<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-2">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7654.12">
<TITLE>RE: freeradius and Cisco VPN IPSEC profiles authentication</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>  As a hint, if you don't implement a rule for a different NT-Domain,<BR>
then the rules for that different NT-Domain won't be applied.  Because<BR>
they don't exist.<BR>
<BR>
  Alan DeKok.<BR>
-<BR>
List info/subscribe/unsubscribe? See <A HREF="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</A><BR>
<BR>
Thank you Alan , it makes sense. But it doesn't solve my problem<BR>
In my cisco configuration there is a group:<BR>
crypto isakmp client configuration group vipgroup<BR>
key xxxx<BR>
dns 1.1.11.10 1.1.11.11<BR>
wins 1.1.11.12 1.1.11.13<BR>
pool vpn-vipgroup<BR>
<BR>
How could i ensure that this group with this parameters will be accesible only for the users from the domain vipdomainusers ( e.g. ntlm_auth_vipusers authentication) ?<BR>
The other groups configured on the same router will be accessible for any domain users ( but i cannot name hundreds domains in the freeradius config )<BR>
<BR>
point is that cisco radius doesn't send a group name ( vipgroup ) in the request to the radius server<BR>
Ok, i can return CiscoAv pairs (pool, dns... )to the router, but still if any domain user try to connect to the group vipgroup, it recieves the pool and other parameters<BR>
thanks, you're great that you can help us<BR>
<BR>
pet<BR>
<BR>
thanks</FONT>
</P>

</BODY>
</HTML>