...
Правила сопоставления SSID, сервера доступа и т.п. настройте, как обычно.
В "Методах" в разделе "EAP-PEAP" выберите ваш домен, ранее настроенный в интеграции с Active Directory.
В "Методах" отметьте чекбокс "Совпадение в атрибуре в Active Directory (домен выбран ниже)". При этом выпадающий список атрибутов заполнится названиями, которые вы выбрали чекбоксами на стадии интеграции ("интересующие").
Выберите способ сравнения из выпадающего списка. Допустимые способы: равно, содержит, не равно, равно (мак адрес) и численные сравнения.
Теперь выберите радио-переключателем один из двух источников данных для сравнения: заданное здесь же значение, или динамическое значение, получаемое из радиус атрибута.
Соответственно укажите здесь значение дня сравнения, или имя RADIUS-атрибута.
Для способа типа "Содержит" важно, чтобы значение, которое настроено в правиле (фиксированное или из атрибута) содержалось в AD-атрибуте пользователя (поиск по подстроке).
Для способа "Равно (МАС адрес)" значение из AD-атрибута, и значение из правила (например, полученное из RADIUS-атрибута User-Name или Calling-Station-Id), будут оба приведены к единому внутреннему формату МАС-адреса ХХ-ХХ-ХХ-ХХ-ХХ-ХХ, а затем сравнены.
Для способов "Численно..." значение из AD-атрибута, и значение из правила, оба будут приведены к типу long integer, а затем сравнены арифметически.
Если в ходе обработки аутентификационного запроса происходит проверка данного правила, производится запрос AD-атрибута в LDAP (возможно, асинхронный). Затем будет проведена проверка совпадения, в результате которой данное правило может быть оставлено, или убрано из списка правил-кандидатов.
В лог-файле WNAM с включенном режиме трассировки появятся такие записи:
17:20:14.073 TRACE [A12Service.java:1056] - requestAttributeCheckInAd domain lab.wnam.ru lookup time 22 ms.17:20:14.073 TRACE [ASession.java:152] - log [25] requestAttributeCheckInAd - username 'vpupkin@lab.wnam.ru' is found in 'lab.wnam.ru'
17:20:14.073 TRACE [ASession.java:152] - log [26] requestAttributeCheckInAd - attribute logonCount, value '67'17:20:14.422 TRACE [A12Service.java:921] - filterForAdAttribute user: vpupkin@lab.wnam.ru, dom_req: null, attrs: [DomainAttribute [name=logonCount, value=67]]
17:20:14.422 TRACE [A12Service.java:947] - filterForAdAttribute user: vpupkin@lab.wnam.ru, rule: NumericGte, found with attr: DomainAttribute [name=logonCount, value=67], compare to: 1017:20:14.422 TRACE [ASession.java:152] - log [91] filterForAdAttribute - a1profiles candidates: 1, removed 0
Полученный в ходе LDAP-запроса список атрибутов кэшируется (по умолчанию на 10 минут). Просмотреть кэш можно по кнопке внизу таблицы "Диагностика - Корпоративные подключения":
17:23:42.321 INFO [A12Service.java:2299] - Dump AD user-group mapping cache, 1 entries:
17:23:42.322 INFO [A12Service.java:2307] - username: 'vpupkin' groups [1]: [Wi-Fi Test Users]
17:23:42.322 INFO [A12Service.java:2309] - Dump AD user-attribute mapping cache, 1 entries:
17:23:42.322 INFO [A12Service.java:2319] - username: 'vpupkin@lab.wnam.ru' a_v: [logonCount='67']