CCIE.pl

Mam takie pytanko do specjalistów w zakresie Cisco FirePower.
Szukam materiałów/podpowiedzi jak wykonać następującą rzecz:
Dostęp przez AnyConnect dla dwóch profili VPN na FirePower - to już działa.
Każdy z tych profili VPN ma mieć ograniczenia co do grup ludzi pobieranych z Active Directory, którzy mogą się do nich łączyć. Jak ktoś jest w grupie "A" to może wybrać profil VPN_A i się podłączyć, jeśli ktoś jest w grupie "B" na AD, nie podłącza się do danego VPN_A.

Czy coś takiego jest do osiągnięcia? Jak na razie wiem jak wskazać "Realm" na którym sprawdzam przynależność do konkretnej grupy. Jednak jeśli wszyscy są w tej jednej grupie to mogą się łączyć do wszystkich profili. Mam też dostępnego Radiusa na Windows - jak by co
Jakieś porady? Linki gdzie szukać?

Z góry dzięki

Hej,
mozesz uzyc radiusa jako authorization server i wtedy z niego pchac po uwierzytelnieniu via AD konkretna grupe w profilu polaczenia. Jako ze info z radiusa nadpisze to co nawet sobie ktos wybral lub defaultowe ustawienia, to bedzie to obowiazywalo po poprawnej autoryzacji. Radius powienien zwrocic parametr Group-Policy. Natomiast dalej majac ta czesc ukladanki zrobiona, konfigurujesz odpowiednio ACP na podstawie grup AD. Ponadto mozesz dla "jasnosci" wykorzystac rozne pule adresowe IPv4 dla konkretnych grup, co ulatwi kontrole oraz poprawi przejrzystosc definicji regul ACP.
Mam nadzieje, ze poprawnie zrozumialem twoj "problem". Wiecej do poczytania tu: https://www.cisco.com/c/en/us/td/docs/s ... gy_zcd_5gb

Pozdruffka!

Dzięki - popatrzę.

Hej,
podbiję temat ale trochę z innym zapytaniem;)

mają ASA/FTD i NPS..
czy jest opcja zrobienia tak że:

jest dwie grupy w AD(i użytkownik należy do obu). i teraz jeśli wybierze grupę niżej (z profili połączeń) do do niej się zaloguje a nie do tej pierwszej...(zaznaczam, że user należy do obu grup w NPS to kolejność nie ma znaczenia).