есть Cisco AP + ACS. Настроено два ssid - один гостевой с PEAP аутентификацией, другой внутренний с EAP-TLS аутентификацией. База данных пользователей локальная. Соответственно для EAP-TLS создается пользователь с DN записью сертификата.
Все вроде бы хорошо, за исключением того что при создании пользователя (по DN сертификата) ему задается некий пароль. И в дальнейшем можно подключиться к внутреннему ssid с использованием имени пользователя (DN) и заданного пароля по протколу PEAP.

Как сделать так что бы во внутреннем ssid использовалась только EAP-TLS аутентификация?
Средствами точки доступа это похоже не решить. Какие другие варианты возможны?