sslvpn资源组

配置用户密码的时候有一个策略组选项

local-user h3c class network

 authorization-attribute sslvpn-policy-group 策略组名字

您好，参考

01-SSL VPN配置-新华三集团-H3C

1.1.5  资源访问控制

SSL VPN采用基于用户的权限管理方法，可以根据用户的身份，限制用户可以访问的资源。

如图1-9所示，SSL VPN对资源的管理方式为：同一台SSL VPN网关上可以创建多个SSL VPN访问实例（SSL VPN context）。每个SSL VPN访问实例包含多个策略组。策略组中定义了Web资源、TCP接入服务资源、IP接入服务资源等。

图1-9 SSL VPN资源管理方式

用户登录SSL VPN网关时，SSL VPN网关通过以下方法判断用户所属的SSL VPN访问实例：

·     为不同的SSL VPN访问实例指定不同的域名。远端用户登录SSL VPN网关时，指定自己所在的域，SSL VPN网关根据用户指定的域判断该用户所属的SSL VPN访问实例。

·     为不同的SSL VPN访问实例指定不同的虚拟主机名称。远端用户访问SSL VPN网关时，输入虚拟主机名称，SSL VPN网关根据虚拟主机名称判断该用户所属的SSL VPN访问实例。

SSL VPN网关判断出用户所属的SSL VPN访问实例后，根据SSL VPN访问实例所在的ISP域对用户进行认证和授权，授权结果为策略组名称。如果某个用户被授权访问某个策略组，则该用户可以访问该策略组下的资源。如果没有为用户进行授权，则用户可访问的资源由缺省策略组决定。

SSL VPN网关对用户的认证和授权通过AAA来完成。目前，SSL VPN支持的AAA协议包括RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）协议和LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）协议。在实际应用中，RADIUS协议较为常用。