在用户登录时，在隧道组上切换组策略的方法是什么？

Question

我们有ASA单元，这些单元具有通过default-group-policy语句定义特定组策略的隧道组。这个初始的组策略("NOACCESS")是一种通过使用vpn-simultaneous-logins 0语句防止任何登录的策略。但是，在用户身份验证(通过RADIUS协议完成)时，组策略以某种方式更改为我们定义的少数策略之一，这取决于用户记录上设置的RADIUS "Class“属性(属性25)的值。“替换”组策略为vpn-simultaneous-logins的值设置了一个正数，然后允许用户建立最多为"n“的同时会话。

我的问题是，这是怎么做到的？(几年前，我们有一个VAR CCIE建立了这个系统，“它刚刚成功了”，所以我们当时没有记录细节，但现在我想知道.)

Answer 1

原来，这是ASA的内置功能."Cisco ASA:下一代防火墙、IPS和VPN服务，第三版“(Cisco Press，2014)，第20章：

...甚至可以从外部身份验证服务器控制用户访问和策略映射。将用户组策略名称作为RADIUS或LDAP属性传递给安全设备。通过这样做，您可以确保用户始终获得相同的策略，而不管用户连接到的隧道组名称如何。如果使用RADIUS作为身份验证和授权服务器，则可以将用户组策略名称指定为属性25 (class属性)。预将关键字OU= 至封装为类属性值。例如，如果定义了一个名为engineering的用户组策略，则可以启用属性25并指定OU=engineering作为其值。

我可以看到，在我们的RADIUS服务器，这正是我们所做的，所以，神秘解决了！