ASA 通過域LDAP 認(rèn)證沒有吧。我公布配置并說明.aaa-server 9hoo.net protocol ldap //這里定義名字9hoo.net ，自由定義，為了識(shí)別方便，一般定義為域名，后

ASA 通過域LDAP 認(rèn)證沒有吧。我公布配置并說明.

aaa-server 9hoo.net protocol ldap //這里定義名字9hoo.net ，自由定義，為了識(shí)別方便，一般定義為域名，后面跟ldap 就是定義的協(xié)議為ldap

max-failed-attempts 2 //允許最大驗(yàn)證錯(cuò)誤2次

aaa-server 9hoo.net (inside) host 172.26.1.10 //訪問的接口是從inside 發(fā)出的，域控的IP 地址是172.26.1.10

ldap-base-dn OU=users,OU=Technology,DC=9hoo,DC=net //這個(gè)是LDAP 協(xié)議的東西，DC=net 是域的根，DC=9hoo是域，說簡(jiǎn)單些就是9hoo.net 這個(gè)域分解成的，前面的OU=Technology，OU 熟悉域的都知道是什么吧，在向下一級(jí)是OU=users，就是規(guī)定只有在這個(gè)子ou 里面的才被許可

ldap-group-base-dn DC=9hoo,DC=net //整個(gè)域?yàn)閷?duì)象

ldap-scope subtree //子樹查詢

ldap-login-password ***** //這個(gè)密碼是對(duì)應(yīng)下面一行fortigate200a 的，

ldap-login-dn cn=fortigate200a,cn=users,dc=9hoo,dc=net //這個(gè)是用來先期取得域的用戶列表的，指定這個(gè)用戶的位置，這里的cn=users，是在根的users 里面

server-type microsoft //定義LDAP 協(xié)議按照微軟域的類型

aaa-server 9hoo.net (inside) host 172.26.1.11 //以下是備份域控

ldap-base-dn OU=users,OU=Technology,DC=9hoo,DC=net

ldap-group-base-dn DC=9hoo,DC=net

ldap-scope subtree

ldap-login-password *******

ldap-login-dn cn=fortigate200a,cn=users,dc=9hoo,dc=net

server-type microsoft

aaa authentication telnet console 9hoo.net LOCAL //防火墻的telnet 的訪問也用域來認(rèn)證，認(rèn)證失敗使用本地帳戶

tunnel-group remote general-attributes //遠(yuǎn)程VPN 客戶端的接入設(shè)定，不完全，還有其它配置，這里不說明了

address-pool vpnpool

authentication-server-group 9hoo.net //這里也用域帳戶進(jìn)行認(rèn)證設(shè)定

default-group-policy remote