Оборудование представляет собой точки доступа Cisco и клиенты Windows 7 Enterprise, которые в настоящее время позволяют пользователям аутентифицироваться на основе группы доступа в AD.
Мы смотрим на учетную запись вместо пользователей, используя реальный компьютер, поэтому мы можем контролировать, какие машины могут аутентифицироваться для AP, а не пользователей.
Это встроенная функция?
Я не уверен, что назвал бы это «родной» функциональностью, но это не редкость.
Основной механизм, с помощью которого вы выполняете этот тип аутентификации, - это использование сертификатов машины. Используя активный каталог в качестве среды PKI, вы можете развернуть сертификаты компьютеров на каждом компьютере с Windows.
После того, как вы развернули сертификаты машины, вы настроите сервер RADIUS, например Cisco ACS или Cisco ISE, который будет выполнять аутентификацию EAP-TLS по этим сертификатам.
Таким образом, вы настроите свой SSID для выполнения аутентификации EAP-TLS, укажите аутентификацию на Cisco ISE и установите сертификат корневой цепочки из Active Directory на свой компьютер ISE и установите несколько правил, которые аутентифицируют и разрешают доступ, когда действующий сертификат представлено. Наконец, вы настроите свои машины с Windows для подключения к SSID с помощью EAP-TLS и предоставления сертификата своей машины во время этого процесса аутентификации.
Если вы никогда этого не делали, вам либо понадобится изрядное количество лабораторного времени, либо еще лучше найти партнера Cisco, который поможет вам настроить это. Это не так уж сложно, но есть изрядное количество движущихся частей, которые делают его более сложным, чем просто флажок или что-то в этом роде.