как выбрать последовательность прокси-сервера ISE на основе поиска LDAP?
В настоящее время я настраиваю сеть VOIP для своего клиента, которая включает аутентификацию 802.1x и MAB.
Обычная последовательность аутентификации выглядит следующим образом:
Коммутатор обнаруживает новую машину без настройки протокола 802.1x и отправляет запрос MAB на узел ISE.
Узел ISE ищет MAC-адрес на сервере LDAP и в зависимости от того, находится ли он в группе «Компьютер» или «Телефон», устанавливает его в правильную VLAN для промежуточной обработки.
Устройство настраивается автоматически и получает сертификат.
Устройство перезагружается, и с правильным сертификатом запрос 802.1x снова отправляется на сервер ISE, который на этот раз проверяет сертификат на соответствие LDAP и авторизует соединение с рабочей VLAN.
Мой вопрос следующий: Мой клиент решил, что все «компьютерные» устройства будут управляться другим устройством и другим (NPS) сервером Radius. Я хочу перенаправить все запросы MAB на этот сервер, если Mac-адрес находится в группе «компьютеры», и обрабатывать их самостоятельно только в том случае, если клиент там не найден (в некоторых конкретных случаях).
Это вызывает две проблемы:
На странице набора политик, похоже, нет возможности определять последовательности радиусов на основе групп LDAP, а только на основе основных атрибутов запроса радиуса.
В определении последовательности Radius, похоже, нет возможных действий в случае ответа «Доступ-отказ», только в «Доступ-Принятие».
Есть ли что-то, что я пропустил? или есть другой способ достичь моих целей?