问题描述
USG6390部署 SSL VPN AD认证,认证成功用户所属组为什么不一致?
备注:yfju@xx.com所属组是/xx.com/xx_users/it事业部。
当角色直接关联yfju@xx.com,用户活动日志yfju@xx.com用户登录成功所属组是/default组。
在线用户日志,显示所属组为/xx.com/xx_users/it事业部
当角色关联“/xx.com/xx_users/it事业部”时,yfju@xx.com在线用户和用户活动日志所属组一致,都为/xx.com/xx_users/it事业部。
解决方案
用户拨号SSL VPN登录,角色直接绑定用户yfju@xx.com,在线用户列表中,用户所属组是正确的;而在用户活动日志中,
所属组是/default也是正确的。因为在SSL VPN服务器认证场景下,用户的权限就只取决于直接父组关联的角色;所以,当角色关联
“/xx.com/xx_users/it事业部”时,该组下的用户登录SSL VPN匹配角色时,就能命中父组所关联的角色,获取该角色已开启特性的
权限,用户活动日志所属组为“/xx.com/xx_users/it事业部”;如果没有角色关联该组,组下的用户登录SSL VPN,就会使用/default组,
命中/default组关联的/default角色,用户活动日志所属组为/default。
本文链接:https://www.kinber.cn/post/2512.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝: