couper la récursivité et donc éviter que le serveur DNS soit
ouvert.
Inconvénient, je me retrouve avec deux serveurs DNS (l'un ne gêrant que
toto.local), le domaine est indisponible depuis l'extérieur.
Quel est votre avis ? Y a t'il une autre solution ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ludovik DOPIERALA
de façon générale le nom est différent entre l'interne et l'externe.
Maintenant toi tu est sur des IP publique il te faut donc un DNS public avec les bonnes IP. Pour les équipements ils vont interroger un Radius qui est lui publique mais on peut masquer son nom par un fichier host ou mettre un enregistrement toto dans le DNS plutôt que RADIUS.
Ensuite tu peux mettre en place le serveur RADIUS sur le net comme proxy radius qui va interroger un AD interne...
-- Ludovik DOPIERALA http://www.c2points.com
Salut à tous,
Petite question qui demande forcément réponse :)
Je veux globaliser les accès à mes différentes machines (Windows, Linux, Périph Cisco et APC). J'aimerai donc mettre en place un radius, ça m'évitera de changer les mots de passe sur x machines. Je souhaite donc utiliser une machine windows en tant que contrôleur de domaine, je pense que ce sera le plus simple.
Sachant que toutes les machines ont une adresse IP publique, que vaut il mieux ?
1. Mettre le serveur DNS primaire de mon réseau (qui gère près de 1000 zones), sur la machine utilisée en tant que contrôleur de domaine et donc utiliser un domaine réel genre toto.com.
Avantage : je peux rajouter une machine en dehors de ce réseau au domaine. Inconvénient (si s'en est un au niveau sécurité, je ne sais pas) : les informations du domaine sont diffusées dans la zone de mon domaine et donc intérogeable via le serveur DNS.
2. Dissocier le serveur DNS primaire de celui du contrôleur de domaine. Toutes les machines utilisent le serveur DNS du contrôleur de domaine sur un domaine genre toto.local. Les machines de l'extérieur tombe sur le DNS primaire (qui gère toto.com).
Avantage, ça me permettra de sécurirer le DNS publique puisque je pourrais couper la récursivité et donc éviter que le serveur DNS soit ouvert. Inconvénient, je me retrouve avec deux serveurs DNS (l'un ne gêrant que toto.local), le domaine est indisponible depuis l'extérieur.
Quel est votre avis ? Y a t'il une autre solution ?
Jérôme
de façon générale le nom est différent entre l'interne et l'externe.
Maintenant toi tu est sur des IP publique il te faut donc un DNS public avec
les bonnes IP. Pour les équipements ils vont interroger un Radius qui est lui
publique mais on peut masquer son nom par un fichier host ou mettre un
enregistrement toto dans le DNS plutôt que RADIUS.
Ensuite tu peux mettre en place le serveur RADIUS sur le net comme proxy
radius qui va interroger un AD interne...
--
Ludovik DOPIERALA
http://www.c2points.com
Salut à tous,
Petite question qui demande forcément réponse :)
Je veux globaliser les accès à mes différentes machines (Windows, Linux,
Périph Cisco et APC). J'aimerai donc mettre en place un radius, ça
m'évitera de changer les mots de passe sur x machines. Je souhaite donc
utiliser une machine windows en tant que contrôleur de domaine, je pense
que ce sera le plus simple.
Sachant que toutes les machines ont une adresse IP publique, que vaut il
mieux ?
1. Mettre le serveur DNS primaire de mon réseau (qui gère près de 1000
zones), sur la machine utilisée en tant que contrôleur de domaine et
donc utiliser un domaine réel genre toto.com.
Avantage : je peux rajouter une machine en dehors de ce réseau au domaine.
Inconvénient (si s'en est un au niveau sécurité, je ne sais pas) : les
informations du domaine sont diffusées dans la zone de mon domaine et
donc intérogeable via le serveur DNS.
2. Dissocier le serveur DNS primaire de celui du contrôleur de domaine.
Toutes les machines utilisent le serveur DNS du contrôleur de domaine
sur un domaine genre toto.local. Les machines de l'extérieur tombe sur
le DNS primaire (qui gère toto.com).
Avantage, ça me permettra de sécurirer le DNS publique puisque je
pourrais couper la récursivité et donc éviter que le serveur DNS soit
ouvert.
Inconvénient, je me retrouve avec deux serveurs DNS (l'un ne gêrant que
toto.local), le domaine est indisponible depuis l'extérieur.
