Мы пытаемся настроить аутентификацию в Grafana через Cisco ISE и протокол RADIUS с помощью OAuth, и нам удалось добиться этого, используя атрибуты словаря Cisco AV-Pair. Чтобы детально авторизовать доступ к различным панелям мониторинга, мне нужно, чтобы в Grafana отправлялся другой атрибут, например, группа AD, к которой принадлежит пользователь, который выполнил вход. Вопрос: возможно ли отправить группу AD, к которой принадлежит пользователь-администратор, которая используется в политике авторизации, как часть пакета RADIUS для принятия доступа, так же, как отправляется атрибут словаря? -- Jesus

]]>https://sla247.ru/forum/topic/2298/cisco-ise-можно-ли-отправить-группу-ad-в-radius-access-acceptRSS for NodeFri, 15 May 2026 10:59:21 GMTMon, 02 Mar 2026 12:22:20 GMT60Всем привет! Можно ли отправить все группы AD из ISE в FTD 7.4 для авторизации пользователей VPN и назначить ACL с помощью записей динамической политики доступа? Рабочий процесс выглядит следующим образом: 1. Пользователь проходит аутентификацию с помощью ISE. 2. ISE проверяет состояние и авторизует, отправляя также ВСЕ группы AD в FTD, 3. затем FTD имеет записи DAP для каждой группы, чтобы назначить сводные ACL для каждой полученной группы. Все работает нормально при использовании только прямого LDAP AAA, но не работает в сочетании с ISE Posture. Буду благодарен за любую помощь! Спасибо!

]]>https://sla247.ru/forum/post/16182https://sla247.ru/forum/post/16182Mon, 02 Mar 2026 12:22:25 GMT@Jonatan Jonasson
, именно так я и поступаю в данный момент, но когда количество групп AD увеличивается, количество профилей авторизации становится неуправляемым. @Arne Bier
, вы имеете в виду настройку LDAP параллельно с обычной точкой присоединения AD?

]]>https://sla247.ru/forum/post/16181https://sla247.ru/forum/post/16181Mon, 02 Mar 2026 12:22:24 GMTЕще один момент, который следует учитывать, но только в том случае, если у вас нет очень большого количества различных рекламных групп и разрешений, которыми необходимо управлять. Создайте набор различных правил авторизации, чтобы в случае соответствия пользователя рекламной группе «NetAdm» вы отправляли настраиваемый атрибут, включающий «NetAdm», и так далее для других групп. Если у вас есть только 5–10 различных групп, которым необходимо предоставить доступ таким образом, это вполне выполнимо. ---
Пожалуйста, отмечайте полезные ответы и решения ]]>https://sla247.ru/forum/post/16180https://sla247.ru/forum/post/16180Mon, 02 Mar 2026 12:22:23 GMTПривет
[, @JPavonM] Профиль авторизации имеет ограниченную поддержку для возврата информации, специфичной для AD. Но я обнаружил, что LDAP-соединение с тем же контроллером домена AD может дать вам нужный результат. ![ArneBier_1-1760389897203.png] Я создал правило политики авторизации, которое использует вышеуказанный профиль, если пользователь является членом группы NetAdmins AD. ![ArneBier_2-1760389983289.png] ![ArneBier_0-1760389850960.png] Может быть, стоит попробовать — настройка интеграции LDAP иногда бывает немного сложной.

]]>https://sla247.ru/forum/post/16179https://sla247.ru/forum/post/16179Mon, 02 Mar 2026 12:22:22 GMTДа, вы можете подключиться к домену AD, чтобы ISE мог получать атрибуты через LDAP. Когда я пытался сделать то же самое через AD, мне не удалось вернуть эти группы AD в Access-Accept.

]]>https://sla247.ru/forum/post/16178https://sla247.ru/forum/post/16178Mon, 02 Mar 2026 12:22:21 GMT