Leaflet
17-11
思科 ASA 系列命令参考,A 至 H 命令
第 17 章 gateway 至 hw-module module shutdown 命令
group-lock
group-lock
要将远程用户限制为只能通过隧道组访问,请在组策略配置模式下或用户名配置模式下发出
group-lock 命令。要从运行配置删除 group-lock 属性,请使用此命令的 no 形式。
group-lock {value tunnel-grp-name | none}
no group-lock
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
使用指南 要禁用组锁定,请使用 group-lock none 命令。no group-lock 命令允许从其他组策略继承值。
组锁定通过检查在 VPN 客户端上配置的组与用户被分配到的隧道组是否相同来限制用户。如果
不一样,ASA 会阻止用户进行连接。如果不配置组锁定,则 ASA 对用户进行身份验证而不考虑
分配的组。
命令历史
示例 以下示例展示如何为名为 FirstGroup 的组策略设置组锁定:
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# group-lock value tunnel group name
none
将 group-lock 设置为空值,从而允许无组锁定限制。防止从默认或指
定组策略继承组锁定值。
value tunnel-grp-name
指定 ASA 要求用户连接的现有隧道组的名称。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
组策略配置
• 是
—
• 是
——
用户名配置
• 是
—
• 是
——
版本 修改
7.0(1)
引入了此命令。