Quel est votre avis ? Y a t'il une autre solution ?
de façon générale le nom est différent entre l'interne et l'externe.
Maintenant toi tu est sur des IP publique il te faut donc un DNS public avec les bonnes IP. Pour les équipements ils vont interroger un Radius qui est lui publique mais on peut masquer son nom par un fichier host ou mettre un enregistrement toto dans le DNS plutôt que RADIUS.
Ensuite tu peux mettre en place le serveur RADIUS sur le net comme proxy radius qui va interroger un AD interne...
-- Ludovik DOPIERALA http://www.c2points.com
Salut à tous,
Petite question qui demande forcément réponse :)
Je veux globaliser les accès à mes différentes machines (Windows, Linux, Périph Cisco et APC). J'aimerai donc mettre en place un radius, ça m'évitera de changer les mots de passe sur x machines. Je souhaite donc utiliser une machine windows en tant que contrôleur de domaine, je pense que ce sera le plus simple.
Sachant que toutes les machines ont une adresse IP publique, que vaut il mieux ?
1. Mettre le serveur DNS primaire de mon réseau (qui gère près de 1000 zones), sur la machine utilisée en tant que contrôleur de domaine et donc utiliser un domaine réel genre toto.com.
Avantage : je peux rajouter une machine en dehors de ce réseau au domaine. Inconvénient (si s'en est un au niveau sécurité, je ne sais pas) : les informations du domaine sont diffusées dans la zone de mon domaine et donc intérogeable via le serveur DNS.
2. Dissocier le serveur DNS primaire de celui du contrôleur de domaine. Toutes les machines utilisent le serveur DNS du contrôleur de domaine sur un domaine genre toto.local. Les machines de l'extérieur tombe sur le DNS primaire (qui gère toto.com).
Avantage, ça me permettra de sécurirer le DNS publique puisque je pourrais couper la récursivité et donc éviter que le serveur DNS soit ouvert. Inconvénient, je me retrouve avec deux serveurs DNS (l'un ne gêrant que toto.local), le domaine est indisponible depuis l'extérieur.
Quel est votre avis ? Y a t'il une autre solution ?
Jérôme
llopht
Donc tu ferais plus la solution 1 ? Mais est-ce qu'il n'y a pas de risque au niveau sécu de diffuser dans un DNS publique des infos sur un contrôleur de domaine ?
Donc tu ferais plus la solution 1 ? Mais est-ce qu'il n'y a pas de
risque au niveau sécu de diffuser dans un DNS publique des infos sur un
contrôleur de domaine ?
Donc tu ferais plus la solution 1 ? Mais est-ce qu'il n'y a pas de risque au niveau sécu de diffuser dans un DNS publique des infos sur un contrôleur de domaine ?
Ludovik DOPIERALA
Heu non pour l'AD je masquerais son existance d'internet (et donc du DNS)...
pour l'authentification on a EQUIPEMENT (Internet)=> PROXY Radius (DMZ) => IAS en privé => AD (en interne)
donc pas besoin d'avoir un AD sur le net
-- Ludovik DOPIERALA http://www.c2points.com
"llopht"
Donc tu ferais plus la solution 1 ? Mais est-ce qu'il n'y a pas de risque au niveau sécu de diffuser dans un DNS publique des infos sur un contrôleur de domaine ?
Heu non pour l'AD je masquerais son existance d'internet (et donc du DNS)...
pour l'authentification on a
EQUIPEMENT (Internet)=> PROXY Radius (DMZ) => IAS en privé => AD (en interne)
donc pas besoin d'avoir un AD sur le net
--
Ludovik DOPIERALA
http://www.c2points.com
"llopht"
Donc tu ferais plus la solution 1 ? Mais est-ce qu'il n'y a pas de
risque au niveau sécu de diffuser dans un DNS publique des infos sur un
contrôleur de domaine ?
Heu non pour l'AD je masquerais son existance d'internet (et donc du DNS)...
pour l'authentification on a EQUIPEMENT (Internet)=> PROXY Radius (DMZ) => IAS en privé => AD (en interne)
donc pas besoin d'avoir un AD sur le net
-- Ludovik DOPIERALA http://www.c2points.com
"llopht"
Donc tu ferais plus la solution 1 ? Mais est-ce qu'il n'y a pas de risque au niveau sécu de diffuser dans un DNS publique des infos sur un contrôleur de domaine ?
