Коллеги, добрый день.
Помогите пожалуйста.
Я настроил anyconnect на ASA.
Аутентификация LDAP.
Контроллер домена MS Windows Server.
Сделал политику DAP.
Можно ли добиться следующего:
-Создать правило DAP c ACL на доступ к некоему ресурсу Х.
-Условием для выполнения правила моей политики, чтобы возвращался атрибут LDAP - группа VPN Users.
- Я хочу добавить в группу VPN Users другую группу, например All users.
Но при этом атрибут LDAP при аутентификации не возвращается.
Если я запихиваю пользователя в группу VPN Users, то все работает пользователь подключается и получает ACL.
Как быть? Неужели мне придется каждого пользователя распихивать по группам VPN и я не смогу воспользоваться уже существующими группами?
Например есть группа, какой-то отдел и я не могу его засунуть в группу VPN users.
Это действительно так?
Или можно, как то сконфигурировать и добиться чтобы работало.
Извините за орфографию и сумбурность.

если немного перефразировать, нужно чтобы доступ к удаленном подключению был только у членов группы vpn_users в ad и чтобы в эту группу можно было включать юзеров не по одному, а целыми ou?

Да именно так.

Например есть группа VPN Users.
Она используется в правиле политики DAP.
Пользователи этой группы подключаются к anyconnect и имеют доступ к определенному ресурсу.
Необходимо разрешить доступ vpn на таких же условиях группе пользователей "бухгалтеры предприятия"
Я добавляю группу "бухгалтеры предприятия" в группу VPN Users. Пользователи группы "бухгалтеры предприятия" не могут подключиться и не имеют доступа.

Это вопрос к Windows админам - как научить сервер авторизации
выдавать для юзеров в подгруппе те же атрибуты,
что и для юзеров в самой группе.

Спасибо вам!
Вы направили меня, на мой взгляд, в правильное русло.