我目前正在为我的客户设置一个 VOIP 网络,其中包括 802.1x 和 MAB 身份验证。
正常的身份验证序列如下:
交换机检测到没有 802.1x 协议设置的新机器,向 ISE 节点发送 MAB 请求。
ISE 节点在 LDAP 服务器中查找 MAC 地址,并根据它是位于“计算机”组还是“电话”组中,将其设置在正确的 VLAN 中以进行暂存。
设备自动配置并授予其证书
设备重新启动,并使用正确的证书,其 802.1x 请求再次发送到 ISE 服务器,该服务器这次根据 LDAP 检查证书并授权连接到生产 VLAN。
我的问题如下:我的客户决定所有“计算机”设备将由另一个单位和另一台 (NPS) Radius 服务器管理。如果 Mac 地址在“计算机”组中,我想将所有 MAB 请求重定向到该服务器,并且只有当客户端未在那里找到时才自行处理这些请求(针对少数特定情况)。
这会导致两个问题:
在策略集页面中,似乎没有办法根据 LDAP 组来决定半径序列,只能根据半径请求的基本属性来决定。
在 Radius 序列定义中,对于“访问拒绝”响应似乎没有可能的操作,只能在“访问接受”中执行。
我是否遗漏了什么?或者还有其他方法可以实现我的目标?