由于現場ldap服務器中沒有對用戶進行分組，想要在墻上用安全策略對用戶進行訪問權限限制。

　　某測試用戶撥號成功之后，ping內網通，在策略調用該用戶后，ping不通，被策略阻斷。

　　過程分析

　　下面配置僅做舉例：

　　sslvpn context中aaa domain名為ldap，在domain ldap中配置認證

　　實際上的用戶域idendity domain 是

　　測試用戶為Alice，Bob

　　解決方法首先需要開啟用戶身份識別功能(缺省關閉)：user-identity enable

　　另外，需要修改user-identity online-user-name-match，來配置在線用戶身份識別的用戶名匹配模式。分為以下三種：缺省為Keep-original

　　keep-original：使用用戶輸入的用戶名進行身份識別用戶賬戶匹配。例如，用戶的認證域為abc，用戶輸入的用戶名為test@123，則使用用戶名test@123進行身份識別用戶賬戶匹配。

　　with-domain：使用用戶的認證域進行身份識別用戶賬戶匹配，即將采用“用戶的純用戶名@認證域名”格式進行用戶賬戶匹配。例如，用戶的認證域為abc，用戶輸入的用戶名為test@123，則使用用戶名test@abc進行身份識別用戶賬戶匹配。

　　without-domain：不對用戶賬戶的域名進行匹配，即使用用戶輸入的純用戶名與設備上未加入任何身份識別域的身份識別用戶賬戶進行匹配。例如，用戶的認證域為abc，用戶輸入的用戶名為test@123，則使用用戶名test與未加入身份識別域的用戶賬戶進行匹配。

　　①不修改，保持為Keep-original，撥號時使用用戶名+用戶域的形式，即Alice，Bob

　　②修改為with-domain，同時修改認證域名為，與用戶域一致，此時用Alice和Bob撥號

　　這兩種方法可以匹配上身份識別用戶，可以受到安全策略的控制。