国产三级在线观看播放,国产农村妇女精品一二区,国产精品久久久,国产肥熟女视频一区二区三区,国产成人精品亚洲777人妖

由于現(xiàn)場ldap服務(wù)器中沒有對用戶進(jìn)行分組，想要在墻上用安全策略對用戶進(jìn)行訪問權(quán)限限制。

　　某測試用戶撥號成功之后，ping內(nèi)網(wǎng)通，在策略調(diào)用該用戶后，ping不通，被策略阻斷。

　　過程分析

　　下面配置僅做舉例：

　　sslvpn context中aaa domain名為ldap，在domain ldap中配置認(rèn)證

　　實際上的用戶域idendity domain 是

　　測試用戶為Alice，Bob

　　解決方法首先需要開啟用戶身份識別功能(缺省關(guān)閉)：user-identity enable

　　另外，需要修改user-identity online-user-name-match，來配置在線用戶身份識別的用戶名匹配模式。分為以下三種：缺省為Keep-original

　　keep-original：使用用戶輸入的用戶名進(jìn)行身份識別用戶賬戶匹配。例如，用戶的認(rèn)證域為abc，用戶輸入的用戶名為test@123，則使用用戶名test@123進(jìn)行身份識別用戶賬戶匹配。

　　with-domain：使用用戶的認(rèn)證域進(jìn)行身份識別用戶賬戶匹配，即將采用“用戶的純用戶名@認(rèn)證域名”格式進(jìn)行用戶賬戶匹配。例如，用戶的認(rèn)證域為abc，用戶輸入的用戶名為test@123，則使用用戶名test@abc進(jìn)行身份識別用戶賬戶匹配。

　　without-domain：不對用戶賬戶的域名進(jìn)行匹配，即使用用戶輸入的純用戶名與設(shè)備上未加入任何身份識別域的身份識別用戶賬戶進(jìn)行匹配。例如，用戶的認(rèn)證域為abc，用戶輸入的用戶名為test@123，則使用用戶名test與未加入身份識別域的用戶賬戶進(jìn)行匹配。

　　①不修改，保持為Keep-original，撥號時使用用戶名+用戶域的形式，即Alice，Bob

　　②修改為with-domain，同時修改認(rèn)證域名為，與用戶域一致，此時用Alice和Bob撥號

　　這兩種方法可以匹配上身份識別用戶，可以受到安全策略的控制。