|
首先我简单粗暴的说一下微软AD域上OU和安全组的区别: OU类似于一个容器,域控上用户、安全组等等东东都是存放在这个容器里的,而且一个用户只能属于一个OU; 安全组类似于一个标签属性,是粘在用户身上的一个标签,一个用户可以有多个这样的标签,也就是说一个用户可以属于多个安全组。
上图是通过LDAP浏览器查看一个大型企业的组织结构,那么比如这个客户域上面有100个OU,每个OU中有100用户。需要拨入SSL-VPN的用户都分散在这100个OU里面,我们如果只是把所有域上的用户都导入到设备上就无法满足需求,而且很难大批量配置用户vpn接入权限。
这时候我们就可以借助于安全组的概念,让客户在域控上建立“VPN“接入安全组,并让所有需要有VPN权限的用户都加入这个安全组。这个操作对于域控来说很简单,并且也不需要改变组织结构。
然后我们配置LDAP认证服务器,搜索入口可以选到最大,因为我们后续会通过安全组属性过滤用户。 这样我们就只导入了带有指定安全组属性的用户到了SSL设备上。
后续也可以让客户在域控上根据权限创建多个安全组,让相应的用户加入。然后我们通过配置多个LDAP认证服务器根据不同安全组属性来过滤用户到SSL设备上的不同本地组,即可实现用户VPN接入后的权限分配。比如果域控上创建安全组A,我们就可以通过安全组A属性将用户过滤同步到vpn设备本地的组a,同理域控上创建安全组B,我们再通过安全组B将用户同步到vpn设备本地的组b,然后在设备上对a和b组分配不同的资源权限。
配置以后VPN权限问题就可以交给域控方面维护,分配权限只需要在域控上将用户加入到不同的安全组中即可,我们就不需要要去调整VPN设备了,因为设备都是根据不同安全组导入的用户。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-9-28 19:19
发表于 2020-9-25 15:14
