Ciao,
In realtà stai chiedendo 3 cose diverse, salvo errata interpretazione da parte mia. Le trecose sono:
autorizzare i lease dhcp solo dopo autenticazione su dominio
autorizzare il traffico di rete solo dopo autenticazione su dominio
autorizzare il traffico verso internet solo dopo autenticazione su dominio
La prima è abbastanza strana, come potrei autenticarmi senza aver ricevuto un ip per dialogare con il dc per l'autenticazione? Quindi tendenzialmente la risposta è che non è possibile
La terza farebbe pensare ad un proxy con autenticazione e qui potrei dirti che si può fare ma non con un autenticazione "automatica" ovvero con credenziali passate dal client windows in modo trasparente
La seconda è quella che forse può riportarci sulla strada giusta, a pensarci bene un sistema di autenticazione 802.1x potrebbe risolvere tutti e 3 i problemi e soddisfare le tue richieste. Per implementarlo non serve pfsense ma un server radius connesso ad active directory. Nonostante su pfsense si possa installare freeradius, non è possibile integrarlo con ad correttamente, inoltre dovresti fare in modo che ogni client nelle impostazioni di rete utilizzi 802.1x
Normalmente è una soluzione usata con reti wifi con protezione wpa2 infrastructure. Dove l'ho implementato ho usato il controller wifi o servizi radius, quello più sempliceche mi sia capitatodi usare e quello attivabile su nas synology.
Quindi riassumendo, con pfsense non puoi fare quello che chiedi ma puoi farlo con un server radius che si interfacci con AD
Ciao