特定のユーザーに制限されたリモートアクセスvpn

LDAP認証を用いた企業のリモートアクセスVPNを無事に設定しました。現在、ファイアウォールのポリシーには、すべてのActive Directory（AD）ユーザーが内部リソースにアクセスできるアクセスロールが含まれています。

しかし、一部のユーザーに対して特定のリソースへのアクセスを制限したいと考えています。そのために、2人のユーザーだけを含む新しいアクセスロールを作成し、このロールに対して選択したリソースへのアクセスを制限するようにファイアウォールのポリシーを設定しました。この新しいポリシーは、すべてのADユーザーに適用される既存のポリシーの上に配置しています。

問題は、制限されたアクセスロールのユーザーが接続してリソースにアクセスしようとすると、そのトラフィックが制限されたファイアウォールのポリシーをバイパスし、下のオープンポリシーに一致してしまうことです。制限されたポリシーにはヒットしません。

この現象の原因について何か考えられることはありますか？

まあ、そうであってはなりません。

ユーザーが正しいアクセスロールに割り当てられているか確認してください。ゲートウェイに接続した後、次のコマンドを実行します。

pep show user query usr ユーザー名

ゲートウェイのエキスパートシェルで実行します。これにより、アイデンティティソース（“Client Type”）がリモートアクセスに設定され、どのアイデンティティロールが割り当てられているかが表示されるはずです。これらが正しいことを確認してください。

（ユーザー名は部分一致で検索されるため、例えば