forum.opennet.ru

Составление сообщения

Исходное сообщение

"Cisco ASA 5510 + VPN + Active Directory"
Отправлено MasterClass, 31-Мрт-11 16:30

>>[оверквотинг удален]
> Включи дебаг на асе и ты увидешь что AD отдает не только
> прошла ли авторизация или нет, но и все параметры пользователя в
> том числе к какой он группе принадлежит. А аса в это
> время из всех параметров вылавливает нужный.
> Вообще вот это глянь.
> certification.ru/cgi-bin/forum.cgi?action=thread&id=37799
Читал, в субботу буду тестировать, отпишусь как прошло.
Еще возник вопрос по строке:
map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" DesktopVPNGP
DesktopVPNGP - это имя group-policy.
Дело в том, что у меня две group-policy:
group-policy VPN_POLICY internal
group-policy VPN_POLICY attributes
dns-server value 172.25.х.у 172.25.x.z
vpn-simultaneous-logins 100
vpn-idle-timeout 60
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUN
group-policy L2TP internal
group-policy L2TP attributes
dns-server value 172.25.x.y 172.25.x.z
vpn-simultaneous-logins 100
vpn-idle-timeout 60
vpn-tunnel-protocol l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUN
И соответственно 2 tunnel-group:
tunnel-group DefaultRAGroup general-attributes
address-pool VPNPOOL_
authentication-server-group DC1
default-group-policy L2TP
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool VPNPOOL
authentication-server-group DC1
default-group-policy VPN_POLICY
tunnel-group RA ipsec-attributes
pre-shared-key *
Сделано это для возможности подключение и через стандартное подключение к VPN в Windows, и для работы Cisco VPN Client. Соответственно для Windows VPN протокол l2tp-ipsec, а для Cisco VPN Client - ipsec.
Как быть в таком случае? какой group-policy указывать? или две строки делать:
map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" VPN_POLICY
map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" L2TP

Исходное сообщение
"Cisco ASA 5510 + VPN + Active Directory" Отправлено MasterClass, 31-Мрт-11 16:30
>>[оверквотинг удален] > Включи дебаг на асе и ты увидешь что AD отдает не только > прошла ли авторизация или нет, но и все параметры пользователя в > том числе к какой он группе принадлежит. А аса в это > время из всех параметров вылавливает нужный. > Вообще вот это глянь. > certification.ru/cgi-bin/forum.cgi?action=thread&id=37799 Читал, в субботу буду тестировать, отпишусь как прошло. Еще возник вопрос по строке: map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" DesktopVPNGP DesktopVPNGP - это имя group-policy. Дело в том, что у меня две group-policy: group-policy VPN_POLICY internal group-policy VPN_POLICY attributes dns-server value 172.25.х.у 172.25.x.z vpn-simultaneous-logins 100 vpn-idle-timeout 60 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLIT_TUN group-policy L2TP internal group-policy L2TP attributes dns-server value 172.25.x.y 172.25.x.z vpn-simultaneous-logins 100 vpn-idle-timeout 60 vpn-tunnel-protocol l2tp-ipsec split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLIT_TUN И соответственно 2 tunnel-group: tunnel-group DefaultRAGroup general-attributes address-pool VPNPOOL_ authentication-server-group DC1 default-group-policy L2TP tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group DefaultRAGroup ppp-attributes authentication pap no authentication chap tunnel-group RA type remote-access tunnel-group RA general-attributes address-pool VPNPOOL authentication-server-group DC1 default-group-policy VPN_POLICY tunnel-group RA ipsec-attributes pre-shared-key * Сделано это для возможности подключение и через стандартное подключение к VPN в Windows, и для работы Cisco VPN Client. Соответственно для Windows VPN протокол l2tp-ipsec, а для Cisco VPN Client - ipsec. Как быть в таком случае? какой group-policy указывать? или две строки делать: map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" VPN_POLICY map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" L2TP

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>[оверквотинг удален] >> Включи дебаг на асе и ты увидешь что AD отдает не только >> прошла ли авторизация или нет, но и все параметры пользователя в >> том числе к какой он группе принадлежит. А аса в это >> время из всех параметров вылавливает нужный. >> Вообще вот это глянь. >> certification.ru/cgi-bin/forum.cgi?action=thread&id=37799 > Читал, в субботу буду тестировать, отпишусь как прошло. > Еще возник вопрос по строке: > map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" DesktopVPNGP > DesktopVPNGP - это имя group-policy. > Дело в том, что у меня две group-policy: > group-policy VPN_POLICY internal > group-policy VPN_POLICY attributes > dns-server value 172.25.х.у 172.25.x.z > vpn-simultaneous-logins 100 > vpn-idle-timeout 60 > vpn-tunnel-protocol IPSec > split-tunnel-policy tunnelspecified > split-tunnel-network-list value SPLIT_TUN > group-policy L2TP internal > group-policy L2TP attributes > dns-server value 172.25.x.y 172.25.x.z > vpn-simultaneous-logins 100 > vpn-idle-timeout 60 > vpn-tunnel-protocol l2tp-ipsec > split-tunnel-policy tunnelspecified > split-tunnel-network-list value SPLIT_TUN > И соответственно 2 tunnel-group: > tunnel-group DefaultRAGroup general-attributes > address-pool VPNPOOL_ > authentication-server-group DC1 > default-group-policy L2TP > tunnel-group DefaultRAGroup ipsec-attributes > pre-shared-key * > tunnel-group DefaultRAGroup ppp-attributes > authentication pap > no authentication chap > tunnel-group RA type remote-access > tunnel-group RA general-attributes > address-pool VPNPOOL > authentication-server-group DC1 > default-group-policy VPN_POLICY > tunnel-group RA ipsec-attributes > pre-shared-key * > Сделано это для возможности подключение и через стандартное подключение к VPN в > Windows, и для работы Cisco VPN Client. Соответственно для Windows VPN > протокол l2tp-ipsec, а для Cisco VPN Client - ipsec. > Как быть в таком случае? какой group-policy указывать? или две строки делать: > map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" VPN_POLICY > map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" L2TP
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру