已解决: 求教AnyConnect sslvpn 怎么设置用户的权限？

wb_ww · ‎12-14-2017

本帖最后由 wb_ww 于 2017-12-16 11:57 编辑
求教AnyConnect sslvpn 怎么设置用户的权限？

比如，希望设置用户A拨入VPN之后可以访问所有内网资源，用户B拨入VPN之后只访问指定一台内网机器的3389端口!
设备是asa5505 ，用户是AAA local的用户~请教大家配置思路！！

Rockyw · ‎12-14-2017

如果是基于windows系统的话，可以通过活动目录组来设置权限看看，具体请可参考：https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/107251-cac-anyconnect-vpn-windows.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

Rockyw · ‎12-14-2017

如果是基于windows系统的话，可以通过活动目录组来设置权限看看，具体请可参考：https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/107251-cac-anyconnect-vpn-windows.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

YilinChen · ‎12-14-2017

结合ACS/RADIUS/LDAP，基于DACL实现

13nash · ‎12-14-2017

太细比较麻烦

wb_ww · ‎12-14-2017

YilinChen 发表于 2017-12-15 13:37
结合ACS/RADIUS/LDAP，基于DACL实现

能举个例子说明吗，怎么配置呀？

wb_ww · ‎12-17-2017

Rocky 发表于 2017-12-18 12:54
如果是基于windows系统的话，可以通过活动目录组来设置权限看看，具体请可参考：https://www.cisco.com/c/z ...

如果是cisco aaa local下的用户能配置吗？

938332752 · ‎12-18-2017

我记得是通过AD来设置，或者思科的ACS 或者ISE ，本身ASA 自己是没办法设置权限的

YilinChen · ‎12-18-2017

wb_ww 发表于 2017-12-18 13:11
如果是cisco aaa local下的用户能配置吗？

账号信息，在本地，还是在Raidus/LDAP 上并没有什么大的区别，
需要解决的，是如何判定用户拨入后获取到的IP地址，然后基于该IP地址通过ACL，实现访问权限的限制；

Rockyw · ‎12-18-2017

wb_ww 发表于 2017-12-18 13:11
如果是cisco aaa local下的用户能配置吗？

参考一下那文章看看

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

one-time · ‎12-24-2017

感谢您的提问，若您的问题已解决，还请标记最佳答案，来鼓励一下为您解决问题的用户吧！