背景:
vpn用户认证方式为结合域控做认证,上线后一段时间发现个别用户突然无法访问发布的资源了。
排查: 1、查看在线用户列表,发现用户不在组织架构里面,被分到了默认用户组 2、查看关于组映射的配置 3、根据用户名到域控同步过来的本地用户组里面查询,发现本地的用户名首字母为小写,而在线用户列表里面的是大写。 4、检查vpn的用户名策略,设备是区分大小写的。 5、问题原因找到:微软的AD域认证用户名是不区分大小写的,所以用户首字母大写依然可以认证成功,但是设备默认区分大小写,导致在vpn层面没有匹配到域控里面的用户,所以根据组映射的配置,被分配到了默认用户组,而默认用户组没有赋予相应的角色授权,导致该用户无法正常访问资源。
处理: VPN取消用户名区分大小写即可,用户重新登录vpn即可恢复正常。
|