Configuraciones
VPN-SSL. Asociación de permisos en función del portal
Un usuario puede pertenecer a diferentes grupos, y podemos aprovecharlo para asociar a un usuario diferentes reglas de acceso en función del portal al que esté accediendo.
Si asociamos el usuario a dos grupos locales y asociamos estos grupos a diferentes realms de portales VPN-SSL:
Con el comando “diagnose debug application sslvpn -1”, podemos ver cómo clasifica el firewall al usuario:
- Accedemos a /realm1 con el usuario. Lo trata como un usuario del grupo grupo-local1
(…)
157:root:e5]deconstruct_session_id:378 decode session id ok, user=[usuario],group=[definido-local],authserver=[],portal=[Portal1],host=[192.168.93.1],realm=[realm1],idx=0,auth=1,sid=4917bf9f, login=1538663681, access=1538663681
(…)
- Accedemos a /realm2 con el mismo usuario
(…)
157:root:107]deconstruct_session_id:378 decode session id ok, user=[usuario],group=[definido-local-2],authserver=[],portal=[Portal2],host=[192.168.93.1],realm=[realm2],idx=0,auth=1,sid=5e1e60c1, login=1538663879, access=1538663879
(…)
A partir de aquí, se pueden crear diferentes reglas asociadas a ambos grupos, dando al usuario un acceso diferente en función del portal al que se haya conectado.
