>>[оверквотинг удален]
> Включи дебаг на асе и ты увидешь что AD отдает не только
> прошла ли авторизация или нет, но и все параметры пользователя в
> том числе к какой он группе принадлежит. А аса в это
> время из всех параметров вылавливает нужный.
> Вообще вот это глянь.
> certification.ru/cgi-bin/forum.cgi?action=thread&id=37799 Читал, в субботу буду тестировать, отпишусь как прошло.
Еще возник вопрос по строке:
map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" DesktopVPNGP
DesktopVPNGP - это имя group-policy.
Дело в том, что у меня две group-policy:
group-policy VPN_POLICY internal
group-policy VPN_POLICY attributes
dns-server value 172.25.х.у 172.25.x.z
vpn-simultaneous-logins 100
vpn-idle-timeout 60
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUN
group-policy L2TP internal
group-policy L2TP attributes
dns-server value 172.25.x.y 172.25.x.z
vpn-simultaneous-logins 100
vpn-idle-timeout 60
vpn-tunnel-protocol l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUN
И соответственно 2 tunnel-group:
tunnel-group DefaultRAGroup general-attributes
address-pool VPNPOOL_
authentication-server-group DC1
default-group-policy L2TP
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool VPNPOOL
authentication-server-group DC1
default-group-policy VPN_POLICY
tunnel-group RA ipsec-attributes
pre-shared-key *
Сделано это для возможности подключение и через стандартное подключение к VPN в Windows, и для работы Cisco VPN Client. Соответственно для Windows VPN протокол l2tp-ipsec, а для Cisco VPN Client - ipsec.
Как быть в таком случае? какой group-policy указывать? или две строки делать:
map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" VPN_POLICY
map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" L2TP