如何根据 LDAP 查找选择 ISE 代理序列?

如何根据 LDAP 查找选择 ISE 代理序列?

我目前正在为我的客户设置一个 VOIP 网络,其中包括 802.1x 和 MAB 身份验证。

正常的身份验证序列如下:

  1. 交换机检测到没有 802.1x 协议设置的新机器,向 ISE 节点发送 MAB 请求。

  2. ISE 节点在 LDAP 服务器中查找 MAC 地址,并根据它是位于“计算机”组还是“电话”组中,将其设置在正确的 VLAN 中以进行暂存。

  3. 设备自动配置并授予其证书

  4. 设备重新启动,并使用正确的证书,其 802.1x 请求再次发送到 ISE 服务器,该服务器这次根据 LDAP 检查证书并授权连接到生产 VLAN。

我的问题如下:我的客户决定所有“计算机”设备将由另一个单位和另一台 (NPS) Radius 服务器管理。如果 Mac 地址在“计算机”组中,我想将所有 MAB 请求重定向到该服务器,并且只有当客户端未在那里找到时才自行处理这些请求(针对少数特定情况)。

这会导致两个问题:

  1. 在策略集页面中,似乎没有办法根据 LDAP 组来决定半径序列,只能根据半径请求的基本属性来决定。

  2. 在 Radius 序列定义中,对于“访问拒绝”响应似乎没有可能的操作,只能在“访问接受”中执行。

我是否遗漏了什么?或者还有其他方法可以实现我的目标?

相关内容