четверг, 21 мая 2015 г.

Match user by group from AD in ASA VPN

Группа в каталоге называется ASA_VPN. Все пользователи, находящиеся в этой группе должны проходить авторизацию на ASA при подключении AnyConnect VPN. 

На tunnel-group нужно повесть политику запрещающую доступ т.к. пользователи, не входящие в группу ASA_VPN попадут на политику tunnel-group или, в случае если для tuneel-group не установлена политика явно, попадут в политику "по умолчанию". Тем пользователям, которые находятся в ASA_VPN будет динамически присвоена политика CorpUsers (настроено в ldap attribute-map).

ldap attribute-map DOMAINNAME_DC
  map-name  memberOf Group-Policy
  map-value memberOf CN=ASA_VPN,OU=INET,OU=Service,OU=Users,OU=DOMAINNAME,DC=DOMAINNAME,DC=local CorpUsers

aaa-server LDAP_SRV_GRP (CORE) host 192.168.244.5
 ldap-base-dn OU=Users,OU=DOMAINNAME,DC=DOMAINNAME,DC=local
 ldap-attribute-map DOMAINNAME_DC

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0

group-policy CorpUsers attributes
 vpn-simultaneous-logins 3

tunnel-group Corp general-attributes
 default-group-policy NOACCESS  

1 комментарий:


  1. Thanks for sharing, nice post! Post really provice useful information!

    Giaonhan247 chuyên dịch vụ gửi quà đi mỹ cũng như gửi thuốc lá đi mỹ cùng với dịch vụ mua hàng trên pandora úc và dịch vụ mua hàng trên ebay ship về việt nam cùng với bảng giá cước phí gửi hàng đi mỹ uy tín, giá rẻ.

    ОтветитьУдалить