https://opennet.ru/openforum/vsluhforumID6/22036.html Всем привет,кто предложит способ?<br>Когда человек например состоит в 2 группах Cisco VPN и Cisco WiFi, эти группы мапятся на соответствующие группы в ACS. ACS не кэширует учетки и динамически привязывает к группе. Так вот когда человек убран из Cisco WiFi, то как его ограничить на авторизацию по radius на airopoint, так как ACS его автоматически пуляет в Cisco VPN... привязка по AAA client не срабатывает и запрос от аиропоинта все равно принимает группой, где четко указано принимать только от файрволла...<br> https://opennet.ru/openforum/vsluhforumID6/22036.html#1 Tue, 14 Dec 2010 12:00:51 GMT &gt; Всем привет,кто предложит способ?<br>&gt; Когда человек например состоит в 2 группах Cisco VPN и Cisco WiFi, <br>&gt; эти группы мапятся на соответствующие группы в ACS. ACS не кэширует <br>&gt; учетки и динамически привязывает к группе. Так вот когда человек убран <br>&gt; из Cisco WiFi, то как его ограничить на авторизацию по radius <br>&gt; на airopoint, так как ACS его автоматически пуляет в Cisco VPN... <br>&gt; привязка по AAA client не срабатывает и запрос от аиропоинта все <br>&gt; равно принимает группой, где четко указано принимать только от файрволла...<br><br>Все оч просто. ACS версии 4 (я так понимаю он у вас) оч тупой - он смотрит группы в порядке нумерации до первого попадания - а дальше не смотрит. Его схема в принципе не поддерживает модель с 2 и более группами - юзер может быть только в 1-й.<br><br>Единственный вариант решени я - создание 3-х групп на ACS (В AD остаются 2):<br>Cisco VPN<br>Cisco WiFi<br>Cisco VPN & Cisco WiFi<br><br> Неудобно конечно... В 5-й версии на базе правил кажется решается проблема, хотя не видел ее.<br>