> Всем привет,кто предложит способ?
> Когда человек например состоит в 2 группах Cisco VPN и Cisco WiFi,
> эти группы мапятся на соответствующие группы в ACS. ACS не кэширует
> учетки и динамически привязывает к группе. Так вот когда человек убран
> из Cisco WiFi, то как его ограничить на авторизацию по radius
> на airopoint, так как ACS его автоматически пуляет в Cisco VPN...
> привязка по AAA client не срабатывает и запрос от аиропоинта все
> равно принимает группой, где четко указано принимать только от файрволла...Все оч просто. ACS версии 4 (я так понимаю он у вас) оч тупой - он смотрит группы в порядке нумерации до первого попадания - а дальше не смотрит. Его схема в принципе не поддерживает модель с 2 и более группами - юзер может быть только в 1-й.
Единственный вариант решени я - создание 3-х групп на ACS (В AD остаются 2):
Cisco VPN
Cisco WiFi
Cisco VPN & Cisco WiFi
Неудобно конечно... В 5-й версии на базе правил кажется решается проблема, хотя не видел ее.