ASA 通過域LDAP 認證沒有吧。我公布配置并說明.aaa-server 9hoo.net protocol ldap //這里定義名字9hoo.net ，自由定義，為了識別方便，一般定義為域名，后

ASA 通過域LDAP 認證沒有吧。我公布配置并說明.

aaa-server 9hoo.net protocol ldap //這里定義名字9hoo.net ，自由定義，為了識別方便，一般定義為域名，后面跟ldap 就是定義的協(xié)議為ldap

max-failed-attempts 2 //允許最大驗證錯誤2次

aaa-server 9hoo.net (inside) host 172.26.1.10 //訪問的接口是從inside 發(fā)出的，域控的IP 地址是172.26.1.10

ldap-base-dn OU=users,OU=Technology,DC=9hoo,DC=net //這個是LDAP 協(xié)議的東西，DC=net 是域的根，DC=9hoo是域，說簡單些就是9hoo.net 這個域分解成的，前面的OU=Technology，OU 熟悉域的都知道是什么吧，在向下一級是OU=users，就是規(guī)定只有在這個子ou 里面的才被許可

ldap-group-base-dn DC=9hoo,DC=net //整個域為對象

ldap-scope subtree //子樹查詢

ldap-login-password ***** //這個密碼是對應下面一行fortigate200a 的，

ldap-login-dn cn=fortigate200a,cn=users,dc=9hoo,dc=net //這個是用來先期取得域的用戶列表的，指定這個用戶的位置，這里的cn=users，是在根的users 里面

server-type microsoft //定義LDAP 協(xié)議按照微軟域的類型

aaa-server 9hoo.net (inside) host 172.26.1.11 //以下是備份域控

ldap-base-dn OU=users,OU=Technology,DC=9hoo,DC=net

ldap-group-base-dn DC=9hoo,DC=net

ldap-scope subtree

ldap-login-password *******

ldap-login-dn cn=fortigate200a,cn=users,dc=9hoo,dc=net

server-type microsoft

aaa authentication telnet console 9hoo.net LOCAL //防火墻的telnet 的訪問也用域來認證，認證失敗使用本地帳戶

tunnel-group remote general-attributes //遠程VPN 客戶端的接入設定，不完全，還有其它配置，這里不說明了

address-pool vpnpool

authentication-server-group 9hoo.net //這里也用域帳戶進行認證設定

default-group-policy remote