【SSLVPN】用户登陆SSLVPN后获取不到虚拟IP，访问资源异常

更新时间：2019-12-17

所属模块认证设置 | LDAP认证

适用版本通用

一天早上，很多用户突然反馈SSLVPN登陆后无法访问资源，查看VPN连接状态，没有获取到虚拟IP地址。

查看VPN连接状态，没有获取到虚拟IP地址。

1.查看是否分配用户L3VPN资源，通过排查确实是有关联了L3PVPN资源，但是用户登录后都没有资源

2.通过用户反馈情况来看，不是单个用户或用户以及终端组的问题，可排除客户端问题。

3.排查SSLPVN服务端，用户登陆认证方式为LDAP认证，角色授权是采用角色映射的方式。

4.排查LDAP认证和角色映射所需要的域管理员账号有效性，例用该账号搜索入口，发现该账号不可用。

5.联系域管理员进一步排查发现，该域管理员账号因有效期到期被禁用，重新启用该账号。启用后，用户接入即可正常访问资源。

LDAP认证管理员账号过期导致LDAP用户登录后角色映射失效，从而用户登录VPN后没有资源下发，最终呈现的结果就是虚拟IP未获取，资源访问不了

将过期的域管理员账号重新启用，并建议设置为永不过期。

【角色映射】用户登陆SSLVPN使用LDAP认证方式进行用户认证，用户不导入到本地，将LDAP服务器中的安全组映射到SSLVPN网关本地的角色，那么当域中隶属于该安全组的用户通过 SSLVPN认证之后自动匹配到该角色，获得该角色中绑定资源的访问权限。

因配置了角色映射，用户登陆过程中，会利用LDAP认证配置里的域账号去查询该用户所在的安全组，从而赋予该用户对应映射的角色的资源权限。一旦域管理员账号失效，则用户登陆后，SSLVPN设备无法查询该用户的权限，故没能够匹配到对应资源，导致虚拟IP获取失败。

{{contentObj.name||'--'}}