<![CDATA[Как объединить несколько списков контроля доступа DAP в FTD 7.4 с помощью ISE Posture?]]>Привет всем, Я столкнулся с проблемой поведения DAP (Dynamic Access Policy) в FTD 7.4 при переходе с прямого LDAP на ISE (RADIUS). Текущая настройка и цель: Пользователи проходят аутентификацию через ISE (AnyConnect VPN).
ISE выполняет оценку состояния (оценка состояния является обязательной, поэтому я должен использовать ISE для авторизации).
Мне нужно отправить
ВСЕ
группы Active Directory пользователя из ISE в FTD.
На стороне FTD у меня есть несколько записей DAP (по одной для каждой группы AD), каждая из которых назначает определенный сетевой ACL. Проблема:
когда я использую прямой
LDAP AAA
, DAP работает отлично — он видит массив
memberOf
, сопоставляет несколько записей DAP и агрегирует полученные списки доступа (объединяя разрешения). Однако, когда я использую
ISE
, я не могу найти способ передать группы AD, чтобы DAP обрабатывал их как многозначный массив для агрегирования. Если я отправляю их в виде одной строки (например, в атрибуте 25 или cisco-av-pair), DAP сопоставляет записи, но часто не может правильно агрегировать ACL по сравнению с нативным поведением LDAP memberOf. Вопросы: Как лучше всего отправить полный список групп AD из ISE, чтобы движок FTD LINA заполнил дерево
aaa.radius
для сопоставления нескольких записей DAP?
Должен ли я использовать несколько атрибутов
cisco-av-pair
или определенный формат в атрибуте
Class
?
Существуют ли известные ограничения для агрегации ACL, когда источником является RADIUS, а не LDAP? Буду очень благодарен за любую помощь или рабочие примеры профиля авторизации ISE для этого случая использования! P.S.
Примечание: я знаю о SGT, но на данный момент я специально ищу решение с помощью DAP и сетевых ACL из-за ограничений инфраструктуры.

]]>https://sla247.ru/forum/topic/2282/как-объединить-несколько-списков-контроля-доступа-dap-в-ftd-74-с-помощью-ise-postureRSS for NodeFri, 15 May 2026 17:34:43 GMTMon, 02 Mar 2026 12:21:39 GMT60<![CDATA[Reply to Как объединить несколько списков контроля доступа DAP в FTD 7.4 с помощью ISE Posture? on Mon, 02 Mar 2026 12:21:41 GMT]]>Вы прочитали эту ветку, чтобы получить полезную информацию? [) BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

]]>https://sla247.ru/forum/post/16078https://sla247.ru/forum/post/16078Mon, 02 Mar 2026 12:21:41 GMT<![CDATA[Reply to Как объединить несколько списков контроля доступа DAP в FTD 7.4 с помощью ISE Posture? on Mon, 02 Mar 2026 12:21:40 GMT]]>Вместо этого использовал Redirectionless Posture + Identity Firewall, сработало лучше. Спасибо.

]]>https://sla247.ru/forum/post/16077https://sla247.ru/forum/post/16077Mon, 02 Mar 2026 12:21:40 GMT