EAP-TLS для беспроводной связи с Active Directory
Мой вопрос больше с концептуальной точки зрения, а не реализации (даже при том, что я спрашиваю о собственных протоколах и продуктах).
Принятие мне настраивали пользователей и учетные данные в моем Active Directory. Пользователи могут войти в систему своих рабочих столов с помощью тех учетных данных.
Насколько я понимаю это, я могу использовать Microsoft NPS в качестве сервера RADIUS и настроить режим PEAP так, чтобы пользователям (от беспроводного устройства) предложили ввести их учетные данные, которые передаются зашифрованные (использование цифрового сертификата сервера) с беспроводного устройства на сервер RADIUS.
1) Как учетные данные передаются от Сервера RADIUS до AD (примите различные серверы в различных VLAN)? Или RADIUS является просто передачей, и это - AD, который может дешифровать учетные данные?
2) Если я хочу использовать EAP-TLS вместо этого (предполагающий, что клиентский сертификат был выпущен для каждого беспроводного устройства), клиентский сертификат отображается на пользователя в AD? Если так, где отображение сделано и как коммуникация между RADIUS и AD?
NPS, так как сервер Radius использует Active Directory для выполнения аутентификации.
При использовании PEAP (MSCHAPv2), клиент посылает радиус-серверу a хэш его пароля. Этот хэш в конечном итоге сравнивается с содержимое директории (здесь нет расшифровки). Вы можете рассматривать NPS как своего рода проход здесь. Я не понимаю, почему связь между ними не могла пересечь границы VLAN. Полагаю, что взаимодействие между NPS и AD зашифровано
При использовании EAP-TLS NPS будет проверять сертификат, предоставленный клиентом, и сопоставлять его с набором требований (например, был ли он отозван или нет?). Эта проверка может включать в себя взаимодействие со службой AD Certificate Services (проверка отзыва).
Если NPS обнаруживает, что сертификат действителен, то считает, что субъект аутентифицирован. Субъект называется в сертификате, представленном клиентом, и обычно является Отличительным именем пользователя в Active Directory (это сопоставление сертификата пользователю в Active Directory).