https://www.opennet.ru/openforum/vsluhforumID6/19312.html Хочу использовать Cisco ACS для аутентификации пользователей WiFi и Remote VPN.<br><br>В AD созданы соответствующие группы WiFi_users и Dial-in_users. <br>В ACS созданы аналогичные группы, синхронизированные с выше указанывми.<br>При этом в ACS группа WiFi_users имеет меньший порядковый номер чем Dial-in_users.<br><br>В виду того, что ряду пользователей необходим доступ и к WiFi, и к VPN, в AD они являются членами обоих групп.<br>Но когда ACS ищет пользователя в AD, он (как я понял) начинает искать пользователя сначала в группе с меньшим номером (WiFi_users), и если находит, то поиск прекращает. Т.е. он всех пользователей обоих групп причисляет только к WiFi_users.<br><br> В итоге пользователи не проходят аутентификацию на ASA (IPSec VPN концентратор). Так как с помощь NAR у группы WIFI ограничен доступ к радиус-клиенту Cisco ASA. <br>В логах пишется "Users Access Filtered"<br><br>Т.е. фактически, выходит что пользователь в ACS может быть членом только одной группы.<br>Но что же, мне в итоге вместо 2-х групп создавать 3 группы: 1.WIF https://www.opennet.ru/openforum/vsluhforumID6/19312.html#6 Mon, 03 Aug 2009 06:40:02 GMT подождите выхода 5.1 - пропишите в локальном ДБ и все будет работать.<br> https://www.opennet.ru/openforum/vsluhforumID6/19312.html#5 Wed, 29 Jul 2009 13:26:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;по домену интересует что и где настраивать и по какому мануалу делал? <br>&gt;&gt;по офф конфигу для ACS? <br>&gt;<br>&gt;1. Начать надо с мануала по установке ACS - там в конце <br>&gt;описано что сделать, чтобы чтобы подружить ACS с AD <br>&gt;2. EAP-TLS Deployment Guide for Wireless LAN Networks - руководство по настройке <br>&gt;EAP-TLS c использованием майкрософтовского сервера сертификации. <br>&gt;3. Ну и конечно configuration guide, где первых двух не достаточно. <br>&gt;<br>&gt;<br><br>По пункту 1,как я понял, все уже подружили ACS с AD. И этого явно не хватает для решения данной проблемы. Я так же столкнулся с такой проблемой. Пока не решил. Еще если кто то знает и поделится информацией, как задать полосу пропускания для клиента WiFi сети буду очень признателен.<br> https://www.opennet.ru/openforum/vsluhforumID6/19312.html#4 Wed, 29 Jul 2009 10:46:55 GMT &gt;ну может быть и кривое но оно работает <br>&gt;а если больше групп,то тогда только укрупнять группы по другому я <br>&gt;не знаю как <br>&gt;<br>&gt;по домену интересует что и где настраивать и по какому мануалу делал? <br>&gt;по офф конфигу для ACS? <br><br>1. Начать надо с мануала по установке ACS - там в конце описано что сделать, чтобы чтобы подружить ACS с AD <br>2. EAP-TLS Deployment Guide for Wireless LAN Networks - руководство по настройке EAP-TLS c использованием майкрософтовского сервера сертификации.<br>3. Ну и конечно configuration guide, где первых двух не достаточно.<br><br> <br> https://www.opennet.ru/openforum/vsluhforumID6/19312.html#3 Tue, 28 Jul 2009 05:59:16 GMT ну может быть и кривое но оно работает<br>а если больше групп,то тогда только укрупнять группы по другому я не знаю как<br><br>по домену интересует что и где настраивать и по какому мануалу делал? по офф конфигу для ACS? <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/19312.html#2 Mon, 27 Jul 2009 12:06:38 GMT &gt;насколько я знаю то да,в ACS пользователь может быть членом только одной <br>&gt;группы.у себя так и сделал группа Wi-fi,VPN и ADMINS(wi-fi+vpn) <br><br>Кривое решение. А если групп не 2- а 10?<br><br>&gt;ЗЫ подскажи как настроил аутентификацию в домене:) <br><br>eap-tls для пользователей и компьютеров.<br>Синхронизация внутренних груп со внешними в AD через механизм external windows database.<br>Что конкретно интересует?<br> https://www.opennet.ru/openforum/vsluhforumID6/19312.html#1 Mon, 27 Jul 2009 00:16:53 GMT насколько я знаю то да,в ACS пользователь может быть членом только одной группы.у себя так и сделал группа Wi-fi,VPN и ADMINS(wi-fi+vpn)<br>ЗЫ подскажи как настроил аутентификацию в домене:)<br>