由于現(xiàn)場(chǎng)ldap服務(wù)器中沒有對(duì)用戶進(jìn)行分組，想要在墻上用安全策略對(duì)用戶進(jìn)行訪問權(quán)限限制。

　　某測(cè)試用戶撥號(hào)成功之后，ping內(nèi)網(wǎng)通，在策略調(diào)用該用戶后，ping不通，被策略阻斷。

　　過程分析

　　下面配置僅做舉例：

　　sslvpn context中aaa domain名為ldap，在domain ldap中配置認(rèn)證

　　實(shí)際上的用戶域idendity domain 是

　　測(cè)試用戶為Alice，Bob

　　解決方法首先需要開啟用戶身份識(shí)別功能(缺省關(guān)閉)：user-identity enable

　　另外，需要修改user-identity online-user-name-match，來配置在線用戶身份識(shí)別的用戶名匹配模式。分為以下三種：缺省為Keep-original

　　keep-original：使用用戶輸入的用戶名進(jìn)行身份識(shí)別用戶賬戶匹配。例如，用戶的認(rèn)證域?yàn)閍bc，用戶輸入的用戶名為test@123，則使用用戶名test@123進(jìn)行身份識(shí)別用戶賬戶匹配。

　　with-domain：使用用戶的認(rèn)證域進(jìn)行身份識(shí)別用戶賬戶匹配，即將采用“用戶的純用戶名@認(rèn)證域名”格式進(jìn)行用戶賬戶匹配。例如，用戶的認(rèn)證域?yàn)閍bc，用戶輸入的用戶名為test@123，則使用用戶名test@abc進(jìn)行身份識(shí)別用戶賬戶匹配。

　　without-domain：不對(duì)用戶賬戶的域名進(jìn)行匹配，即使用用戶輸入的純用戶名與設(shè)備上未加入任何身份識(shí)別域的身份識(shí)別用戶賬戶進(jìn)行匹配。例如，用戶的認(rèn)證域?yàn)閍bc，用戶輸入的用戶名為test@123，則使用用戶名test與未加入身份識(shí)別域的用戶賬戶進(jìn)行匹配。

　?、俨恍薷模３譃镵eep-original，撥號(hào)時(shí)使用用戶名+用戶域的形式，即Alice，Bob

　　②修改為with-domain，同時(shí)修改認(rèn)證域名為，與用戶域一致，此時(shí)用Alice和Bob撥號(hào)

　　這兩種方法可以匹配上身份識(shí)別用戶，可以受到安全策略的控制。