已解决: ASA与AD联动

renan_mao · ‎01-23-2022

各位大大，最近做ASA anyconnect vpn 与ldap认证联动，认证是成功了，但是发现限制用户是ldap-base-dn，我是想实现认证只能使用AD里面具体VPN 组里面的用户，而不是所有AD用户都可以登录。请教各位懂得指点迷津！

bo chen · ‎02-15-2022

1.在LDAP中创建一个VPN组，并在ASA中对接LDAP中的ou，举例LDAP中设置ou=vpn，ASA中配置ldap-base-dn ou=vpn

2.在VPN组中创建用户时title字段去区分VPN组中的用户组并且在ASA的ldap attribute-map中调用title字段，举例title=staff，title=manager，title=finance

3.在ASA中创建group-policy，举例group-policy staff

4.配置针对不同的group-policy指定的vpn-filter value和split-tunnel-network-list value

以上步骤都完成，就可以针对VPN中不同的group-policy指定不同的ssl vpn的访问策略。

fragranse · ‎01-28-2022

没找到办法。

你单独在Ad里面建立独立的OU和AD用户，然后 ldap-base-dn 这个这个OU下面了。

bo chen · ‎02-15-2022

1.在LDAP中创建一个VPN组，并在ASA中对接LDAP中的ou，举例LDAP中设置ou=vpn，ASA中配置ldap-base-dn ou=vpn

2.在VPN组中创建用户时title字段去区分VPN组中的用户组并且在ASA的ldap attribute-map中调用title字段，举例title=staff，title=manager，title=finance

3.在ASA中创建group-policy，举例group-policy staff

4.配置针对不同的group-policy指定的vpn-filter value和split-tunnel-network-list value

以上步骤都完成，就可以针对VPN中不同的group-policy指定不同的ssl vpn的访问策略。

renan_mao · ‎02-16-2022

bo chen，

谢谢提供的例子