取消
显示结果 
搜索替代 
您的意思是: 
cancel
14957
查看次数
0
有帮助
9
回复

ASA sslvpn 做LDAP 认证无法限制到某个ou

fortune
VIP Alumni
VIP Alumni
各位大大,最近做ASA anyconnect vpn 与ldap认证联动,认证是成功了,但是发现限制用户大具体某个OU里面是不成功的,我是想实现认证只能使用AD里面具体VPN 组里面的用户,而不是所有AD用户都可以登录。请教各位懂得指点迷津!
ASA 9.1
配置如下:
ldap attribute-map ad-map
map-name memberOf Group-Policy
map-value memberOf CN=HZ-VPN,OU=HZgroup,OU=HZ,DC=hz,DC=com sslpolicy
aaa-server LDAP protocol ldap
aaa-server LDAP (inside) host 172.16.50.250
ldap-base-dn dc=hz,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=administrator,cn=users,dc=hz,dc=com
server-type microsoft
ldap-attribute-map sslvpnlogin
aaa-server ldap2 protocol ldap
group-policy sslpolicy internal
group-policy sslpolicy attributes
vpn-tunnel-protocol ssl-client
group-lock value sslgroup
split-tunnel-policy tunnelspecified
split-tunnel-network-list value slist
tunnel-group sslgroup type remote-access
tunnel-group sslgroup general-attributes
address-pool sslpool
authentication-server-group LDAP
default-group-policy sslpolicy
1 个已接受解答

已接受的解答

xuxianda7
Spotlight
Spotlight
给你个参考:
aaa-server LDAP protocol ldap
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-base-dn DC=example,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=svc_asavpn,OU=users,OU=chi,DC=example,DC=com
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
group-policy GRPPOL-RA-VPN internal
group-policy GRPPOL-RA-VPN attributes
dns-server value 10.10.10.1
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
tunnel-group GRP-RA-VPN type remote-access
tunnel-group GRP-RA-VPN general-attributes
address-pool POOL-RA-VPN
authentication-server-group LDAP
default-group-policy NoAccess
ldap attribute-map MAP-ANYCONNECT-LOGIN
map-name memberOf Group-Policy
map-value memberOf CN=vpn_users,OU=groups,OU=chi,DC=example,DC=com GRPPOL-RA-VPN
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-attribute-map MAP-ANYCONNECT-LOGIN
还有,如果不行你可以debug 一下,命令如下:
debug ldap 255

在原帖中查看解决方案

9 条回复9

xuxianda7
Spotlight
Spotlight
给你个参考:
aaa-server LDAP protocol ldap
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-base-dn DC=example,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=svc_asavpn,OU=users,OU=chi,DC=example,DC=com
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
group-policy GRPPOL-RA-VPN internal
group-policy GRPPOL-RA-VPN attributes
dns-server value 10.10.10.1
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
tunnel-group GRP-RA-VPN type remote-access
tunnel-group GRP-RA-VPN general-attributes
address-pool POOL-RA-VPN
authentication-server-group LDAP
default-group-policy NoAccess
ldap attribute-map MAP-ANYCONNECT-LOGIN
map-name memberOf Group-Policy
map-value memberOf CN=vpn_users,OU=groups,OU=chi,DC=example,DC=com GRPPOL-RA-VPN
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-attribute-map MAP-ANYCONNECT-LOGIN
还有,如果不行你可以debug 一下,命令如下:
debug ldap 255

fortune
VIP Alumni
VIP Alumni
求指导,各位大神快快现身,这个问题测试了好多天了,还是不行!

Mansur
Spotlight
Spotlight
问题描述没太明白。也没做过类似的配置,等大神吧

huoran1234
Spotlight
Spotlight
如果只是不属于这个组就不让认证通过的话,你就去掉最后一行default-group-policy sslpolicy就行了。
当然这样是只能限制到HZgroup这个OU,如果HZ OU下面还有一个test OU的话,test OU里有一个用户test属于HZ-VPN组,这样就不行了。。需要在ldap attribute-map ad-map把所有子OU都写进去,不过也可能有简单的方法,没研究过

dml444988615
Level 1
Level 1
配置这种VPN还是用ASDM的好,命令行有点乱!

fortune
VIP Alumni
VIP Alumni
huoran1234 发表于 2016-11-19 14:38 back.gif
如果只是不属于这个组就不让认证通过的话,你就去掉最后一行default-group-policy sslpolicy就行了。
当然 ...

改了,但是改了就登录不了了,anyconnect vpn 报错 login denied , unauthorized connection mechanism, contact your administrator

fortune
VIP Alumni
VIP Alumni
大神么 快出来解救一下我!

wenwen ji
Level 1
Level 1
你可以尝试专门建个AD group组来,这个组专门组VPN使用。

renan_mao
Level 1
Level 1

我也有这个问题

入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接