Cześć
Udało mi się uruchomić SSL VPN na routerze 2921 z IOS 15.5(3)M2 z autoryzacją kontem z serwera LDAP.
Problem jest w tym, że dostęp do VPN mają wszyscy użytkownicy z katalogu, a muszę to ograniczyć.
Konta użytkowników nie mają atrybutu memberOf
Mapuję atrybut employeeType na user-vpn-group
W jaki sposób można filtrować użytkowników na podstawie atrybutu aaa user-vpn-group?
SSL VPN z autoryzacją z LDAP
Na razie znalazłem takie rozwiązanie:
W atrybucie LDAP employeeType wpisuję nazwę: VPN
Dodaję mapę atrybutów:
następnie w sekcji webvpn context dodaje
z odpowiednią konfiguracją usługi
oraz pustą
ustawiam domyślną grupę dla webvpn context
Każdy użytkownik, który ma ustawiony w LDAP atrybut employeeType na VPN ma dostęp do usługi SSLVPN
W pozostałych przypadkach, użytkownik może się zalogować na stronie SSLVPN, ale nie ma dostępnych żadnych opcji połączenia. Również logowanie klientem VPN kończy się niepowodzeniem.
Nie jest idealnie, ale nie mam innego pomysłu :/
W atrybucie LDAP employeeType wpisuję nazwę: VPN
Dodaję mapę atrybutów:
Kod: Zaznacz cały
ldap attribute-map ldap2cisco
map type uid username
map type employeeType user-vpn-group
Kod: Zaznacz cały
policy group VPN
oraz pustą
Kod: Zaznacz cały
policy group noServices
Kod: Zaznacz cały
default-group-policy noServices
Każdy użytkownik, który ma ustawiony w LDAP atrybut employeeType na VPN ma dostęp do usługi SSLVPN
W pozostałych przypadkach, użytkownik może się zalogować na stronie SSLVPN, ale nie ma dostępnych żadnych opcji połączenia. Również logowanie klientem VPN kończy się niepowodzeniem.
Nie jest idealnie, ale nie mam innego pomysłu :/