请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 379|回复: 8

ASA sslvpn 做LDAP 认证无法限制到某个ou

[复制链接]
发表于 2016-11-18 14:53:35 | 显示全部楼层 |阅读模式
10可用金钱
各位大大,最近做ASA anyconnect vpn 与ldap认证联动,认证是成功了,但是发现限制用户大具体某个OU里面是不成功的,我是想实现认证只能使用AD里面具体VPN 组里面的用户,而不是所有AD用户都可以登录。请教各位懂得指点迷津!
ASA 9.1

配置如下:
ldap attribute-map ad-map
  map-name  memberOf Group-Policy
  map-value memberOf CN=HZ-VPN,OU=HZgroup,OU=HZ,DC=hz,DC=com sslpolicy

aaa-server LDAP protocol ldap
aaa-server LDAP (inside) host 172.16.50.250
ldap-base-dn dc=hz,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=administrator,cn=users,dc=hz,dc=com
server-type microsoft
ldap-attribute-map sslvpnlogin
aaa-server ldap2 protocol ldap

group-policy sslpolicy internal
group-policy sslpolicy attributes
vpn-tunnel-protocol ssl-client
group-lock value sslgroup
split-tunnel-policy tunnelspecified
split-tunnel-network-list value slist


tunnel-group sslgroup type remote-access
tunnel-group sslgroup general-attributes
address-pool sslpool
authentication-server-group LDAP
default-group-policy sslpolicy





最佳答案

查看完整内容

给你个参考: aaa-server LDAP protocol ldap aaa-server LDAP (INSIDE) host 10.10.10.1 ldap-base-dn DC=example,DC=com ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password ***** ldap-login-dn CN=svc_asavpn,OU=users,OU=chi,DC=example,DC=com group-policy NoAccess internal group-policy NoAccess attributes vpn-simultaneous-logins 0 group-policy GRPPOL-RA-VPN in ...
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-18 14:53:36 | 显示全部楼层
给你个参考:
aaa-server LDAP protocol ldap
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-base-dn DC=example,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=svc_asavpn,OU=users,OU=chi,DC=example,DC=com

group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0

group-policy GRPPOL-RA-VPN internal
group-policy GRPPOL-RA-VPN attributes
dns-server value 10.10.10.1
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client

tunnel-group GRP-RA-VPN type remote-access
tunnel-group GRP-RA-VPN general-attributes
address-pool POOL-RA-VPN
authentication-server-group LDAP
default-group-policy NoAccess

ldap attribute-map MAP-ANYCONNECT-LOGIN
  map-name  memberOf Group-Policy
  map-value memberOf CN=vpn_users,OU=groups,OU=chi,DC=example,DC=com GRPPOL-RA-VPN

aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-attribute-map MAP-ANYCONNECT-LOGIN



还有,如果不行你可以debug 一下,命令如下:
debug ldap 255
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-18 15:11:51 | 显示全部楼层
  求指导,各位大神快快现身,这个问题测试了好多天了,还是不行!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-18 15:57:40 | 显示全部楼层
问题描述没太明白。也没做过类似的配置,等大神吧
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-19 14:38:20 | 显示全部楼层
如果只是不属于这个组就不让认证通过的话,你就去掉最后一行default-group-policy sslpolicy就行了。
当然这样是只能限制到HZgroup这个OU,如果HZ OU下面还有一个test OU的话,test OU里有一个用户test属于HZ-VPN组,这样就不行了。。需要在ldap attribute-map ad-map把所有子OU都写进去,不过也可能有简单的方法,没研究过
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-11-20 16:17:54 | 显示全部楼层
配置这种VPN还是用ASDM的好,命令行有点乱!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-21 12:08:00 | 显示全部楼层
huoran1234 发表于 2016-11-19 14:38
如果只是不属于这个组就不让认证通过的话,你就去掉最后一行default-group-policy sslpolicy就行了。
当然 ...

改了,但是改了就登录不了了,anyconnect vpn 报错 login denied , unauthorized connection mechanism, contact your administrator
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2016-11-22 08:46:45 | 显示全部楼层
大神么 快出来解救一下我!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2016-12-20 16:22:56 | 显示全部楼层
你可以尝试专门建个AD group组来,这个组专门组VPN使用。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-2-24 08:14 , Processed in 0.097165 second(s), 50 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表