グループIDでのプロファイル/グループポリシーの振り分け方法

roguekappa · ‎2012-11-15

現在SSL-VPN、L2TP-VPN、IPSec-VPN、WebVPNを用意し、

ユーザにはそれぞれ好みのVPNを選択してもらっています。

クライアントはAnyConnect、Cisco VPN Client、Windows、Mac、iPhone標準のVPN接続です。

認証にはLDAPを使用しています。

ユーザにはグループIDが10,20,30,40,50の中から1つ割り当てられており、

認証の際にLDAPサーバから「gid: value = 10」を受け取っています。

今回、gid=30のユーザだけIPプールを別のものにしなければならなくなったのですが、

LDAP Attribute Map や DAP で実現できるものでしょうか？

現時点でプロファイルが3つ、グループポリシーが2つある状況です。

tatskoba · ‎2012-11-15

お世話になります。

gid=30 となるユーザ用のグループポリシーを作成し、そこでプールIPアドレスを別に作れば、そのグループポリシーが適用された際にそのグループポリシーのプールIPアドレスが払いだされます。

gid=30 となるユーザにそのユーザ用のグループポリシーを適用させるには、以下をご参照ください。

特定のグループポリシーへの LDAP ユーザの配置

Placing LDAP Users in a Specific Group Policy

roguekappa · ‎2012-11-16

tatskoba様、

返信ありがとうございます。

LDAP Attribute Map で Tunnnel-Group-Lock を選択していたためgid=30 以外の人が繋がらなくなってしまっていたのですが、

Group-Policy(IETF-Radius-Class)を選択したところ期待通りに動いてくれました。

本当にありがとうございました。