我有一台 ASA 5520,正在尝试设置使用 LDAP 针对 AD 进行身份验证的远程访问 SSL VPN。在这两个指南之间:
http://theitjanitor.com/configuring-cisco-asa-vp-with-active-directory-authentication/
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00808d1a7c.shtml
我拼凑了一些至少对一个用户有用的方法。我接下来的主要问题是:我正在使用一个名为 ldp.exe 的程序通过 LDAP 导航活动目录,我可以看到我的用户所在的 OU,也可以看到各个用户的 CN 条目。我们的 AD 设置方式是,CN 条目看起来像 < 姓氏 >./ < 名字 >(例如:Smith,/ John),因为我们在 AD 中将他们的显示名称设置为姓氏逗号名字。我无法给我的 VPN 用户名 Smith,/ John 来登录 VPN。
我的问题是:是否有其他属性可以用来设置为 VPN 上的用户名?
任何帮助都将受到赞赏。
答案1
这应该可行。如果您使用 sAMAccountName 作为 ldap 命名属性,则 CN 是什么样子并不重要。sAMAccountName 应该与用户属性页中的 Windows 2000 之前的名称相同。
这是我的 ASA 中有效的 LDAP 服务器配置
aaa-server ldapserver (inside) host 1.2.3.4
server-port 3268
ldap-base-dn dc=domain,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn CN=ldapuser,OU=someou,DC=domain,DC=com
server-type microsoft