FAQ--USG6390部署 SSL VPN AD认证,认证成功用户所属组为什么不一致?

发布时间:  2017-03-13 浏览次数:  173 下载次数:  0
问题描述
USG6390部署 SSL VPN AD认证,认证成功用户所属组为什么不一致?

备注:yfju@xx.com所属组是/xx.com/xx_users/it事业部。

当角色直接关联yfju@xx.com,用户活动日志yfju@xx.com用户登录成功所属组是/default组。


在线用户日志,显示所属组为/xx.com/xx_users/it事业部

当角色关联“/xx.com/xx_users/it事业部”时,yfju@xx.com在线用户和用户活动日志所属组一致,都为/xx.com/xx_users/it事业部


解决方案
用户拨号SSL VPN登录,角色直接绑定用户yfju@xx.com,在线用户列表中,用户所属组是正确的;而在用户活动日志中,
所属组是/default也是正确的。因为在SSL VPN服务器认证场景下,用户的权限就只取决于直接父组关联的角色;所以,当角色关联
“/xx.com/xx_users/it事业部”时,该组下的用户登录SSL VPN匹配角色时,就能命中父组所关联的角色,获取该角色已开启特性的
权限,用户活动日志所属组为“/xx.com/xx_users/it事业部”;如果没有角色关联该组,组下的用户登录SSL VPN,就会使用/default组
命中/default组关联的/default角色,用户活动日志所属组为/default。

END