сертификата компьютера выданный CA ,после ответ клиенту на запрос учетных данных.
Проверить сертификат потом дополнительно проверить учетку пользователя? - типа двухэтапная авторизация? - так не работает, возможно на freeradius можно наколхозить, но это избыточно.
Как я сделал у себя.
Есть домен, центр сертификации (CA), ПК автоматические получают сертификат от CA и груповой политикой профиль конфигурации для WIFI. На wifi можна авторизоваться по сертификату или по логин-паролю.
Что получается. Доменные ПК автоматически подключаются к wifi еще до входа пользователя на ПК и попадают в свой VLAN. Личные ПК и сматфоны (BYOD) подключаются по логин-паролю и попадают в свой VLAN который не имеет полного доступа к локальной сети, а только к избранным ресурсам.
На личные ПК я сертификаты для WIFI не ставлю. Но если такая потребность появится, то для BYOD я сделают отдельные сертификат и политики ибо личные ПК с ломаным софтом и вирусами где каждый админ мне в локальной сети не нужны.