我目前正在根据计算机身份验证的组成员身份确定 VLAN/dACL 分配,并希望改为根据计算机的 OU 位置确定 VLAN/dACL 分配。我似乎无法获取 UserDN。如能提供任何有关如何实现此目的的帮助或提示,我将不胜感激。
如何使用 Aruba ClearPass 实现我想要做的事情 https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=20287
我尝试了以下操作,但调试后发现 LDAP-UserDN 为空:
if ( LDAP-UserDN =~ /(.*),OU=IRStaff,OU=Computers,DC=company,DC=net$/ ) {
update reply {
Service-Type := "Framed"
Framed-Protocol := "PPP"
Tunnel-Private-Group-Id := "10"
Tunnel-Type := "VLAN"
Tunnel-Medium-Type := "IEEE-802"
}
}
答案1
在仔细查看了 ldap 模块中的注释之后(我有多个模块来表示多个域)。我对所有模块进行了以下调整:
从
user_dn = "LDAP-UserDn"
到
user_dn = "${.:instance}-LDAP-UserDn"
之后,我能够根据计算机所在的 OU 确定要使用的 VLAN,并在虚拟服务器的后认证部分中使用以下内容
if ( &control:companynet-ldap-LDAP-UserDn =~ /(.*),OU=IRStaff,OU=Computers,DC=company,DC=net$/ ) {
update reply {
Service-Type := "Framed"
Framed-Protocol := "PPP"
Tunnel-Private-Group-Id := "10"
Tunnel-Type := "VLAN"
Tunnel-Medium-Type := "IEEE-802"
}