Itt már olyan autentikációt használnék, ahol a felhasználó egyből azonosítható (User/password páros kell a belépéshez illetve tanúsítvány vagy ezek tetszőleges kombinációja).
Aztán a jogosultságai alapján kap egy megfelelő címet és azzal már tud mit kezdeni a tűzfal.
Ezt jellemzően Cisco ISE-vel szoktuk megoldani, de ott az Aruba ClearPass is (mármint az autentikációt és az autorizációt)
Opensource dolgokkal is összehozható szerintem, de ilyenre még nem volt szükségem (Freeradius, PacketFence környékén keresgélnék).
Lehet, hogy utóbbira a többieknek van ötletük, tapasztalatuk.