已解决: ASA sslvpn 做LDAP 认证无法限制到某个ou

fortune · ‎11-17-2016

各位大大，最近做ASA anyconnect vpn 与ldap认证联动，认证是成功了，但是发现限制用户大具体某个OU里面是不成功的，我是想实现认证只能使用AD里面具体VPN 组里面的用户，而不是所有AD用户都可以登录。请教各位懂得指点迷津！
ASA 9.1
配置如下：
ldap attribute-map ad-map
map-name memberOf Group-Policy
map-value memberOf CN=HZ-VPN,OU=HZgroup,OU=HZ,DC=hz,DC=com sslpolicy
aaa-server LDAP protocol ldap
aaa-server LDAP (inside) host 172.16.50.250
ldap-base-dn dc=hz,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=administrator,cn=users,dc=hz,dc=com
server-type microsoft
ldap-attribute-map sslvpnlogin
aaa-server ldap2 protocol ldap
group-policy sslpolicy internal
group-policy sslpolicy attributes
vpn-tunnel-protocol ssl-client
group-lock value sslgroup
split-tunnel-policy tunnelspecified
split-tunnel-network-list value slist
tunnel-group sslgroup type remote-access
tunnel-group sslgroup general-attributes
address-pool sslpool
authentication-server-group LDAP
default-group-policy sslpolicy

xuxianda7 · ‎11-17-2016

给你个参考：
aaa-server LDAP protocol ldap
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-base-dn DC=example,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=svc_asavpn,OU=users,OU=chi,DC=example,DC=com
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
group-policy GRPPOL-RA-VPN internal
group-policy GRPPOL-RA-VPN attributes
dns-server value 10.10.10.1
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
tunnel-group GRP-RA-VPN type remote-access
tunnel-group GRP-RA-VPN general-attributes
address-pool POOL-RA-VPN
authentication-server-group LDAP
default-group-policy NoAccess
ldap attribute-map MAP-ANYCONNECT-LOGIN
map-name memberOf Group-Policy
map-value memberOf CN=vpn_users,OU=groups,OU=chi,DC=example,DC=com GRPPOL-RA-VPN
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-attribute-map MAP-ANYCONNECT-LOGIN
还有，如果不行你可以debug 一下，命令如下：
debug ldap 255

在原帖中查看解决方案

xuxianda7 · ‎11-17-2016

给你个参考：
aaa-server LDAP protocol ldap
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-base-dn DC=example,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=svc_asavpn,OU=users,OU=chi,DC=example,DC=com
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
group-policy GRPPOL-RA-VPN internal
group-policy GRPPOL-RA-VPN attributes
dns-server value 10.10.10.1
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
tunnel-group GRP-RA-VPN type remote-access
tunnel-group GRP-RA-VPN general-attributes
address-pool POOL-RA-VPN
authentication-server-group LDAP
default-group-policy NoAccess
ldap attribute-map MAP-ANYCONNECT-LOGIN
map-name memberOf Group-Policy
map-value memberOf CN=vpn_users,OU=groups,OU=chi,DC=example,DC=com GRPPOL-RA-VPN
aaa-server LDAP (INSIDE) host 10.10.10.1
ldap-attribute-map MAP-ANYCONNECT-LOGIN
还有，如果不行你可以debug 一下，命令如下：
debug ldap 255

fortune · ‎11-17-2016

求指导，各位大神快快现身，这个问题测试了好多天了，还是不行！

Mansur · ‎11-17-2016

问题描述没太明白。也没做过类似的配置，等大神吧

huoran1234 · ‎11-18-2016

如果只是不属于这个组就不让认证通过的话，你就去掉最后一行default-group-policy sslpolicy就行了。
当然这样是只能限制到HZgroup这个OU，如果HZ OU下面还有一个test OU的话，test OU里有一个用户test属于HZ-VPN组，这样就不行了。。需要在ldap attribute-map ad-map把所有子OU都写进去，不过也可能有简单的方法，没研究过

dml444988615 · ‎11-20-2016

配置这种VPN还是用ASDM的好，命令行有点乱！

fortune · ‎11-20-2016

huoran1234 发表于 2016-11-19 14:38
如果只是不属于这个组就不让认证通过的话，你就去掉最后一行default-group-policy sslpolicy就行了。
当然 ...

改了，但是改了就登录不了了，anyconnect vpn 报错 login denied , unauthorized connection mechanism, contact your administrator

fortune · ‎11-21-2016

大神么快出来解救一下我！

wenwen ji · ‎12-20-2016

你可以尝试专门建个AD group组来，这个组专门组VPN使用。

renan_mao · ‎01-23-2022

我也有这个问题