大家好：
有谁了解LDAP在5512中的认证问题
需求是远程用户通过VPN验证连接内网 ,关联AD中某些指定OU（比如：mail组）的用户才可以访问，AD中用户在‘OU=mail’组中可以访问VPN，AD用户在"OU=no vpn"不可以通过VPN验证，现在情况是AD用户在"OU=no vpn"中仍然可以通过VPN验证访问内网，没达到限制需求，该如何修改？不胜感谢
下面就是我现有的配置，
ciscoasa# sh run aaa-server
aaa-server mail protocol ldap
aaa-server mail (DMZ) host 192.168.3.10
server-port 389
ldap-base-dn dc=zhimingsoft,dc=cn
ldap-scope subtree
ldap-login-password *****
ldap-login-dn cn=wwq,ou=mail,dc=zhimingsoft,dc=cn
server-type microsoft
ldap-attribute-map mail