https://m.opennet.dev/openforum/vsluhforumID6/1895.html Добрый день!<br><br>Есть парк оборудования Cisco, есть NPS (RADIUS от Microsoft), авторизующий пользователей в AD. Все прекрасно работает, но недавно на меня вышли админы головной организации, они тоже у себя подняли такой же NPS и требуют, чтобы они могли заходить на мое железо, но под учетками своего домена (раньше они заходили под локальными учетками).<br>Вощемта не вопрос, думаю я, пишу такой код:<br>aaa new-model<br>!<br>!<br>aaa group server radius MY<br> server name MY<br> deadtime 1<br>!<br>aaa group server radius HEAD<br> server name HEAD-DC1<br> server name HEAD-DC2<br> deadtime 2<br>!<br>aaa authentication login default local group MY group HEAD<br>aaa authentication enable default none<br>!<br>radius server MY<br> address ipv4 10.0.0.254 auth-port 1645 acct-port 1646<br> key 7 XXXXXXXXXXXXX<br>!<br>radius server HEAD-DC1<br> address ipv4 10.99.0.94 auth-port 1645 acct-port 1646<br> timeout 3<br> retransmit 1<br> key 7 YYYYYYYYYYY<br>!<br>radius server HEAD-DC2<br> address ipv4 10.99.0.95 auth-port 1645 acct-port 1646<br> timeout 3<br> retransmit 1<br> key 7 YYYY https://m.opennet.dev/openforum/vsluhforumID6/1895.html#2 Thu, 14 Jan 2016 11:51:30 GMT &gt;[оверквотинг удален]<br>&gt; поставить например домен вышестоящих.<br>&gt; Циску настраивать только на свой.<br>&gt; Либо вышестоящие должны аналогично сделать проброс на ваш, тоже по домену, тогда <br>&gt; можно настроить оба, будет резервирование.<br>&gt; вместо домена можно по части в имени пользователя разделять, там регулярное выражение <br>&gt; прописывается.<br>&gt; В русской версии IAS на 2003 сервере это раздел "Обработка запроса на <br>&gt; подключение", <br>&gt; там задается группа внешних серверов и условие для обращения к ним. В <br>&gt; NPS должно быть аналогично, ибо яйца те-же, вид сбоку.<br><br>Большое спасибо, будем покурить :)<br> https://m.opennet.dev/openforum/vsluhforumID6/1895.html#1 Thu, 14 Jan 2016 11:26:18 GMT Нужно на своем радиусе настроить проксирование запросов на вышестоящий. Условием проброса поставить например домен вышестоящих.<br>Циску настраивать только на свой.<br>Либо вышестоящие должны аналогично сделать проброс на ваш, тоже по домену, тогда можно настроить оба, будет резервирование.<br>вместо домена можно по части в имени пользователя разделять, там регулярное выражение прописывается.<br><br>В русской версии IAS на 2003 сервере это раздел "Обработка запроса на подключение",<br>там задается группа внешних серверов и условие для обращения к ним. В NPS должно быть аналогично, ибо яйца те-же, вид сбоку.<br>