Я использую RADIUS для защиты портов в своей среде на общедоступных портах (конференц-залы и т. Д.). У нас есть коммутаторы HP Procurve, и Aruba Clearpass обрабатывает запросы аутентификации (с контроллерами домена Active Directory на задней стороне).
По умолчанию он настроен на гостевую VLAN (которая не имеет маршрутизации в нашу производственную VLAN, только в Интернет), а затем переключается на производственную VLAN с успешной аутентификацией AD.
В конференц-залах у нас есть починенные ноутбуки, и в настоящее время у меня возникает проблема, заключающаяся в том, что, когда ноутбуки были отключены от системы дольше периода «неавторизации» (в настоящее время 60 секунд), они возвращаются в гостевую VLAN. Тогда пользователи, учетные данные которых в настоящее время не кэшированы на этих ноутбуках, не смогут подключиться к DC для входа в систему на ноутбуке.
Я не знаю, как именно это решить. Я не хочу предоставлять одному из контроллеров домена интерфейс в гостевой VLAN, потому что не уверен в последствиях для безопасности. Что еще я мог сделать?