Хочу использовать Cisco ACS для аутентификации пользователей WiFi и Remote VPN.

В AD созданы соответствующие группы WiFi_users и Dial-in_users.
В ACS созданы аналогичные группы, синхронизированные с выше указанывми.
При этом в ACS группа WiFi_users имеет меньший порядковый номер чем Dial-in_users.

В виду того, что ряду пользователей необходим доступ и к WiFi, и к VPN, в AD они являются членами обоих групп.
Но когда ACS ищет пользователя в AD, он (как я понял) начинает искать пользователя сначала в группе с меньшим номером (WiFi_users), и если находит, то поиск прекращает. Т.е. он всех пользователей обоих групп причисляет только к WiFi_users.

В итоге пользователи не проходят аутентификацию на ASA (IPSec VPN концентратор).  Так как с помощь NAR у группы WIFI ограничен доступ к радиус-клиенту Cisco ASA.
В логах пишется "Users Access Filtered"

Т.е. фактически, выходит что пользователь в ACS может быть членом только одной группы.
Но что же, мне в итоге вместо 2-х групп создавать 3 группы: 1.WIFI+VPN 2.Только WIFI 3. Только VPN?    Полный идиотизм выходит....(((

Есть в ACS  элегантные пути решения проблемы?  

• Использование нескольких групп в Cisco ACS,Nikolas, 04:16 , 27-Июл-09
  • Использование нескольких групп в Cisco ACS,Pve1, 16:06 , 27-Июл-09
    • Использование нескольких групп в Cisco ACS,Nikolas, 09:59 , 28-Июл-09
      • Использование нескольких групп в Cisco ACS,Pve1, 14:46 , 29-Июл-09
        • Использование нескольких групп в Cisco ACS,ASavenkov, 17:26 , 29-Июл-09
          • Использование нескольких групп в Cisco ACS,csco, 10:40 , 03-Авг-09

насколько я знаю то да,в ACS пользователь может быть членом только одной группы.у себя так и сделал  группа Wi-fi,VPN и ADMINS(wi-fi+vpn)
ЗЫ подскажи как настроил аутентификацию в домене:)

>насколько я знаю то да,в ACS пользователь может быть членом только одной
>группы.у себя так и сделал  группа Wi-fi,VPN и ADMINS(wi-fi+vpn)

Кривое решение. А если групп не 2- а 10?

>ЗЫ подскажи как настроил аутентификацию в домене:)

eap-tls для пользователей и компьютеров.
Синхронизация внутренних груп со внешними в AD через механизм external windows database.
Что конкретно интересует?

ну может быть и кривое но оно работает
а если больше групп,то тогда только укрупнять группы  по другому я не знаю как

по домену интересует что и где настраивать и по какому мануалу делал? по офф конфигу для ACS?

>ну может быть и кривое но оно работает
>а если больше групп,то тогда только укрупнять группы  по другому я
>не знаю как
>
>по домену интересует что и где настраивать и по какому мануалу делал?
>по офф конфигу для ACS?

1. Начать надо с мануала по установке ACS - там в конце описано что сделать, чтобы чтобы подружить ACS с AD  
2. EAP-TLS Deployment Guide for Wireless LAN Networks - руководство по настройке EAP-TLS c использованием майкрософтовского сервера сертификации.
3. Ну и конечно configuration guide, где первых двух не достаточно.

>[оверквотинг удален]
>>по домену интересует что и где настраивать и по какому мануалу делал?
>>по офф конфигу для ACS?
>
>1. Начать надо с мануала по установке ACS - там в конце
>описано что сделать, чтобы чтобы подружить ACS с AD
>2. EAP-TLS Deployment Guide for Wireless LAN Networks - руководство по настройке
>EAP-TLS c использованием майкрософтовского сервера сертификации.
>3. Ну и конечно configuration guide, где первых двух не достаточно.
>
>

По пункту 1,как я понял, все уже подружили ACS с AD. И этого явно не хватает для решения данной проблемы. Я так же столкнулся с такой проблемой. Пока не решил. Еще если кто то знает и поделится информацией, как задать полосу пропускания для клиента WiFi сети буду очень признателен.

подождите выхода 5.1 - пропишите в локальном ДБ и все будет работать.