Можно настроить прохождение корпоративной авторизации с проверкой доменной учётной записи (хэша пароля пользователя в Active Directory), совмещенной с "белым списком" доверенных МАС-адресов устройств пользователя. В таком сценарии пользователь сможет пройти авторизацию только на том компьютере, адрес которого явным образом прописан в атрибутах учетной записи пользователя. Пройти авторизацию (даже с верным паролем) на соседнем доменном или не доменном устройстве не получится.
Для настройки этой функции необходимо, прежде всего, сформировать базу МАС-адресов устройств пользователей. Для этого следует воспользоваться средством автоматизации PowerShell или другими инструментами ОС Windows. Предположим, что пользователю с именем wifitest разрешено подключение с двух АРМ с адресами E4:02:9B:7B:8F:B9 и E4:02:9B:7B:8F:AA. При помощи инструментов скриптования в AD или вручную через ADSIEdit следует отредактировать значение атрибута registeredAddress у пользователя. На рисунке представлен процесс редактирования значения атрибута пользователя.
Значение МАС-адреса необходимо указывать в шестнадцатеричном виде без дополнительных знаков. После назначения адреса следует проверить, что у записи пользователя присутствуют такие атрибуты:
C:\Windows\system32>dsquery * -filter "&(objectClass=user)(sAMAccountName=wifitest)" -attr registeredAddress
registeredAddress
0xe4 0x02 0x9b 0x7b 0x8f 0xb9 ;0xe4 0x02 0x9b 0x7b 0x8f 0xaa ;
Дополнительно следует настроить взаимодействие сервера системы WNAM с доменом, как это описано в соответствующем разделе настоящей документации (Способ интеграции системы WNAM с доменом) и подключиться к домену (инструкция по подключению представлена в разделе Подключение к Active Directory). Далее необходимо обновить список атрибутов, взяв за основу запроса данные пользователя:
После изменения настроек следует сохранить настройки домена. осле этого можно использовать атрибут registeredAddress при формировании профиля аутентификации. Следует создать профиль, в котором присутствуют следующие данные:
- ссылка на домен;
- опция "Совпадение в атрибуте в Active Directory (домен выбран ниже)";
- атрибут и правило сравнения его значения.
Следует учитывать, что МАС-адрес подключающегося устройства (эндпоинта) передается в RADIUS-атрибуте Calling-Station-Id.
После внесения изменений в настройки профиль аутентификации следует нажать кнопку "Сохранить" и затем произвести попытку сетевого подключения. Система WNAM запросит для подключающегося пользователя список его доменных атрибутов и затем попытается провести сравнение:
filterForAdAttribute user: wifitest@lab.wnam.ru, dom_req: null, attrs: [DomainAttribute [name=registeredAddress, value=[ "e4029b7b8fb9", "e4029b7b8faa" ]]]filterForAdAttribute user: wifitest@lab.wnam.ru, rule: Contains, attr: DomainAttribute [name=registeredAddress, value=[ "e4029b7b8fb9", "e4029b7b8faa" ]], compare to: E4:02:9B:7B:8F:B9, result: match
Если пытаться произвести подключение с другого компьютера, результат проверки будет следующий:
no-match
Данное сообщение означает, что профиль будет исключен из списка, и авторизация завершится неудачно (отказ, помещение в карантин).