Для полноты освещения вопроса:
Из RADIUS сервера нужно при авторизации отдавать атрибут Cisco VSA cisco-av-pair.
(IETF RADIUS Vendor-Specific Attribute: 26, Cisco Vendor-ID: 9, Cisco Vendor-Type Cisco-AVPair: 1.)
(cisco-av-pair, Cisco-AV-Pair in Microsoft Network Policy Server (NPS), Cisco-AVPair in FreeRADIUS.)
В виде:
webvpn:user-vpn-group=VPN_Policy_Group
webvpn:user-vpn-group=Users
или
webvpn:inacl=110
Можно передавать несколько атрибутов в одной строке, через пробел.
Но обычно RADIUS сервер сам с этим разбирается.
Другие webvpn атрибуты можно посмотреть здесь:
SSL VPN Configuration Guide, Cisco IOS Release 15M&T
Configuring RADIUS Attribute Support for SSL VPN
https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.htmlFreeRADIUS - Cisco IOS and Radius
https://wiki.freeradius.org/vendor/ciscoПричем желательно настроить и то, и то. Т.е. продублировать админский аккаунт(ы) локально в роутере.
Юзерами удобнее рулить в сервере авторизации, но если RADIUS сервер отвалится, то будет возможность
подключиться удаленно и посмотреть что с ним.
И не забудьте включить AAA Authorization в свойствах webvpn context, помимо Authentication.
Accounting по желанию.
Код:
aaa new-model
aaa authentication login SSL-Login group radius local
aaa authorization network SSL-Author group radius local
aaa accounting network VPN-Acc stop-only group radius
webvpn context SSL_VPN
...
default-group-policy Users
aaa authentication list SSL-Login
aaa authorization list SSL-Author
aaa accounting list VPN-Acc