2012-11-15 05:07 PM
現在SSL-VPN、L2TP-VPN、IPSec-VPN、WebVPNを用意し、
ユーザにはそれぞれ好みのVPNを選択してもらっています。
クライアントはAnyConnect、Cisco VPN Client、Windows、Mac、iPhone標準のVPN接続です。
認証にはLDAPを使用しています。
ユーザにはグループIDが10,20,30,40,50の中から1つ割り当てられており、
認証の際にLDAPサーバから「gid: value = 10」を受け取っています。
今回、gid=30のユーザだけIPプールを別のものにしなければならなくなったのですが、
LDAP Attribute Map や DAP で実現できるものでしょうか?
現時点でプロファイルが3つ、グループポリシーが2つある状況です。
2012-11-15 09:14 PM
お世話になります。
gid=30 となるユーザ用のグループポリシーを作成し、そこでプールIPアドレスを別に作れば、そのグループポリシーが適用された際にそのグループポリシーのプールIPアドレスが払いだされます。
gid=30 となるユーザにそのユーザ用のグループポリシーを適用させるには、以下をご参照ください。
特定のグループ ポリシーへの LDAP ユーザの配置
Placing LDAP Users in a Specific Group Policy
http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/ref_extserver.html#wp1802013
2012-11-16 10:57 AM
tatskoba様、
返信ありがとうございます。
LDAP Attribute Map で Tunnnel-Group-Lock を選択していたためgid=30 以外の人が繋がらなくなってしまっていたのですが、
Group-Policy(IETF-Radius-Class)を選択したところ期待通りに動いてくれました。
本当にありがとうございました。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド