Хочу использовать Cisco ACS для аутентификации пользователей WiFi и Remote VPN.В AD созданы соответствующие группы WiFi_users и Dial-in_users.
В ACS созданы аналогичные группы, синхронизированные с выше указанывми.
При этом в ACS группа WiFi_users имеет меньший порядковый номер чем Dial-in_users.
В виду того, что ряду пользователей необходим доступ и к WiFi, и к VPN, в AD они являются членами обоих групп.
Но когда ACS ищет пользователя в AD, он (как я понял) начинает искать пользователя сначала в группе с меньшим номером (WiFi_users), и если находит, то поиск прекращает. Т.е. он всех пользователей обоих групп причисляет только к WiFi_users.
В итоге пользователи не проходят аутентификацию на ASA (IPSec VPN концентратор). Так как с помощь NAR у группы WIFI ограничен доступ к радиус-клиенту Cisco ASA.
В логах пишется "Users Access Filtered"
Т.е. фактически, выходит что пользователь в ACS может быть членом только одной группы.
Но что же, мне в итоге вместо 2-х групп создавать 3 группы: 1.WIFI+VPN 2.Только WIFI 3. Только VPN? Полный идиотизм выходит....(((
Есть в ACS элегантные пути решения проблемы?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 21-Июл-09, 16:39 
