<![CDATA[назначение групповой политики RA VPN через LDAP или Radius?]]>Здравствуйте, Я помогаю клиенту перейти с ASA 5555-X на FTD 3105, управляемый FMC. Клиент использует локальные имена пользователей в ASA, а затем назначает групповые политики с VPN-фильтром на основе имени пользователя.
Конфигурация в ASA выглядит примерно так групповая политика GP-XXX внутренняя
групповая политика GP-XXX атрибуты
vpn-filter значение VPN-XXX
vpn-tunnel-protocol ssl-client ssl-clientless
!
имя пользователя aaaa пароль xxxxxxxxxxxx зашифрованное
имя пользователя aaaa атрибуты
vpn-group-policy GP-XXX Я полагаю, что FTD не поддерживает назначение групповых политик для локальных пользователей, поэтому мне нужно найти альтернативное решение.
Если у клиента уже есть локальный сервер AD, я думаю, что использование его для аутентификации и назначения групповых политик будет самым простым решением. Однако я не уверен, следует ли использовать Radius (NPS) или LDAP с сопоставлением атрибутов? Я полагаю, что оба метода должны работать, но каковы преимущества/недостатки этих двух методов? Спасибо /Chess

]]>https://sla247.ru/forum/topic/2356/назначение-групповой-политики-ra-vpn-через-ldap-или-radiusRSS for NodeFri, 15 May 2026 11:39:06 GMTMon, 02 Mar 2026 12:41:01 GMT60<![CDATA[Reply to назначение групповой политики RA VPN через LDAP или Radius? on Mon, 02 Mar 2026 12:41:03 GMT]]>Спасибо
[, @Rob Ingram.]

]]>https://sla247.ru/forum/post/16596https://sla247.ru/forum/post/16596Mon, 02 Mar 2026 12:41:03 GMT<![CDATA[Reply to назначение групповой политики RA VPN через LDAP или Radius? on Mon, 02 Mar 2026 12:41:02 GMT]]>@Chess Norris
Лично я предпочитаю RADIUS (в идеале ISE), так как RADIUS позволяет применять авторизацию на детальном уровне. При использовании FMC LDAP с картами атрибутов LDAP позволяет применять большинство атрибутов из заранее определенного списка. ![RobIngram_0-1771492644008.png] Судя по вашему сценарию, вам не требуется ничего сложного, поэтому LDAP или RADIUS удовлетворят вашим требованиям. Преимущество использования LDAP заключается в том, что вам не требуется внешний сервер RADIUS (NPS), а графический интерфейс FMC будет более удобным для пользователя по сравнению с настройкой NPS и определением, какие avps необходимо настроить. Полезное видео —
https://video.cisco.com/detail/video/6331029315112

]]>https://sla247.ru/forum/post/16595https://sla247.ru/forum/post/16595Mon, 02 Mar 2026 12:41:02 GMT