Después de la versión V100R001C30, es posible configurar la autenticación basada en usuarios / grupos filtrados LDAP simplemente utilizando el filtro LDAP estándar dentro de la configuración de la plantilla del servidor LDAP:
En la plantilla a continuación, solo los usuarios miembros del grupo de seguridad VPN pueden conectarse a VPN:
ldap-server template LDAP_SERVER_FILTERED
ldap-server authentication XXX.XXX.XXX.XXX 389
ldap-server authentication base-dn dc=CONTOSO,dc=LOCAL
ldap-server authentication manager cn=Administrator,cn=users %$%$OOHgYqotgQV,_F"``0*TGf]T%$%$ %$%$OOHgYqotgQV,_F"``0*TGf]T%$%$
ldap-server group-filter ou
ldap-server authentication-filter (&(objectclass=*)(memberOf=cn=VPN,ou=Groups,dc=CONTOSO,dc=LOCAL))
ldap-server user-filter cn
ldap-server ip-address-filter VIP mask-filter VIPMask
ldap-server server-type ad
#
L2TP/IPSEC configuration Omitted.....
domain default
authentication-scheme ldap
ldap-server LDAP_SERVER_FILTERED
service-type access internet-access administrator-access
ip pool 0 192.168.250.2 192.168.250.254
reference user current-domain
new-user add-temporary group /default auto-import import_ldap
Es posible utilizar filtros complejos basados en el estándar LDAP. Consulte la documentación externa RFC4515 y RFC2254.
Nota: La configuración se puede usar no solo para que los usuarios de VPN accedan a la autenticación.
Saludos.