|
|
PIX/ASA 7.0版本remote vpn本地授权配置详解
7.0开始remote vpn就开始支持本地数据库做授权,本人感觉功能非常强大,对于买不起ACS的企业来说无非是很大的福音,可以以最少的钱办最多的事情,下面就介绍下在user属性下,可以对remote vpn做授权的命令解释,希望可以让大家在项目中充分体现ASA/PIX的优势.再次共享本人经验
LOCALdatabase配置的命令:
(config)#username collinsctk password cisco privilege 15
(config)#username collinsctk attributes
(config-username)#group-lock <保证user一定要属于特定的tunnelgroup才可以接入>
(config-username)#password-storage <允许vpn用户存储密码>
(config-username)#vpn-access-hours <这个用户vpn允许拨入的时间段,后面跟时间ACL>
(config-username)#vpn-filter <对这个用户vpn解密后的流量作访问控制>
(config-username)#vpn-framed-ip-address <为这个特定用户指定特定的vpn的ip地址>
(config-username)#vpn-group-policy <为这个用户指定隶属于那个group policy>
(config-username)#vpn-idle-timeout <这个用户vpn闲置的相对的时间>
(config-username)#vpn-session-timeout <这个用户vpn绝对的时间>
(config-username)#vpn-simultaneous-logins <定义多少用户可以同时使用这个用户登录>
(config-username)#vpn-tunnel-protocol <这个用户允许使用的vpn协议,目前仅支持ipsec和l2tp-ipsec>
其中group-lock---用户和group名字绑定,其他非这个group的用户不能用这个group名字登入
注意!!!没有配置group-lock的用户名默认可以登入到所有group里
username cisco attributes
vpn-group-policy split
group-lock value remote---tunnel group 名字
注意!!!group-lock 只有挂在username attributes下才有效
以上基本所有参数在group-pliocy中同样有,可以在tunnel-group中调用这些策略,这样就不需要对每个用户名配置属性了 |
|
IP卡
狗仔卡
发表于 2008-1-27 18:06:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