URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22036
[ Назад ]

Исходное сообщение
"Cisco ACS и привязка к группам"

Отправлено macho , 14-Дек-10 09:36 
Всем привет,кто предложит способ?
Когда человек например состоит в 2 группах Cisco VPN и Cisco WiFi, эти группы мапятся на соответствующие группы в ACS. ACS не кэширует учетки и динамически привязывает к группе. Так вот когда человек убран из Cisco WiFi, то как его ограничить на авторизацию по radius на airopoint, так как ACS его автоматически пуляет в Cisco VPN... привязка по AAA client не срабатывает и запрос от аиропоинта все равно принимает группой, где четко указано принимать только от файрволла...

Содержание

Сообщения в этом обсуждении
"Cisco ACS и привязка к группам"
Отправлено Pve1 , 14-Дек-10 15:00 
> Всем привет,кто предложит способ?
> Когда человек например состоит в 2 группах Cisco VPN и Cisco WiFi,
> эти группы мапятся на соответствующие группы в ACS. ACS не кэширует
> учетки и динамически привязывает к группе. Так вот когда человек убран
> из Cisco WiFi, то как его ограничить на авторизацию по radius
> на airopoint, так как ACS его автоматически пуляет в Cisco VPN...
> привязка по AAA client не срабатывает и запрос от аиропоинта все
> равно принимает группой, где четко указано принимать только от файрволла...

Все оч просто.    ACS версии 4 (я так понимаю он у вас) оч тупой - он смотрит группы в порядке нумерации до первого попадания - а дальше не смотрит.  Его схема в принципе не поддерживает модель с 2 и более группами - юзер может быть только в 1-й.

Единственный вариант решени я - создание 3-х групп на ACS (В AD остаются 2):
Cisco VPN
Cisco WiFi
Cisco VPN & Cisco WiFi

Неудобно конечно...    В 5-й версии на базе правил кажется решается проблема, хотя не видел ее.