Спасибо всем. Идея с vpn крутилась в голове, но хотел сделать уже имеющимися средствами. Есть одна мысль, но необходим совет людей, работавших с Kerio:
- Kerio поддерживает создание «своих» кериововских пользователей. В свойствах этих пользователей есть тип их идентификации. Я обычно использую идентификацию по IP, к примеру, если IP 192.168.1.6, то это Kerio пользователь директор и т.д… Но там есть также и другой вариант. Как я предполагаю, это тип идентификации средставми Windows.
Т.е. если директор зашёл по RDP под windows-учёткой Director и своим паролем и в Kerio есть учётка с именем таким же именем Director, то текущая сессия будет считаться от имени Kerio-учётки Director.
- Если предыдущий пункт действительно работает так, как я догадываюсь, то останется только сделать Kerio пользователей с такими же именами, как Windows пользователи и создать в Kerio правило:
Name: Deny rdp users
Source: Internet //интерфейс с интернетом
Destination: Prohibited //эта группа Kerio пользователей, которым должен быть запрещён доступ по RDP из интернета. (Да, Kerio позволяет указывать в этом поле группы пользователей)
Service: RDP //определяем, к какому сервису закрыть доступ (определение идёт по порту)
Action: Deny //собственно, правило — отказать.
Таким образом, правило будет НЕ пускать по RDP из интернета пользователей, которые прошли виндовую авторизацию на сервере под своей учёткой, были автоматически сопоставлены с Kerio учёткой на основании имени пользователя и отнесены к группе Prohibited.
Осталось дождаться мнения человека, работавшего с Kerio по первому пункту: действительно ли оно таким образом работает? Надеюсь, такой человек найдётся :)
